Ayant un forum phpbb (un peu laissé à l’abandon) spammé, je me suis décidé à tracer cette racaille.
Le 1er que j’ai pris en flag est 72.9.231.170 spammeur hébergé chez http://gnax.net GNAX Inc. 1100 White St. SW Atlanta, GA 30310
En jetant un coup d’œil sur son serveur Apache :
fichier urls.txt de 62000 urls du type : http://www.nomduforum.com/viewforum.php?f=2
fichier message.txt de 65000 lignes de mots clefs du type : connelly free jennifer nude video
(j’ai pris une ligne un peu au hasard J)
fichier myposts.txt de 7100 lignes du type : http://www.velomagazine.fr/phpBB2/viewtopic.php?p=16887
semble être la log des spams réussis.
Le fichier project.txt contient l’adresse du site porno qui sera publié dans le spam, actuellement : http://freepornenjoy.com/
A priori ces forums ont le système de validation par l’utilisateur lui-même, y’a-t-il une faille dans le contrôle visuel de phpbb ?
Si on met la validation par l’Admin on voit cette racaille s’enregistrer mais ils ne peuvent aller plus loin.
Il est intéressant de noter que le site Web indiqué par ces spammeurs est en général soit du type http://bestmedinfoguide.com/map.html soit un domaine parké ou même un site à priori « normal » mais je sent ici une histoire de backlink ou de liens sponsorisés ou de redirection vers un site porno Russe.
A noter aussi de nombreux liens sur blogspot.com.
Attention on tombe aussi sur des sites chinois qui vous balance d’office des trojans Trojan Exploit-ByteVerifyType, ou JS/Downloader-AUD
Mais revenons à notre racaille, celui-ci veux nous faire allez sur http://empubm06.info et pour cause cela balance de suite 00000375.js un Trojan JS/Puper.dldr qui demande de télécharger un faux codec celui-ci génère alors une DLL sur le PC et ouvre ensuite des pages de pubs pour des antiv-virus ou antispyware bidon.
Sur mon forum phpbb j’ai activé la validation par Admin et j’ai mis en place un mouchard pour identifier les robots qui s’enregistrent avant de spammer.
Dans /includes/usercp_register.php rechercher:
‘EMAIL_SIG’ => str_replace(‘<br />’, « \n », « — \n » . $board_config[‘board_email_sig’]),
Ajouter après:
‘USR_IP’ => $_SERVER[‘REMOTE_ADDR’],
Dans /language/lang_french/email/admin_activate.tpl rechercher:
Le compte appartenant à « {USERNAME} »
remplacer par:
Le compte appartenant à « {USERNAME} » {USR_IP}
Vous recevrez alors l’adresse IP du robot. La pêche de se matin à donné 2 adresses: 193.53.87.81 et 195.245.119.76
C’est surtout l’adresse 193.53.87.81 qui est intéressante car on la retrouve souvent et qu’elle correspond à un serveur Windows qui a été piraté.
ACTIONS:
1. Je cherche donc à récupérer les sources qui sont sur le serveur 193.53.87.81, ce qui permettra à la communauté phpBB de comprendre comment les robots bypass le contrôle visuel et activent leur compte.
2. Obtenir les sources du serveur 72.9.231.170 destiné au spam
3. Savoir à qui profite tout ceci, méthodes douteuses de sociétés ou système d’affiliation
Si vous pouvez contribuer, n’hésitez pas c’est pour la bonne cause. Laissez un commentaire.
Liste des spammeurs de forums PHPBB
Bannir ces adresses ou réseaux:
193.53.87.85
193.53.87.81
inetnum: 193.53.87.0 – 193.53.89.255
Infinite Technologies Use in Capgemini/ TeleCity IDC Facility
78.157.143.212
inetnum: 78.157.143.128 – 78.157.143.255
VdHost Ltd. LV
72.9.231.170
NetRange: 72.9.224.0 – 72.9.255.255
GNAXNET
92.112.171.248
inetnum: 92.112.109.0 – 92.113.255.255
Ukrtelecom IP access network
218.26.219.186
inetnum: 218.26.0.0 – 218.26.255.255
China Network Communications Group Corporation
78.157.143.212 VdHost Ltd. abuse@vdhost.biz hostmaster@ultranet.lv admin@vdhost.biz
84.38.140.158 TeraBaits SIA LV info@tab.lv
84.19.188.30 Keyweb AG IP Network abuse@keyweb.de
89.18.166.67 PCextreme BV abuse@pcextreme.nl
92.112.47.142 Ukrtelecom IP access network postmaster@ukrtel.net
92.112.35.219 Ukrtelecom IP access network postmaster@ukrtel.net
92.112.171.248 Ukrtelecom IP access network postmaster@ukrtel.net
92.48.127.90 BlueConnex-infra abuse@blueconnex.net pete.bristow@bluesquaredata.com
193.53.87.85 RIPE NCC Operations abuse@ripe.net
193.53.87.81 RIPE NCC Operations abuse@ripe.net
195.245.119.76 Renome-Service: Joint Multimedia Cable Network Ukraine abuse@odessa.tv
200.24.0.176 Interconexion Electrica S.A. asuarez@ISA.COM.CO
217.107.218.51 « Consult IT » Co. Ltd. abuse@eserver.ru info@eserver.ru noc@eserver.ru
218.26.219.186
abuse@vdhost.biz hostmaster@ultranet.lv admin@vdhost.biz
inetnum: 78.157.143.128 – 78.157.143.255
62.149.67.49 Saudi net infrastructor
abuse@saudi.net.sa registry@saudi.net.sa
inetnum: 62.149.67.48 – 62.149.67.55
postmaster@ukrtel.net
inetnum: 92.112.128.0 – 92.112.191.255
61.19.249.223
61.19.240.0 – 61.19.255.255
CAT TELECOM Data Comm. Dept, IDC Office
support@idc.cattelecom.com suchok@cat.net.th suchok@bulbul.cat.net.th admin-thix@cat.net.th
211.158.21.152
211.158.0.0 – 211.158.255.255
CHONGQING CNC BROADBAND NETWORKS CO.,LTD
ipas@cnnic.cn frankpeng@hltt.cn ipas@cnnic.net.cn
222.183.127.220
222.176.0.0 – 222.183.255.255
CHINANET Chongqing province network
abuse@cta.cq.cn anti-spam@ns.chinanet.cn.net dingsy@cndata.com
84.19.188.30
84.19.176.0 – 84.19.191.255
Keyweb AG Germany
79.188.180.198
79.188.180.196 – 79.188.180.199
TP S.A. Poland
222.76.113.162
222.76.0.0 – 222.79.255.255
CHINANET fujian province network
hostmaster@apnic.net fjnic@fjdcb.fz.fj.cn abuse@fjdcb.fz.fj.cn anti-spam@ns.chinanet.cn.net
221.130.185.234
221.130.176.0 – 221.130.207.255
China Mobile Communications Corporation – shanghai
lihaiy@sh.chinamobile.com weichenguang@chinamobile.com
200.63.42.85
200.63.42.143 windows terminal server !
200.63.40/22
Panamaserver.com
222.244.88.111
222.244.0.0 – 222.244.127.255
CHINANET HuNan Changsha
ipaddress@hntelecom.net.cn spam.hy@2118.com.cn abuse.szx@2118.com.cn
59.40.43.57
59.32.0.0 – 59.42.255.255
CHINANET Guangdong province network
anti-spam@ns.chinanet.cn.net hm-changed@apnic.net ipadm@gddc.com.cn dingsy@cndata.com
122.234.48.111
122.234.0.0 – 122.234.255.255
CHINANET ZHEJIANG Hangzhou node network
antispam@dcb.hz.zj.cn hjh@dcb.hz.zj.cn master@dcb.hz.zj.cn