Robert Bienert: Useragent „eagle“ ein Spambot?

Hallo Gemeinde!

Heute Vormittag ist ein Useragent, der auf den Namen „eagle“ hört, über meine Seite gestolpert, genauer gesagt ist er über relative und absolute Pfad gestolpert, weshalb ich seine Spur selbst in der error_log gut nachvollziehen kann (immer den 404ern folgen). Dieser Useragent ist im T-Com-Netz beheimatet (IP 80.139.254.180) und hat sogar eine eigene Webseite (einfach mal die IP im Browser eingeben), die allerdings auf www.licats.de verweist, was auf den ersten Blick in keinem direkten Zusammenhang mit dem Bot steht.

Auch durchsucht der Bot selbst HTML-Kommentare auf URLs, wie ich herausfinden konnte.

Weiß jemand, was „eagle“ für einer ist, kennt jemand gute andere Foren, in den sich Webseiten-Betreiber über solche Dinge (vermeintliche Spambots, Harvester, …) austauschen?

Ich glaube, dass ich mich nicht nur an die T-Com (abuse), sondern auch an den CCC wenden sollte.

Viele Grüße,
Robert

  1. Moin,

    die allerdings auf www.licats.de verweist, was auf den ersten Blick in keinem direkten Zusammenhang mit dem Bot steht.

    licats.de führt mich via whois zu licats.com. Die Domain-Inhaber sind namensgleich. Von licats.com behauptet diese Seite, dass sie aktives URL-hijacking betreibe.

    Viele Grüße

    Swen Wacker

    1. Moin!

      die allerdings auf www.licats.de verweist, was auf den ersten Blick in keinem direkten Zusammenhang mit dem Bot steht.

      licats.de führt mich via whois zu licats.com. Die Domain-Inhaber sind namensgleich. Von licats.com behauptet diese Seite, dass sie aktives URL-hijacking betreibe.

      Interessant. Eine Google-Suche nach „licats“ liefert sehr viele Ergebnisse, das könnten natürlich alles gehijakte Seiten sein. Jedenfalls scheint dahinter wirklich ein Webverzeichnis zu stecken.

      Ich werde wohl mal mit dem CCC Kontakt aufnehmen, vielleicht die da was. Und da ich ja weiß, dass dumme Bots URLs in HTML-Kommentaren folgen, ist das auslegen von Fallen nicht so schwierig >:->

      Viele Grüße,
      Robert

    2. Moin!

      die allerdings auf www.licats.de verweist, was auf den ersten Blick in keinem direkten Zusammenhang mit dem Bot steht.

      licats.de führt mich via whois zu licats.com. Die Domain-Inhaber sind namensgleich. Von licats.com behauptet diese Seite, dass sie aktives URL-hijacking betreibe.

      Ich habe die T-Com jetzt auf licats bzw. eagle hingewiesen, schließlich war dieser Bot in deren Netz unterwegs. Ich bin mal gespannt, wie das jetzt weitergeht.

      1. Moin!

        Ich habe die T-Com jetzt auf licats bzw. eagle hingewiesen, schließlich war dieser Bot in deren Netz unterwegs. Ich bin mal gespannt, wie das jetzt weitergeht.

        So, die Telekom hat bestätigt, dass eagle von einem Telekomkunden aus „gegen“ meine Seite eingesetzt wurde. Die offizielle Antwort ist natürlich Klasse:

        Wir werden den Vorfall prüfen und den Umständen entsprechend handeln.

        Dann bin ich doch mal interessiert, wie die Umstände aussehen ;-)

        Schönes Wochenende,
        Robert

  2. Das Ding ist nervig.
    Am 25. hat es zwischen 9:52 und 10:07 meine kleine Webseite abgegrast.
    Dabei hat es 9 Mal(!) die robots.txt geholt, aber konsequent ignoriert.
    Jede andere Datei wurde mindestens zweimal hintereinander geholt.
    Es scheint gerade so, als ob es die robots.txt nur holt um interessante Sachen zu finden, denn das einzige Bild das es sich geholt hat, war der durch robots.txt geblockte Counter.

    1. Moin!

      Das Ding ist nervig.

      In der Tat. Bei mir hat es immerhin knapp 100 HTTP 404er erzeugt, weil es Probleme mit relativen Pfaden hat.

      Dabei hat es 9 Mal(!) die robots.txt geholt, aber konsequent ignoriert.

      Ja, die robots.txt ist nur eine Empfehlung an „freundliche Bots“.

      Jede andere Datei wurde mindestens zweimal hintereinander geholt.

      Richtig, das kann ich auch bestätigen.

      Es scheint gerade so, als ob es die robots.txt nur holt um interessante Sachen zu finden, denn das einzige Bild das es sich geholt hat, war der durch robots.txt geblockte Counter.

      Interessante Tatsache. Mir wäre das aufgefallen, wenn er die Einträge der robots.txt ausgewertet hätte, dann wären nämlich noch ein paar auffällige 404er entstanden.

      Schönes Wochenende,
      Robert