OT - Was tun gegen Spamming?

[JSchädler]

So hallo.

Das hier hat eigentlich nichts mit ConPresso oder den Modulen zu tun, aber ich frage einfach überall mal nach...

Ich habe zur Zeit massive Probleme mit Spamming in meinem Gästebuch. Damit meine ich nicht dämliche Kiddies, die sich einen Spaß draus machen, Leute zu beschimpfen, sondern offensichtliche Scripte, die in jedes Gästebuch, das sie finden, ihren "billigeRolex-SoftwareZuSpottPreisen-PenisEnlargements"-Schrott abladen.

Die Metadaten habe ich aus dem Header schon entfernt, die Robots kriegen zukünftig auf der Seite ein "noindex, nofollow" auf die Nase. Aber es hört nicht auf.

Kann man dagegen irgend etwas unternehmen? Oder muss ich damit leben, so lange ich nicht... was weiß ich... ein Flash-Frontend für das Gästebuch baue?

Die ständige Löscherei geht mir nämlich allmählich auf die Nerven...

Vielen Dank, viele Grüße
Julian

[semf]

wäre schön, wenn man sich das mal anschauen könnte! welches gästebuch setzt due den ein?

[JSchädler]

Deines.

Allerdings nicht die aktuelle Version, sondern die letzte oder vorletzte. Wollte in den kommenden Semesterferien mal alles auf den neuesten Stand bringen...

http://siambok.de/con/mod_gbook/index.php

Wunder dich nicht über die Kommentare im Quelltext... ich hatte gehofft, jemand anders würde die Seite pflegen... dazu kams bisher leider nie.

Viele Grüße
Julian

[MarkusR]

Vielleicht kann man ja den Referrer checken, so daß nur die vom Original-Formular gesendeten Einträge auch aufgenommen werden?

[semf]

mmmh?! man müsste mal schauen, wie dieses gespamme abläuft. wird direkt das gästebuch angesprungen, könnte man evt. mit einer session-variable arbeiten, die nur gesetzt ist, wenn man von einer anderen seite deiner seite kommt.

weiß dein webserver-logfile was dazu?

[JSchädler]

Wau... jetzt fragst mich Sachen... welches Log guck ich da an, bzw. nach was suche ich dort?

In den Access-Logs findet sich zum Beispiel sowas:

Code: Alles auswählen

68.142.251.107 - - [20/Jan/2006:00:21:16 +0100] "GET /robots.txt HTTP/1.0" 404 1325 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)" 
68.142.250.125 - - [20/Jan/2006:00:21:16 +0100] "GET /con/mod_gbook/index.php?pos=12&val=0 HTTP/1.0" 200 9494 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)" 
65.214.44.191 - - [20/Jan/2006:00:31:25 +0100] "GET /robots.txt HTTP/1.0" 404 1325 "-" "Mozilla/2.0 (compatible; Ask Jeeves/Teoma; +http://sp.ask.com/docs/about/tech_crawling.html)" 
65.214.44.191 - - [20/Jan/2006:00:31:27 +0100] "GET / HTTP/1.0" 200 1796 "-" "Mozilla/2.0 (compatible; Ask Jeeves/Teoma; +http://sp.ask.com/docs/about/tech_crawling.html)" 
65.214.44.191 - - [20/Jan/2006:00:31:30 +0100] "GET /con4/_r01-news/index.php HTTP/1.0" 200 5252 "-" "Mozilla/2.0 (compatible; Ask Jeeves/Teoma; +http://sp.ask.com/docs/about/tech_crawling.html)" 
66.249.65.36 - - [20/Jan/2006:00:35:05 +0100] "GET /con4/mod_bilderalbum/bilder/t1-CIMG3680.jpg HTTP/1.1" 200 22695 "-" "Googlebot-Image/1.0" 
66.249.65.36 - - [20/Jan/2006:00:35:08 +0100] "GET /con4/mod_bilderalbum/bilder/t1-CIMG3680.jpg HTTP/1.1" 200 22694 "-" "Googlebot-Image/1.0" 
66.249.65.36 - - [20/Jan/2006:01:02:41 +0100] "GET /blog/uploaded_images/band001-770661.jpg HTTP/1.1" 200 6238 "-" "Googlebot-Image/1.0" 
212.227.62.28 - - [20/Jan/2006:01:11:19 +0100] "HEAD / HTTP/1.1" 200 236 "-" "Aberja Checkomat" 
68.142.251.107 - - [20/Jan/2006:01:20:33 +0100] "GET /robots.txt HTTP/1.0" 404 1325 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)" 
68.142.249.96 - - [20/Jan/2006:01:20:33 +0100] "GET /blog/2005/07/vorzge-des-rockstar-daseins.html HTTP/1.0" 200 16286 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)" 
139.18.2.81 - - [20/Jan/2006:01:25:11 +0100] "GET /robots.txt HTTP/1.1" 404 1434 "-" "findlinks/1.1.1-a1 (+http://wortschatz.uni-leipzig.de/findlinks/)" 
66.249.65.36 - - [20/Jan/2006:02:16:24 +0100] "GET /blog/uploaded_images/fan002-757250.jpg HTTP/1.1" 200 6008 "-" "Googlebot-Image/1.0" 
66.249.65.36 - - [20/Jan/2006:02:25:23 +0100] "GET /con4/f_cindy/08_impressum.jpg HTTP/1.1" 200 78735 "-" "Googlebot-Image/1.0" 
202.160.180.80 - - [20/Jan/2006:03:17:28 +0100] "GET /robots.txt HTTP/1.0" 404 1325 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp China; http://misc.yahoo.com.cn/help.html)" 
202.160.180.34 - - [20/Jan/2006:03:17:29 +0100] "GET / HTTP/1.0" 304 150 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp China; http://misc.yahoo.com.cn/help.html)" 
85.93.22.2 - - [20/Jan/2006:04:00:23 +0100] "GET / HTTP/1.1" 200 1777 "http://4domains.de" "4domains crawler - http://4domains.de" 
212.227.62.28 - - [20/Jan/2006:04:12:25 +0100] "HEAD / HTTP/1.1" 200 236 "-" "Aberja Checkomat" 

Fängst du damit was an? Ich nicht.

[MarkusR]

Wenn Du da jetzt ein paar Zeilen mit "post.php" drinhättest...

[JSchädler]

Hupps. Krieg ich hin.

Code: Alles auswählen

84.56.177.49 - - [20/Jan/2006:12:39:41 +0100] "GET /con/mod_gbook/post.php HTTP/1.1" 200 3668 "http://siambok.de/con/mod_gbook/index.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.5) Gecko/20031007" 

Code: Alles auswählen

195.175.37.6 - - [20/Jan/2006:12:42:18 +0100] "GET /con/mod_gbook/post.php HTTP/1.0" 200 3572 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1" 

Code: Alles auswählen

200.79.192.24 - - [20/Jan/2006:12:42:19 +0100] "POST /con/mod_gbook/post.php HTTP/1.0" 302 3914 "http://siambok.de/con/mod_gbook/post.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1" 

Code: Alles auswählen

84.56.177.49 - - [20/Jan/2006:12:42:42 +0100] "POST /con/mod_gbook/post.php HTTP/1.1" 302 4096 "http://siambok.de/con/mod_gbook/post.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.5) Gecko/20031007" 

Hmm... mehr davon? Ich hätte noch so um die 15 allein von heute im Angebot... Ich kann auch die ganzen letzten paarhundert Zeilen posten... Ich kenn mich einfach zu wenig aus... Was schließt man denn aus diesen Zeilen? Damit ich's in Zukunft auch verstehe... man ist schließlich lernwillig.

[MarkusR]

Die sehen erst mal unverdächtig aus.

Die ersten beiden haben die Eingabemaske aufgefufen -> "GET"

die zwei letzten haben das Formular abgesendet -> "POST"

"http://siambok.de/con/mod_gbook/post.php" ist der Referrer.

Wenn bei einem "POST" was anderes als "http://siambok.de/con/mod_gbook/post.php" steht, dann sollte das ein Spammer sein (insofern da nicht eine billge Arbeitskraft den Müll wirklich eintippt).

Der letzte kommt aus Stuttgart
http://network-tools.com/default.asp?pr ... .56.177.49

der vorletzte eher nicht aus Europa
http://network-tools.com/default.asp?pr ... .79.192.24

Du kannst ja auch die angegebenen Zeiten mit den Zeiten der GB-Postings vergleichen, was die Suche erheblich vereinfacht.

Ein Hinweis (mit angehängtem Logfile und Erläuterung des Vergehens) an den Serverbetreiber oder den Provider wirkt übrigens Wunder...

[JSchädler]

Hm... wenn die Uhrzeiten stimmen, waren das aber alles Spam-Einträge. Heißt das, dass da tatsächlich einer dahinter hockt? Armer Kerl. Bliebe die Möglichkeit eines LogIns... aber das mag ich eigentlich nicht...

Ich hasse diese Typen...

Hmtja... danke euch beiden. Falls ihr spontan auf Lösungsmöglichkeiten kommt: immer raus damit.

Gruß Julian

[MarkusR]

Versuche doch mal den hier im Logfile zu identifizieren...

[JSchädler]

Das war wohl der Kollege hier...

Code: Alles auswählen

66.246.246.42 - - [20/Jan/2006:14:24:08 +0100] "GET /con/mod_gbook/post.php HTTP/1.0" 200 3572 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1" 
212.138.113.12 - - [20/Jan/2006:14:24:09 +0100] "POST /con/mod_gbook/post.php HTTP/1.0" 302 4435 "http://siambok.de/con/mod_gbook/post.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1" 
212.138.47.15 - - [20/Jan/2006:14:24:10 +0100] "GET /con/mod_gbook/index.php HTTP/1.0" 200 8740 "http://siambok.de/con/mod_gbook/post.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1" 

...

[MarkusR]

Tja... ständig wechselnde IPs sowie korrekter Referrer... entweder ein sehr gutes Script oder eben die billige Hilfskraft...

Da würde dann zumindest eine Kontrolle der IP was bringen, weil er/es dann seine IP-Verschleierung aufgeben müsste... oder eben nicht mehr Spammen kann...

[Gast]

Kontrolle der IP... klingt gut.

Wie mach ich das? Wen muss ich dafür bestechen?

[Gast]

Wau...

Code: Alles auswählen

inetnum:        212.138.113.0 - 212.138.113.255
netname:        ISU-8-1
descr:          Internet Service Unit ISU - WAEL/BT
country:        SA
admin-c:        KR6046-RIPE
tech-c:         KR6046-RIPE
status:         ASSIGNED PA
mnt-by:         KACST-ISU-MNT
mnt-routes:     KACST-ISU-MNT
mnt-lower:      KACST-ISU-MNT
remarks:        ------------------------------------------------------
remarks:        Part of this IP block has been used for proxy/cache
remarks:        service at the National level in Saudi Arabia. All
remarks:        Saudi Arabia web traffic will come from this IP block.
remarks:
remarks:        If you experience high volume of traffic from
remarks:        IP in this block it is because your site is very
remarks:        popular/famous of Saudi Arabia community.
remarks:
remarks:        For any abuse activities please contact us through
remarks:        Email: abuse@isu.net.sa
remarks:        Phone: +96614813933 (24x7)
remarks:        Fax: +96614813221
remarks:        ------------------------------------------------------
source:         RIPE # Filtered

role:           KACST ROLE
address:        Saudi Network Information Center, ISU
address:        King Abdulaziz City for Science and Technology,
address:        P.O.Box 6086, Riyadh 11442, Saudi Arabia.
phone:          +9661 481 3932
fax-no:         +9661 481 3254
remarks:        trouble:      abuse@isu.net.sa
admin-c:        ZOM1-RIPE
tech-c:         RA705-RIPE
tech-c:         ANAS1-RIPE
nic-hdl:        KR6046-RIPE
remarks:        This Role object is for handling and maintaining all
remarks:        IP Blocks registered by SaudiNIC(LIR) in Saudi Arabia.
mnt-by:         KACST-ISU-MNT
source:         RIPE # Filtered
abuse-mailbox:  abuse@isu.net.sa

% Information related to '212.138.113.0/24AS8895'

route:          212.138.113.0/24
descr:          Saudi Arabia backbone and local registry address space
descr:          Wael/BT
origin:         AS8895
mnt-by:         ISU-NOC
source:         RIPE # Filtered

Muhaha... ich bin also beliebt in Saudi Arabien... Hm. Hat wohl keinen Zweck, da ne Mail hinzuschreiben, dass jemand ihre IPs missbraucht, oder? Naja, ich kanns ja mal versuchen...