Projet

Général

Profil

Demande #5065

Lutte contre les spambots, amélioration des captchas et contre-mesures

Ajouté par Adrien Bourmault il y a plus de 3 ans. Mis à jour il y a environ 3 ans.

Statut:
Fermé
Priorité:
Normale
Assigné à:
Adrien Bourmault
Début:
27/12/2020
Echéance:
% réalisé:

0%

Temps estimé:
Difficulté:
3 Moyen

Description

Suite de #4461

Le 24 décembre nous avons subi une attaque de création de comptes aléatoires dans un but probable de spam.
Ces comptes ont été créés automatiquement par des bots utilisant une IP différente et jetable pour chaque création de compte. Une fois créé, il y avait connexion à chaque compte depuis une seule et même IP : probablement celle de l'attaquant (possiblement derrière un proxy ou un vpn).

L'ensemble des IP, aussi bien celle utilisée pour la connexion aux comptes que celles utilisées pour créer le compte, avait pour localisation geographique approximative la zone de Buffalo ou Nashville, aux USA. Les noms d'hôtes associés etaient tous typés hébergement web ou cloud.

Des contremesures ont été appliquées pour mettre fin à cette attaque :
- blocage de l'IP de connexion, commune à tous les comptes, via ejabberd.yml
- amélioration de l'algorithme de génération de captchas de ejabberd (captcha.sh) afin d'empêcher la lecture aidée du captcha par un logiciel de reconnaissance optique de caractère classique : projection en perspective de l'image, rendant la taille des caractères variables et plus difficiles à lire

Ces contre-mesures sont provisoires. D'autres améliorations sont en cours d'élaboration pour l'algorithme de génération de captchas.


Demandes liées

Lié à xmpp.chapril.org - Demande #4461: Contre-mesures envers les spambots actuelsFermé07/05/2020

Actions

Historique

#1

Mis à jour par Adrien Bourmault il y a plus de 3 ans

  • Description mis à jour (diff)
#2

Mis à jour par Adrien Bourmault il y a plus de 3 ans

Ajout du fichier captcha/captcha.sh dans le repertoire de code XMPP Chapril effectué

#3

Mis à jour par Adrien Bourmault il y a plus de 3 ans

  • Lié à Demande #4461: Contre-mesures envers les spambots actuels ajouté
#4

Mis à jour par Adrien Bourmault il y a environ 3 ans

Modification de l'algo de création de captcha (utilisant ImageMagick) : fond bruité aléatoirement, couleurs aléatoires des caractères, rotation aléatoire de la ligne

#5

Mis à jour par Adrien Bourmault il y a environ 3 ans

  • Statut changé de Nouveau à Résolu

Pour le moment, plus de mouvement côté création de compte aléatoire. La modification de l'algo semble avoir mis un coup d'arrêt (du moins temporairement) à ces tentatives.

#6

Mis à jour par Adrien Bourmault il y a environ 3 ans

  • Statut changé de Résolu à Fermé
#7

Mis à jour par Christian P. Momon il y a environ 3 ans

  • Version cible changé de Backlog à Sprint 2020 décembre

Formats disponibles : Atom PDF