AccueilFAQStatistiquesDiversContact

Anti-spam : les services abuse des hébergeurs enfin soulagés

Les services abuse des hébergeurs étaient constamment débordés de travail (du moins on le suppose puisqu'ils ne répondent jamais). Mais les spammeurs ont sérieusement décidé de les soulager sur ce point.

La méthode utilisée n'est pas nouvelle, loin de là, simple à mettre en place et efficace : plusieurs adresses IPs pour un même domaine (ou sous-domaine) et leur rotation rapide et permanente.
Mais cette méthode a dernièrement pris des ampleurs comme jamais auparavant : un nom de domaine possédant plusieurs dizaines, voire une centaine d'adresses IPs en rotation permanente, renvoyant sur des serveurs installés dans une vingtaine de pays qui eux-mêmes n'agissent que comme supports de redirection vers un autre nom de domaine, utilisant lui aussi de multiples IPs redirigeant vers plusieurs serveurs qui, enfin, hébergent le site final.
Vous avez du mal à suivre ? Petite démonstration :

Un spam de parapharmacie très récent :

From: "Nicola Cameron" <iuj1diwo@cnh.com>
Subject: Wholesale Price Pharmacy with over 58,000 satisfied customers
Date: Fri, 20 Jul 2007 10:26:37 +0700

Check out our Specials! From .50/pill
We are the best price on all high QualityMeds

:Cia|lisViagra
:AmbiemValiumAtivanXanax
:CelebrexSoma
:PhenterminMeridia & 20 more other popular meds

click below links to see what special is on going
link-1: http://byalzy.abwhenan.com
link-2: http://bkmk.abwhenan.com

En cliquant sur un des 2 liens on arrive sur cette page :

Vous avez reçu ce spam et décidez de vous plaindre auprès de l'hébergeur du site afin d'en obtenir sa fermeture. Vous allez probablement utilisér un script ou service en ligne comme All-NetTools qui va vous retourner l'adresse IP du site ainsi que le nom et l'email de l'hébergeur. Vous obtiendrez par exemple :

byalzy.abwhenan.com = 85.29.227.101
To'nis Luik
OU VIRUNET
Estonia
tonis@vnet.ee

Vous allez pouvoir à partir des infos retournées envoyer votre plainte à Virunet en Estonie en pensant que le site sera fermé rapidement. Malheureusement, comme nous allons le voir, ces services en ligne ne sont finalement pas si bien adaptés pour ce type de spams car les choses sont bien plus complexes.

Sous Linux, le terminal sera le seul outil dont nous aurons besoin. (les utilisateurs de Windows peuvent utiliser la commande nslookup.exe et telnet.exe)
Tout d'abord, on récupère les NS (NameServers) du site byalzy.abwhenan.com avec la commande `host` :


spam@cleaner:/$ host -t NS byalzy.abwhenan.com
byalzy.abwhenan.com is an alias for abwhenan.com.
abwhenan.com name server ns4.hardtomakeforliving.com.
abwhenan.com name server ns5.hardtomakeforliving.com.
abwhenan.com name server ns6.hardtomakeforliving.com.
abwhenan.com name server ns1.hardtomakeforliving.com.
abwhenan.com name server ns2.hardtomakeforliving.com.
abwhenan.com name server ns3.hardtomakeforliving.com.

Il a 6 NS. Nous en prenons un au hasard pour récupérer les enregistrements DNS de abwhenan.com. Il est important d'utiliser un des NS pour ne pas obtenir à nouveau des résultats provenant de notre propre cache DSN. La commande `dig` fera très bien l'affaire :

spam@cleaner:/$ dig @ns4.hardtomakeforliving.com abwhenan.com

;; ANSWER SECTION:
abwhenan.com.           180     IN      A       212.186.9.45
abwhenan.com.           180     IN      A       217.31.184.43
abwhenan.com.           180     IN      A       61.238.21.66
abwhenan.com.           180     IN      A       70.233.250.161
abwhenan.com.           180     IN      A       74.213.111.51
abwhenan.com.           180     IN      A       81.184.71.195
abwhenan.com.           180     IN      A       81.227.187.108
abwhenan.com.           180     IN      A       81.234.220.139
abwhenan.com.           180     IN      A       82.172.112.51
abwhenan.com.           180     IN      A       82.239.124.203
abwhenan.com.           180     IN      A       85.216.225.86
abwhenan.com.           180     IN      A       89.28.6.119
abwhenan.com.           180     IN      A       89.149.74.8
abwhenan.com.           180     IN      A       200.118.176.222
abwhenan.com.           180     IN      A       200.118.212.231

Ce domaine n'a pas moins de 15 adresses IP (en vert), alors que All-NetTools n'en avait retourné qu'une seule (85.29.227.101) qui plus est, n'est même pas présente dans cette liste. Cela signifie qu'en cliquant sur le domaine abwhenan.com on sera redirigé sur la première IP disponible. En cliquant une 2e fois, on sera probablement dirigé sur une autre et ainsi de suite, jusqu'à faire un grand tour du monde à en juger par les pays représentés dans cette liste (Pologne, Autriche, Suède, USA, Puerto Rico, Brésil, Colombie, Israel etc).
Autant dire que le service abuse de VIRUNET où vous avez envoyé votre plainte, n'y donnera pas suite puisque l'IP de cet hébergeur n'est pas dans la liste.
Mais nous sommes encore loin du but car la 2e colonne est très intéressante : elle affiche les TTL (TimeToLive). Lorsque vous envoyez une requête à un DNS, comme celui de abwhenan.com, votre DNS met les infos dans un cache pour une durée égale à la valeur indiquée par le TLL. Cette valeur est en seconde, ici 180 secondes. Donc pendant toute cette durée, à chaque fois que vous voudrez aller sur abwhenan.com, votre DNS utilisera la copie en cache pour plus de rapidité et vous enverra sur une des 15 IPs de la liste ci-dessus. Pour un site normal, le TTL est généralement entre 14400s (4h) et 86400 (24h). Il peut être inférieur, notamment pour les sites faisant de très fréquentes mises à jour comme les journaux en ligne, mais ici pour un site de vente de pillules de viagra, 3mn c'est vraiment très rapide et des plus suspicieux, sans même parler du grand nombre d'IPs et de leur localisation géographique.

Il suffit simplement d'attendre 180 secondes avant de relancer à nouveau notre commande `dig` pour essayer de comprendre les raisons :

spam@cleaner:/$ dig @ns4.hardtomakeforliving.com abwhenan.com

;; ANSWER SECTION:
abwhenan.com.           180     IN      A       82.143.202.238
abwhenan.com.           180     IN      A       84.108.219.237
abwhenan.com.           180     IN      A       85.27.70.162
abwhenan.com.           180     IN      A       85.237.182.59
abwhenan.com.           180     IN      A       89.176.90.55
abwhenan.com.           180     IN      A       189.29.151.240
abwhenan.com.           180     IN      A       200.118.212.231
abwhenan.com.           180     IN      A       201.52.119.89
abwhenan.com.           180     IN      A       212.186.9.45
abwhenan.com.           180     IN      A       24.192.196.98
abwhenan.com.           180     IN      A       61.238.21.66
abwhenan.com.           180     IN      A       67.149.246.175
abwhenan.com.           180     IN      A       71.234.208.216
abwhenan.com.           180     IN      A       81.227.187.108
abwhenan.com.           180     IN      A       82.65.187.243

Surprise : nous obtenons pas moins de 11 nouvelles adresses IPs et seulement 4 (en rouge) étaient déjà présentes lors de notre première requête. On remarque aussi que notre IP 85.29.227.101 n'apparait toujours pas dans la liste.

En 5 requêtes espacées de 180s, j'ai obtenu pas moins de 55 IPs différentes. Ce nom de domaine doit en avoir probablement une centaine réparties sur toute la planète.
Le spammeur effectue simplement une rotation de ses IP's avec un simple programme ou script qui modifie le fichier de configuration de son serveur DNS (Bind) et relance tout simplement celui-ci toutes les 3mn, d'où le TTL très rapide afin que les donnés ne restent pas en cache plus de 3mn.
Lorsque vous aviez obtenu l'IP 85.29.227.101 pour le domaine byalzy.abwhenan.com vous ne vous êtes même pas aperçus que si vous aviez recommencé l'opération ne serait-ce que 5 secondes plus tard vous auriez obtenu une autre des 15 IPs de la première liste, puis plus de 3mn plus tard une nouvelle serie de 15 IPs etc, etc.

Si 50 internautes décidaient de se plaindre à l'hébergeur de ce site, il y a de grande chance que chacun obtienne une IP différente des autres et plutot que d'avoir un hébergeur recevant 50 plaintes, nous aurions 50 hébergeurs ne recevant qu'une seule plainte chacun. Sacré soulagement pour les services abuse ! Si l'hébergeur décidait de vérifier si ce domaine lui appartient bien, il aurait à peine une chance sur 100 de tomber sur son IP. Et s'il était consciencieux, il pourrait vérifier les enregistrement DNS, mais là encore, il aurait environ 1 chance sur 6 de voir son IP dans la liste. Si cela se produisait et qu'en plus il soit vraiment très consciencieux (!), il pourrait très bien aller tout simplement vérifier le contenu du site à l'adresse 85.29.227.101 ? Et bien allons y faire un tour...

Plutôt que d'utiliser un navigateur, on utilisera la commande `wget` au cas ou un virus nous attendrait sur la page du site :


spam@cleaner:/tmp$ wget -S http://85.29.227.101
--03:34:46--  http://85.29.227.101/
           => `index.html'
Connecting to 85.29.227.101:80... connected.
HTTP request sent, awaiting response...
  HTTP/1.1 200 OK
  Date: Tue, 24 Jul 2007 16:35:49 GMT
  Server: Apache/2.0.55 (FreeBSD) PHP/4.4.2
  Last-Modified: Sat, 26 May 2007 08:25:02 GMT
  ETag: "16d7d53-0-4092f380"
  Accept-Ranges: bytes
  Content-Length: 0
  Connection: close
  Content-Type: text/html
  X-Pad: avoid browser bug
Length: 0 [text/html]

Pas de chance, il n'y a rien à cette adresse ! Le site nous a retourner 0 octet, soit une belle page blanche. En fait, le serveur web du site (Apache) est configuré pour ne répondre qu'à une requête pour le sous-domaine byalzy.abwhenan.com afin justement d'éviter les curieux...
On pourrait en faire de même avec toutes les autres IPs et le domaine abwhenan.com, le résultat serait strictement le même.

Cependant, si on veut vraiment savoir ce qui cache sur ce serveur, nous pouvons utiliser la commande `telnet` en se connectant au port 80 (HTTP) et en lui faisant croire que nous sommes un navigateur demandant le sous-domaine en question :


spam@cleaner:/tmp$ telnet 85.29.227.101 80
Trying 85.29.227.101...
Connected to 85.29.227.101.
Escape character is '^]'.
GET / HTTP/1.1
Host: byalzy.abwhenan.com

HTTP/1.1 302 Found
Date: Tue, 24 Jul 2007 19:56:18 GMT
Server: Apache/2.0.55 (FreeBSD) PHP/4.4.2
X-Powered-By: PHP/4.4.2
Location: http://onlinequalitypills.com
Content-Length: 0
Connection: close
Content-Type: text/html

Nous avons envoyé les commandes (en vert) demandant la page racine pour le sous-domaine abwhenan.com (note : après la commande `Host: byalzy.abwhenan.com` il faut appuyer 2 fois sur la touche [Entrée]), et le serveur nous a gentiment donné les infos et pas des moindres : le code de retour HTTP 302 est un code de redirection et le champ "Location:" nous donne l'adresse de celle-ci : onlinequalitypills.com. C'est à cette adresse que serait directement renvoyé votre navigateur. La centaine d'IPs en rotation ne servent qu'à brouiller les pistes, rendre caduques les plaintes, protéger le site final du spammeur et rediriger vers celui-ci.

Et finalement en se connectant à onlinequalitypills.com, nous arrivons sur le bon site :

Et voila, la boucle est bouclée !
Enfin, peut-être pas. Après tout, on pourrait tout de même jeter rapidement un oeil aux enregistrements DNS de ce domaine ?


;; ANSWER SECTION:
onlinequalitypills.com. 180     IN      A       60.237.177.198
onlinequalitypills.com. 180     IN      A       83.254.249.254
onlinequalitypills.com. 180     IN      A       84.126.181.190
onlinequalitypills.com. 180     IN      A       86.152.175.190
onlinequalitypills.com. 180     IN      A       213.113.249.51

Et ça recommence ! Pas moins de 5 IPs en permanence, avec rotation pour en afficher là encore 5 nouvelles toutes les 180 secondes et ainsi de suite et probablement une dizaine de sites finaux. Sans oublier que ces IPs ne sont que très provisoires, généralement la plupart ne sont plus disponibles 3 ou 4 jours après la vague de spams mais peuvent aussi très bien correspondre à des serveurs piratés/détournés (il suffit de s'introduire dans un serveur et de rajouter les paramètres du sous-domaine aux fichiers de configuration du serveur HTTP). Avec en plus des sous-domaines qui changent à chaque série de spams et un nom de domaine enregistré chez un registrar chinois, le site de ce spammeur aura sans aucun doute une longévité exceptionnelle.

Si cette méthode est certainement efficace pour protéger les sites du spammeur, elle n'en a pas moins 2 très gros désavantages :

  • les enregistrements DNS sont publiques et donc accessibles à tous. C'est le principe même du fonctionnement d'internet et des noms de domaine. De ce fait, quels que soient les bidouillages effectués par le spammeur, nous pouvons en prendre connaissance facilement comme dans les exemples ci-dessus.
  • si on ne peut pas arriver à obtenir la fermeture de tous les serveurs du spammeur, on peut toutefois utiliser ces informations pour bloquer ses spams !

  • spamCle@ner.net effectue des vérifications approfondies sur les liens des emails filtrés et détecte facilement de telles aberrations dans les enregistrements DNS. Il attribue ensuite un nombre de points (coefficient spam) au message en fonction du TTL, du nombre d'adresses IPs mais aussi de la géolocalisation de celles-ci.


    Vous avez toujours l'intention de vous plaindre auprès de l'hébergeur de byalzy.abwhenan.com ?