Patrick Andrieu: Spam-Bot läuft Amok

Beitrag lesen

SELF-Forum

Spam-Bot läuft Amok

Patrick Andrieu Homepage des Autors
Informationen zu den Bewertungsregeln

Hallo wahsaga!

In meinem Weblog bekam ich über längere Zeit von einem Bot Kommentarspam zu genau einem Blogeintrag, immer zum gleichen und nur zu diesem einen.

Ich habe mit dem stillgelegten humosophischen Forum seit je her Seitenaurufe, die früher zum Spammen dienten, auch auf immer die gleichen Einträgen (Forumsmessages). Ich habe schon seit geraumer Zeit, nach dem ich zunächst in <form action=""> die URI des Scripts weggelassen hatte, mittlerweile das form-Feld in jeder einzelnen Datei entfernt. Dennoch werden die Seiten immer wieder aufgerufen und dies verurschacht einen immensen Traffic:

Auschnitt aus der monatlichen Logdatei (siehe forum/messages/XXX.html bzw. old_forum/messages/XXX.html)

Auch die von Christoph zitierte IP ist dabei, ich denke eher zufällig, da die Anzahl der Aufrufe zeigt, dass die IPs von einem Aufruf zum nächsten andere sind.

Was ist aber damit:

http://atomic-eggs.com/cgi-bin/access.pl

access.pl ist ein Freeware-Script für eine schnelle Auswertung der allerletzten Einträge in der access_log, schaut mal unter der IP 81.95.146.162

Alle 4,nochwas Minuten wird abwechselnd eins der beiden Scripte aufgerufen, die in der Spalte "Referrer" genannten Seiten erscheinen jedoch nicht in der access_log als zuvor aufgerufen, was ja zum beispiel bei alten "nuschelweichen" Gästebuch Bedingung ist (add_text.html).

Ein weiterer Fall: der von mir auf dem Impressum eingesetzte FormMailer wurde so angepasst, dass die mir geschickten Mails mit der Zeile "Hier die Auswertung des Kontakt-Formulars. Gesendet von (...UserAngaben/Datum/etc...)" beginnen. Letztens erhielt ich hier Mails mit dieser Zeile: "Hier die Auswertung des hello-Formulars. Gesendet von (...UserAngaben/Datum/etc...)". In der access_log prima nachzuvollziehen: Die "impressum.html" wurde nicht augerufen, taucht aber im POST-Eintrag im Referrer auf.

Ich habe im Archiv viel Literatur gefunden, auch von Sven und wahsaga (und auch auf seinen Seiten) und anderen, frag mich aber, was mit dem geringsten Aufwand und möglichst größtem Erfolg hier zu machen wäre... Die IP 81.95.146.162 wird seit mindestens Freitag abend genutzt und die zu sperren wäre kein Problem, aber erstens will ich das noch eine Weile beobachten und zweitens befürchte ich, dass damit nicht viel getan wird :(

Viele Grüße aus Frankfurt/Main,
Patrick

--

_ - jenseits vom delirium - _
Beitrag melden
Informationen zu den Bewertungsregeln