Gradew

Depuis plusieurs mois, on peut observer sur énormément de réseaux IRC un phénomène assez amusant; des bots répondant aux doux noms de paula35, gigi31 ou encore clochette et mbulleg se connectent au réseau, semblent ne rien faire pendant 2/3 minutes, puis quittent le réseau.

Pris d’un désir d’en finir avec eux, j’ai dégainé mon fidèle PuTTY:

nohup tcpdump -vv -s 0 -w cmon-stupid-fecking-bots.pcap 'tcp[2:2]=6667' &

afin de voir de quoi il en retourne. En moins de 24h, premiers résultats, et concluants avec ça: ils font bien quelque chose, mais c’est au niveau de la couche TCP que ça se passe. La conversation suivant le protocole IRC se résume en effet à un NICK, USER puis un QUIT, mais c’est ce qui se passe avant le QUIT qui est intéressant. J’ai pu en effet observer une totalité de 1342 erreurs de protocole TCP: Bad checksum, SYN, FIN, RST, bad checksum (plus de 30 fois), et re-belote.

On va appeler ça une pitoyable tentative de DoS, car c’est pas avec sa petite bande passante qu’il fera paniquer un serveur. Mais ça mérite quand même un DROP sur les firewalls.

Admins IRC, sus à 212.198.248.33 [212-198-248-33.rev.numericable.fr] et 90.25.50.57 [ANantes-257-1-35-57.w90-25.abo.wanadoo.fr].

Edit: Comme me l’a suggéré Sendell de l’équipe d’EpiKnet, il peut être utile d’avoir recours à des services de blacklist, comme bopm, qui commencent à recenser ces IP devenant visiblement de plus en plus nombreuses, du moins suffisamment pour qu’on commence à s’en soucier.

On n’en finit plus, cette fois c’est un nouveau serveur IRC qui vient de voir le jour.

Destiné dans un premier temps à accueillir les visiteurs du site de mon groupe (Parad1gm.net), il s’est vu remanier ses objectifs (un tant soit peu ambitieux, certes). En effet, la petite équipe constituée en un temps assez court se sent d’attaque pour gérer des utilisateurs de tous horizons (langues officielles parlées: français, anglais et allemand… on a laissé tomber le roumain :p Sisi, je vous l’assure, on a eu un canal officiel pour les Roumains, avant que son responsable ne tente un take-over ridicule… :/).

Bref, ce réseau n’a guère l’audace d’oser vouloir se mesurer à d’autres réseaux tels qu’EpiKnet et Undernet, dont les compétences ne sont plus à prouver. Je suis néanmoins agréablement surpris de voir que nous comptons dans l’équipe un ancien administrateur de tchat d’un FAI comptant pour environ 20% des parts de l’internet familial (mmmh, j’hésite à révéler le nom…:p), ou encore admin/modérateur d’un site de scripting bien connu… Bref, une petite équipe assez déjantée, prête à vous accueillir sur ce micro-réseau… disons-le carrément: sympatoche! (/me sifflotte…)

Si ça vous tente de venir y faire un tour, c’est par là:

irc.crystalirc.net:6667 (ou 6697 pour les connexions sécurisées)

Pour info, il s’agit de la dernière version d’Unreal 3 avec les services Anope (Nickserv, Chanserv, etc.).

Vous avez envie de tuer votre eggdrop parce qu’il fait n’importe quoi? C’est normal .

Le rehash du bot suffit en général à résoudre bien des problèmes, sauf dans certains cas comme le changement d’un flag lié à un canal de discussion (+/-enforcebans, par exemple). Les eggdrops ayant la fâcheuse tendance à mettre en cache leurs flags dans le fichier “.chan”, il est en général préférable d’effacer tout simplement ce fichier avant de demander au bot de redémarrer, afin de le forcer à recharger la configuration correctement. Ainsi:

• à partir de votre shell où se trouve l’eggdrop: rm -f <fichier .chan>
• sur IRC: /msg <nom du bot> rehash <mot de passe>