Recentemente, comecei a receber muitas solicitações POST para minha página de assinatura do mailman em /mailman//subscribe/example-info_example.co.uk e o log HTTP do servidor mostra:
204.52.107.22 - - [06/Jan/2021:04:07:39 +0000] "POST /mailman//subscribe/example-info_example.co.uk HTTP/1.1" 200 1334 "-" "axios/0.19.2 "
Um e-mail é então enviado para um endereço de e-mail que não está na lista de assinantes das mailing lists do mailman.
A lista de e-mail está configurada para rejeitar e-mails provenientes de qualquer endereço de e-mail que não seja o administrador da lista.
Portanto gostaria de saber o que está sendo enviado nessas solicitações. Existe um comando ou script que eu possa executar para obter o conteúdo dessas solicitações POST?
Responder1
Estes são bots de assinatura conhecidos, eles inscrevem uma pilha de usuários inocentes em centenas de listas. Eu literalmente tenho mais de 10 mil ips que coletei e bloqueei no ano passado. Algumas coisas que você pode fazer é bloquear com base na string do cliente ou atualizar a instalação do mailman para uma versão mais recente que força o formdata a se originar na página de assinatura e não acessar diretamente a formação. Também defendo que você procure o e-mail de abuso da rede de onde ele vem e envie uma reclamação por e-mail com alguns trechos de registro. Até agora não me ajudou em nada, mas a maioria desses ataques vem de instalações de hospedagem, até tive alguns da Amazon. Se um número suficiente de pessoas reclamar, talvez esses provedores de hospedagem encerrem esta atividade.