2007.02.02.
Spammer trükkök
A mai nap arra lettem figyelmes, hogy spammerek – az egyik ügyfelünk hibásan megÃrt php script-je segÃtségével – laza 30k spamet küldtek ki. Az elsÅ‘ gondolatom az volt, hogy megnézem az Apache naplóját, és megkeresem, kié a legtöbb HTTP kérés. Ez azonban nem vezetett eredményre, biztosra vettem, hogy nem a top10 látogatók voltak az elkövetÅ‘k.
Szerencsére kezembe került a spam egy példánya, valami fogyókúra dologról van szó benne (ha érdekel, elküldöm). Már csak azt kellett megoldani, hogy ha valaki ezt a spamet küldi el az űrlapnak, akkor az valahogy ne sikerüljön.
Ebben pedig a modsecurity nevű Apache modul volt a segÃtségemre. Még jó, hogy elÅ‘zÅ‘ nap megkaptam az aktuális Linuxvilágot, amiben pont Ãrtam errÅ‘l a modulról. A lényeg az, hogy be tudtam állÃtani azt, hogy ha valaki ezt a bizonyos spamet akarja elküldeni, akkor az Apache egy 403-as hibát küld a spammernek (vagy a bot-jának).
Ehhez annyit tettem, hogy az emlÃtett spambÅ‘l vettem egy mintát, majd készÃtettem egy modsec. szabályt SecFilterSelective POST_PAYLOAD “intensive medical procedures”, és voila! kapásból meglett az illetÅ‘ a modsecurity naplójában.
Egyébként egy HTTP POST kérés átlag kb. 120 email cÃmet tartalmazott. A slusszpoén pedig az volt a fogás nyomán, hogy ugyanezt a spamet más site-on keresztül is küldték. De legalább mostmár sikertelenül. Tudom, hogy ez csak egy gyors tűzoltás volt, a probléma megnyugtató megoldása az lesz, ha minden érintett kijavÃtja a hibát a php script-jében…
