Ce billet est la première partie d'une série d'article sur la construction d'un honeypot visant dans un premier temps a répertorier des adresses de spammeurs ou de crackers, dans un deuxième temps a les redigirer vers une machine où leur actions pourront être analysées puis en dernier lieu, lancer des contre attaques dans le but de nuire a ces spammers.
La première étape est la plus importante pour la sécurité des sites internets et par chance est la plus simple. Que ce soit a travers des blogs (dotclear dans mon cas) ou de forums (un forum punBB par exemple) , on a toujours a faire a des attaques de bots qui vont essayer de poster du spam. Ces bots peuvent être repérés facilement et on peut alors mettre en place des processus qui automatiseront leur détection. Par exemple, les utilisateurs d'inscrivant avec un mail qui a le domaine @gmx.com sont a coup sur des spammers , ou bien une IP de Letonie est plus que suspecte sur un forum français.
Lorsque l'on est attaqué, la première chose a faire est d'empecher l'attaque de continuer. Je procède pour l'instant par bannissement de plages d'IP. En effet le ban d'une IP peut se révéler assez inefficace et on aperçois souvent des attaques en provenance d'un même domaine de broadcast.
Pour déterminer le domaine de broadcast d'un attaquant , il faudra utiliser la commande whois (il existe aussi des sites qui permettent de faire cela , tapez whois dans google pour le constater)
On récupère une IP , nous feront les tests sur 64.202.165.133 , un bot essayant de vendre du soma juice, le nouveau truc a la mode chez les spammeurs après le viagra et les rolex.
Le whois nous donne une série d'informations , le bot provient des Etats Unis , en Arizona et son fournisseur est GoDaddy.com , mais l'information qui nous intéresse ici est la ligne CIDR ( Classless Inter-Domain Routing ). Pour information, si votre FAI vous attribue une IP dynamique il y a toutes les chances que vous gardiez la même classe d'IP , l'adresse CIDR prends toutes les adresses IP que le bot sera susceptible d'avoir. Nous avons donc obtenu la classe d'IP suivante : 64.202.160.0/19
La commande ipcalc permet de savoir que nous allons bloquer 8190 adresses et pour faire ceci riende plus simple.
Nous allors créer un fichier htaccess qui servira dans un premier temps a bannir ces ip (ensuite il sera utile pour rediriger les ip vers le honeypot). On ajoute a ce fichier la ligne :
deny from 64.202.160.0/19
Voilà , nous venons de bloquer des milliers d'adresses, c'est une méthode sévère mais c'est le moyen le plus efficace d'éviter les ennuis. Plus tard nous allons rediriger ces IP vers un faux site qui va enregistrer les informations relatives aux bots dans une base MySQL. Le titre de ce billet , proviens d'une série d'articles du HoneyPot Project du même titre disponibles ici : http://www.honeynet.org/papers/kye.html , une lecture que je conseille a ceux désirant d'approndir le sujet.