Serveurs harcelés par des individus sur des adresses IP en constante évolution

10

Nous gérons un produit communautaire. Il y a un individu (un petit enfant PoS) au Royaume-Uni qui harcèle notre site depuis 6 mois. Sa tâche quotidienne est de créer un nouveau compte, de publier un tas de contenu illégal / incendiaire, de faire monter le nombre de personnes, puis de se faire supprimer en quelques heures par un administrateur. Répétez ensuite.

Son adresse IP change à chaque fois qu'il crée un nouveau compte (à l'aide d'un proxy ou d'un autre outil similaire). Le seul point commun est le niveau supérieur 92.xxx Nous avons essayé de contacter les autorités britanniques ... bien qu'elles soient intéressées, elles n'ont rien fourni de concret. Pendant ce temps, ce harcèlement se poursuit quotidiennement.

Quelqu'un a-t-il de l'expérience sur la façon de tuer cela? Je suis à peu près au bout de mon esprit ici et j'espère que quelqu'un qui a déjà traité cela peut fournir des conseils.

Merci d'avance.

security denial-of-service brute-force-attacks cookies
la source
quel type de système d'exploitation serveur utilisez-vous?
Patrick R
Y a-t-il une chance que l'UserAgent soit identifiable ou qu'il y ait une sorte de modèle dans les requêtes Web?
Dscoduc
Redhat 5, pile LAMP.
1
J'espère que c'est RHEL 5 et non Red Hat 5.0, qui est ancien ...: P
Avery Payne
Vous pouvez essayer iwf.org.uk ou peut-être contacter UK CERT ukcert.org.uk pour voir s'ils peuvent fournir de meilleurs contacts auprès du FAI ou un contact approprié des services répressifs du Royaume-Uni si les messages sont si mauvais.
Sim

Réponses:

18

Au lieu de le bloquer, vous pouvez utiliser une approche différente - je pense que je l'ai entendu sur l'un des podcasts SO, et / ou peut-être que SO l'utilise également.

Ne supprimez pas le compte et les publications - ne les rendez visibles que pour ce compte et personne d'autre. L'enfant continuera d'essayer pendant que vous jouez à son jeu. S'il constate que ses commentaires ne sont pas supprimés, il risque de perdre tout intérêt. Vous pouvez laisser les commentaires visibles pour l'ensemble du sous-réseau 92.xxx, en espérant qu'il ne le remarquera jamais et que vous n'offenserez pas les autres utilisateurs.

Ensoleillé
la source
J'aime cette approche Sunny. +1
Patrick R
+1 Oui, c'est radicalement soigné
Oskar Duveborn
Très créatif. J'aime beaucoup. =)
Wesley
2
Agréable. Mais comment cela serait-il mis en œuvre? Étant donné que les attaques proviennent de 92/8, définissez-vous un post de 92/8 pour qu'il soit visible uniquement dans 92/8? Qu'en est-il des personnes décentes en 92/8?
Paul
3
Attendez qu'il crée un nouveau compte et l'appliquez à ce compte au lieu de l'interdire purement et simplement? Oui, il fera quelques comptes supplémentaires, mais il est probable que s'il n'est pas «banni» fréquemment, il n'en fera pas trop.
Frenchie
4

S'il est disponible, vous pouvez essayer d'approuver de nouveaux comptes ou d'approuver la première publication d'un compte nouvellement créé.

dimitri.p
la source
D'accord. C'est juste le genre de raison d'avoir des messages modérés.
John Gardeniers
2

J'essaierais de retracer (tracert) l'une des adresses IP du fournisseur, de rechercher un e-mail / numéro de contact abusif pour le fournisseur et de signaler l'adresse IP.

Si l'utilisateur est sur un réseau public, vous êtes à peu près dans une impasse, mais s'il s'agit d'une entreprise ou d'une résidence, vous pourrez peut-être demander une enquête sur la propriété de l'adresse IP.

Dscoduc
la source
Nous l'avons fait, et le FAI est (généralement) carphonewarehouse. Compte tenu de la nature ignoble de ce que cet enfant publie (pensez à nuire aux enfants, aux animaux et à d'autres détails incroyables), nous espérions que des exemples + des adresses IP + des temps d'accès suffiraient à les motiver. Ils ont reconnu avoir reçu les données, mais en attendant, nous continuons de le voir tous les jours.
1

92.0.0.0 est sous l'autorité de RIPE , alors recherchez l'IP spécifique dans la base de données RIPE et vous trouverez quel réseau contrôle directement cette IP. Ensuite, vous pouvez les signaler aux canaux appropriés pour cette plage.

Wesley
la source
1

Le blocage d'un réseau entier semble un peu exagéré. Pourriez-vous passer votre site en lecture seule pendant une semaine ou deux? Si c'est juste un enfant qui sort ses jolies, il s'ennuiera et continuera.

Il est également possible qu'il soit provoqué par un logiciel malveillant sur la machine d'une personne totalement innocente. Cela devrait toujours être considéré comme une source possible de ce type d'attaque. Il semble un peu improbable qu'un être humain effectue une attaque aussi soutenue sur une telle période de temps - quotidiennement pendant 6 mois complets est assez extrême.

Je voterais pour un CAPTCHA fort sur la création de nouveaux comptes (et sur tout service de publication non enregistré que vous pourriez avoir) et l'approbation de nouveaux comptes (bien que cela puisse faire votre tête si cela se produit sur une base continue). Cela devrait saisir les deux possibilités potentielles.

Maximus Minimus
la source
L'OP a déjà indiqué que cela se produisait depuis 6 mois, donc cette personne en particulier ne s'ennuie pas trop facilement. Plus c'est dommage.
John Gardeniers
0

Plutôt que de bloquer complètement l'accès au réseau 92/8, il peut suffire de bloquer la création de nouveaux comptes (ou nécessiter l'approbation de l'administrateur).

Cela éviterait les dommages collatéraux des personnes de ce réseau qui visitent votre site (et ont déjà des comptes).


la source
0

Aucune des suggestions données ne vous aidera.

Ce type de personnes exécute des spywares / malwares qui leur ouvrent des PC partout sur la planète, n'envisagent même pas de bloquer des IP ou des blocs d'IP et s'attendent à des résultats à long terme.

Maintenant, vous n'en avez qu'un, ce qui est génial, imaginez ce que ce serait s'ils étaient 10 ou même plus.

Vous devez changer le fonctionnement de votre application.

Voici quelques idées:
- Si le compte n'a pas au moins 24 heures
- Enregistré avec Yahoo, Gmail, Hotmail / MSN.

Empêchez les réponses ou faites-les accepter par les administrateurs.

Mais tout d'abord, vous pourriez probablement resserrer votre nouvelle inscription d'utilisateur.
Un bon exemple est que les spammeurs s'inscrivent souvent en utilisant le copier-coller ou même des bots, ils font souvent d'énormes erreurs qui peuvent être vues directement lors de l'inscription comme:

  • Prénom en minuscule, nom, ville, ...
  • Mots de passe faciles

Regardez l'inscription faite par ce gars, vous devriez trouver des choses comme ça. Si vous en trouvez, appliquez-les lors de l'inscription. Cela lui permettra de corriger tout cela afin de s'inscrire. Ce qui lui prenait 30 secondes lui prendra maintenant quelques minutes, comme la plupart des gens. Assurez-vous simplement de ne pas punir tous les nouveaux utilisateurs avec cela.

Facultativement, vous pouvez envisager d'avoir une sorte de filtrage sur une base de données pour tous les commentaires. Si un commentaire est marqué, il est supprimé, avertit l'utilisateur ou requiert l'approbation des administrateurs.

Akismet pourrait potentiellement faire le travail ou au moins une bonne partie de celui-ci. Si vous n'exécutez pas Wordpress, utilisez une API pour la langue utilisée par votre application.

Vous aurez probablement de meilleurs résultats avec de nombreux petits changements qu'une solution radicale.

Bonne chance.

Embreau
la source
-2

Le plus simple et sans doute le plus efficace est de bloquer 92.0.0.0/8 (0.255.255.255 dans Wildcard bien sûr). Cela a l'inconvénient de supprimer environ 1 / 200ème de l'espace Internet utilisable pour accéder à votre site.

Selon votre frustration - et ce n'est certainement pas casher (selon le pays d'où vous venez et l'endroit où vous êtes hébergé), vous pouvez utiliser un certain nombre de vulnérabilités présentes dans les navigateurs Web disponibles aujourd'hui et supprimer rm -rf ou format C: -f de manière appropriée, son ombragé et probablement contraire à l'éthique, mais il a été utilisé (anecdotique bien sûr) par des administrateurs avec des résultats quelque peu humoristiques.

Tout comme une note, les contacts abusifs sont une blague, de même avec les forces de l'ordre, à moins que vous n'ayez perdu de l'argent et que vous puissiez le montrer avec les états financiers, bonne chance pour obtenir quoi que ce soit, du moins c'est comme ça que ça fonctionne avec les fédéraux aux États-Unis. , Je ne peux pas parler beaucoup du Royaume-Uni.

ŹV -
la source
La seule fois où j'ai vu des contacts d'abus fonctionner, c'est quand un FAI a mis des ordures dans ses dossiers IANA, ce que j'ai trouvé parce qu'ils spammaient. J'ai obtenu un résultat très rapide de leur lien international lorsque je leur ai envoyé un courriel à ce sujet!
staticsan
Mon argument est prouvé. Quand j'ai dit «abuser des contacts», je veux dire en relation avec le piratage et j'imagine PARTICULIÈREMENT des tentatives de harcèlement, je n'ai jamais, littéralement JAMAIS entendu parler de succès au niveau du FAI.
ŹV -
1
-1 pour le rm -rf (qui j'espère était destiné à être une blague).
Maximus Minimus
3
rm -rf n'est jamais une blague.
ŹV -
2
L'éthique et la morale mises à part, s'il en savait assez sur la personne pour lancer une attaque ciblée contre son PC, ne pensez-vous pas qu'il pourrait simplement bloquer la personne? Certainement pas une option viable
einstiien