nicht angemeldet
Spam-Bot läuft Amok
0 0 0 0 0 0 0 
Auge
Spam-Bot läuft Amok
Hallo!
Da Spammer in den letzten Wochen auch auf mein Forum aufmerksam
wurden, habe ich einen Filter programmmiert, der unerwünschte Postings eliminiert. Um nicht unnötig Aufmerksamkeit zu erregen, wird bei ausgefilterten Postings trotzdem die Bestätigungsseite ausgegeben.
Seit ein paar Tagen läuft ein Spam-Bot allerdings Amok. Er versucht rund um die Uhr alle 30 Sekunden Spam ins Forum einzutragen. Würde es was bringen statt der Sendebestätigung einen Error-Code auszugeben und wenn ja, welcher würde sich anbieten (404?)? Ich weiß leider zu wenig über die Technik der Spam-Bots bescheid.
Viele Grüße
Harald
-
Hallo,
Seit ein paar Tagen läuft ein Spam-Bot allerdings Amok. Er versucht rund um die Uhr alle 30 Sekunden Spam ins Forum einzutragen. Würde es was bringen statt der Sendebestätigung einen Error-Code auszugeben und wenn ja, welcher würde sich anbieten (404?)? Ich weiß leider zu wenig über die Technik der Spam-Bots bescheid.
wenn Du einen User als SPAM-Bot identifiziert hast, dann könntest Du ihn auf jeden Fall erst einmal in eine "Teergrube" schicken.
Wäre zumindest einen Versuch wert.
http://de.wikipedia.org/wiki/TeergrubeHier im Forum gab es mal ein kleines Beispiel zum Thema Mail-SPAM: http://forum.de.selfhtml.org/archiv/2005/8/t114316/#m732638.
Ciao,
Andreas--
"No sir, I don't like it." - (Mr. Horse)-
Hallo Andreas.
Hier im Forum gab es mal ein kleines Beispiel zum Thema Mail-SPAM: http://forum.de.selfhtml.org/archiv/2005/8/t114316/#m732638.
Siehe auch „Missbrauch von Formularen ('jrubin3456@aol.com-Problem')“.
Einen schönen Donnerstag noch.
Gruß, Mathias
--
sh:( fo:} ch:? rl:( br: n4:~ ie:{ mo:| va:) de:> zu:} fl:( ss:) ls:[ js:|
„It is required that HTML be a common language between all platforms. This implies no device-specific markup, or anything which requires control over fonts or colors, for example. This is in keeping with the SGML ideal.“
[HTML Design Constraints: Logical Markup]
-
-
Moin!
Seit ein paar Tagen läuft ein Spam-Bot allerdings Amok. Er versucht rund um die Uhr alle 30 Sekunden Spam ins Forum einzutragen. Würde es was bringen statt der Sendebestätigung einen Error-Code auszugeben und wenn ja, welcher würde sich anbieten (404?)? Ich weiß leider zu wenig über die Technik der Spam-Bots bescheid.
Wenn du zum Bot eine feste (oder eine Gruppe von) IP-Adressen festgestellt hast, sollte eine domainweit reichende .htaccess reichen:
Order Deny,Allow Deny from ip.adr.es.se1 Deny from ip.adr.es.se2- Sven Rautenberg
--
"Love your nation - respect the others."-
Hallo!
Die IP-Adressen sind leider bunt gemischt. Das Filtern ist zum Glück kein Problem. Es geht mir eigentlich um den Resourcenverbrauch und eventuellen Ärger mit dem Provider, wenn das Forumsscript mehrmals in der Minute aufgerufen und das Posting abgelehnt wird. Vielleicht überschätze ich das Ganze und der zusätzliche Rechenaufwand ist nicht der Rede wert.
Es stellt sich mir halt die Frage, ob es beim Verwerfen eines Postings besser ist einen Errorcode zurückzugeben oder es stillschweigend zu ignorieren. Einerseites möchte ich den Spammer nicht unnötig ermutigen den Filter zu umgehen, andererseits habe ich die blauäugige Hoffnung, dass der Bot seine Arbeit einstellt, wenn er die Sinnlosigkeit anhand des Errorcodes erkennt.
Viele Grüße
Harald-
hi,
Es stellt sich mir halt die Frage, ob es beim Verwerfen eines Postings besser ist einen Errorcode zurückzugeben oder es stillschweigend zu ignorieren. Einerseites möchte ich den Spammer nicht unnötig ermutigen den Filter zu umgehen, andererseits habe ich die blauäugige Hoffnung, dass der Bot seine Arbeit einstellt, wenn er die Sinnlosigkeit anhand des Errorcodes erkennt.
In meinem Weblog bekam ich über längere Zeit von einem Bot Kommentarspam zu genau einem Blogeintrag, immer zum gleichen und nur zu diesem einen. Da ich diese Kommentare nie freigeschaltet habe, wurden sie auch nie angezeigt, der Spam hatte also so betrachtet "keinen Erfolg" - was den Bot bzw. seinen Betreiber aber auch nach Wochen noch nicht störte, es ging immer weiter.
Also habe ich meinem Kommentarscript beigebracht, dass es keine Postings zu genau diesem einen Eintrag mehr zulässt, sondern mit einem 403 Forbidden antwortet. Und siehe da, schon nach kurzer Zeit schoss sich der Bot auf einen _anderen_ Eintrag ein, für den ich die Kommentierfunktion noch nicht auf diese Weise eingeschränkt hatte ...Daraus Schlüsse zu ziehen, was nun besser wäre - kommentarlos ignorieren, oder mit einem Fehler antworten - überlasse ich dir.
Allerdings sei angemerkt, dass sicherlich nicht alle Bots gleich reagieren, also auch durchaus andere Verhaltensweisen und Reaktionen vorkommen können und werden.gruß,
wahsaga--
/voodoo.css:
#GeorgeWBush { position:absolute; bottom:-6ft; }-
Hallo wahsaga!
In meinem Weblog bekam ich über längere Zeit von einem Bot Kommentarspam zu genau einem Blogeintrag, immer zum gleichen und nur zu diesem einen.
Ich habe mit dem stillgelegten humosophischen Forum seit je her Seitenaurufe, die früher zum Spammen dienten, auch auf immer die gleichen Einträgen (Forumsmessages). Ich habe schon seit geraumer Zeit, nach dem ich zunächst in <form action=""> die URI des Scripts weggelassen hatte, mittlerweile das form-Feld in jeder einzelnen Datei entfernt. Dennoch werden die Seiten immer wieder aufgerufen und dies verurschacht einen immensen Traffic:
Auschnitt aus der monatlichen Logdatei (siehe forum/messages/XXX.html bzw. old_forum/messages/XXX.html)
Auch die von Christoph zitierte IP ist dabei, ich denke eher zufällig, da die Anzahl der Aufrufe zeigt, dass die IPs von einem Aufruf zum nächsten andere sind.
Was ist aber damit:
http://atomic-eggs.com/cgi-bin/access.pl
access.pl ist ein Freeware-Script für eine schnelle Auswertung der allerletzten Einträge in der access_log, schaut mal unter der IP 81.95.146.162
Alle 4,nochwas Minuten wird abwechselnd eins der beiden Scripte aufgerufen, die in der Spalte "Referrer" genannten Seiten erscheinen jedoch nicht in der access_log als zuvor aufgerufen, was ja zum beispiel bei alten "nuschelweichen" Gästebuch Bedingung ist (add_text.html).
Ein weiterer Fall: der von mir auf dem Impressum eingesetzte FormMailer wurde so angepasst, dass die mir geschickten Mails mit der Zeile "Hier die Auswertung des Kontakt-Formulars. Gesendet von (...UserAngaben/Datum/etc...)" beginnen. Letztens erhielt ich hier Mails mit dieser Zeile: "Hier die Auswertung des hello-Formulars. Gesendet von (...UserAngaben/Datum/etc...)". In der access_log prima nachzuvollziehen: Die "impressum.html" wurde nicht augerufen, taucht aber im POST-Eintrag im Referrer auf.
Ich habe im Archiv viel Literatur gefunden, auch von Sven und wahsaga (und auch auf seinen Seiten) und anderen, frag mich aber, was mit dem geringsten Aufwand und möglichst größtem Erfolg hier zu machen wäre... Die IP 81.95.146.162 wird seit mindestens Freitag abend genutzt und die zu sperren wäre kein Problem, aber erstens will ich das noch eine Weile beobachten und zweitens befürchte ich, dass damit nicht viel getan wird :(
Viele Grüße aus Frankfurt/Main,
Patrick--
_ - jenseits vom delirium - _
-
-
-
hallo Sven,
Wenn du zum Bot eine feste (oder eine Gruppe von) IP-Adressen festgestellt hast
Es gibt einen "Formular-bot", der seit rund drei Wochen sehr aktiv ist und bei mir etwa alle halbe Stunde vorbeikommt. Er läßt sich zwar mit "hidden"-Elementen ausbremsen, aber die IP ist ganz einfach auffällig:
219.240.12.173.
Mir fiel diese IP auf, nachdem sie innerhalb einer Woche fast dieselbe Zugriffshäufigkeit erreicht hatte wie der google-bot. Es wird versucht, $_POST['name'] und/oder $_POST['text'] mit einer Spam-Mailadresse zu füllen. Noch ließ sich das Ding sehr einfach dadurch ausbremsen, daß solche Namen eben an hidden-Elemente vergeben wurden, die vom Script nicht berücksichtigt werden. Ich habe diese Adresse dann explizit vor etwa 14 Tagen per .htacces auf die von dir genannte Weise "gesperrt", jetzt bekommt er etwa alle 25 bis 35 Minuten einen 403er zurück, was sich an meinen logs zeigt.
Das heißt, das Teil richtet im Moment keinen sichtbaren Schaden an. Aber es ist auffällig, daß die Zugriffsversuche mit unverminderter Frequenz anhalten. Kann denn ein "bot" auch auf Zermürbungstaktiken setzen?Ich könnte die Adresse temporär wieder zulassen, um ein Beispiel zu haben, was von dort aus versucht wird.
Grüße aus Berlin
Christoph S.
-
Hallo Christoph!
Kann denn ein "bot" auch auf Zermürbungstaktiken setzen?
Das wird wohl nicht viel bringen. Niemand wird einen geblockten Bot freiwillig reinlassen. Da muß er schon die Taktik ändern und nicht mit dem Kopf gegen die Wand rennen. ;-)
In meinem Fall ist seit heute 3 Uhr morgens Ruhe eingetreten. Anhand der Loggdatei konnte ich sehen, das offenbar ein Mensch versucht hat den Filter zu umgehen. Danach kein Spam mehr. Hoffentlich bleibt es so. Bleiben noch zwei weitere, die aber zum Glück nicht so lästig sind. Einer schreibt z. B. Witze immer in den gleichen Thread und verlinkt gewisse Stichwörter. Ist ja fast schon originell.
Viele Grüße
Harald-
hi,
Kann denn ein "bot" auch auf Zermürbungstaktiken setzen?
Das wird wohl nicht viel bringen. Niemand wird einen geblockten Bot freiwillig reinlassen. Da muß er schon die Taktik ändern und nicht mit dem Kopf gegen die Wand rennen. ;-)
Allerdings scheint bei den Bot-Betreibern das Interesse daran, _zeitnah_ die Taktik zu ändern, nicht besonders groß zu sein - die rennen sich gerne auch erst mal eine zeitlang weiter den Kopf ein, weil es sie ja kaum was kostet.
gruß,
wahsaga--
/voodoo.css:
#GeorgeWBush { position:absolute; bottom:-6ft; }-
Hallo
Allerdings scheint bei den Bot-Betreibern das Interesse daran, _zeitnah_ die Taktik zu ändern, nicht besonders groß zu sein - die rennen sich gerne auch erst mal eine zeitlang weiter den Kopf ein, weil es sie ja kaum was kostet.
Ob sich ein Botbetreiber regelmäßig über Fehlermeldungen seines Bots auf dem Laufenden hält, wäre auch noch so 'ne Frage. Da ein Bot im Normalfall bei weitem nicht nur ein Formular auf einer Seite angreift, sollte da reichlich Stoff zusammenkommen, so vom Bot überhaupt Status- und/oder Fehlermeldungen protokolliert werden.
Tschö, Auge
--
Die Musik drückt aus, was nicht gesagt werden kann und worüber es unmöglich ist zu schweigen.
(Victor Hugo)
Veranstaltungsdatenbank Vdb 0.1
-
-
-
-