OT - Was tun gegen Spamming?
OT - Was tun gegen Spamming?
So hallo.
Das hier hat eigentlich nichts mit ConPresso oder den Modulen zu tun, aber ich frage einfach überall mal nach...
Ich habe zur Zeit massive Probleme mit Spamming in meinem Gästebuch. Damit meine ich nicht dämliche Kiddies, die sich einen Spaß draus machen, Leute zu beschimpfen, sondern offensichtliche Scripte, die in jedes Gästebuch, das sie finden, ihren "billigeRolex-SoftwareZuSpottPreisen-PenisEnlargements"-Schrott abladen.
Die Metadaten habe ich aus dem Header schon entfernt, die Robots kriegen zukünftig auf der Seite ein "noindex, nofollow" auf die Nase. Aber es hört nicht auf.
Kann man dagegen irgend etwas unternehmen? Oder muss ich damit leben, so lange ich nicht... was weiß ich... ein Flash-Frontend für das Gästebuch baue?
Die ständige Löscherei geht mir nämlich allmählich auf die Nerven...
Vielen Dank, viele Grüße
Julian
Das hier hat eigentlich nichts mit ConPresso oder den Modulen zu tun, aber ich frage einfach überall mal nach...
Ich habe zur Zeit massive Probleme mit Spamming in meinem Gästebuch. Damit meine ich nicht dämliche Kiddies, die sich einen Spaß draus machen, Leute zu beschimpfen, sondern offensichtliche Scripte, die in jedes Gästebuch, das sie finden, ihren "billigeRolex-SoftwareZuSpottPreisen-PenisEnlargements"-Schrott abladen.
Die Metadaten habe ich aus dem Header schon entfernt, die Robots kriegen zukünftig auf der Seite ein "noindex, nofollow" auf die Nase. Aber es hört nicht auf.
Kann man dagegen irgend etwas unternehmen? Oder muss ich damit leben, so lange ich nicht... was weiß ich... ein Flash-Frontend für das Gästebuch baue?
Die ständige Löscherei geht mir nämlich allmählich auf die Nerven...
Vielen Dank, viele Grüße
Julian
-
- Modul-Entwickler
- Beiträge: 1853
- Registriert: 01.01.1970 02:00
- Wohnort: Gütersloh-Friedrichsdorf
- Hat sich bedankt: 14 Mal
- Danksagung erhalten: 40 Mal
wäre schön, wenn man sich das mal anschauen könnte! welches gästebuch setzt due den ein?
Viel Erfolg!
Module ConPresso 4.x
Latest News
Tell-a-friend
Module ConPresso 3.4.x
Index_X
Kontakt
RSS-Feed
Umfrage
Gästebuch
Tell-a-Friend
Modul-Download
Module ConPresso 4.x
Latest News
Tell-a-friend
Module ConPresso 3.4.x
Index_X
Kontakt
RSS-Feed
Umfrage
Gästebuch
Tell-a-Friend
Modul-Download
Deines.
Allerdings nicht die aktuelle Version, sondern die letzte oder vorletzte. Wollte in den kommenden Semesterferien mal alles auf den neuesten Stand bringen...
http://siambok.de/con/mod_gbook/index.php
Wunder dich nicht über die Kommentare im Quelltext... ich hatte gehofft, jemand anders würde die Seite pflegen... dazu kams bisher leider nie.
Viele Grüße
Julian
Allerdings nicht die aktuelle Version, sondern die letzte oder vorletzte. Wollte in den kommenden Semesterferien mal alles auf den neuesten Stand bringen...
http://siambok.de/con/mod_gbook/index.php
Wunder dich nicht über die Kommentare im Quelltext... ich hatte gehofft, jemand anders würde die Seite pflegen... dazu kams bisher leider nie.
Viele Grüße
Julian
-
- Handbuchversteher
- Beiträge: 7381
- Registriert: 01.01.1970 02:00
- Hat sich bedankt: 115 Mal
- Danksagung erhalten: 938 Mal
Vielleicht kann man ja den Referrer checken, so daß nur die vom Original-Formular gesendeten Einträge auch aufgenommen werden?
Ciao Markus
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
-
- Modul-Entwickler
- Beiträge: 1853
- Registriert: 01.01.1970 02:00
- Wohnort: Gütersloh-Friedrichsdorf
- Hat sich bedankt: 14 Mal
- Danksagung erhalten: 40 Mal
mmmh?! man müsste mal schauen, wie dieses gespamme abläuft. wird direkt das gästebuch angesprungen, könnte man evt. mit einer session-variable arbeiten, die nur gesetzt ist, wenn man von einer anderen seite deiner seite kommt.
weiß dein webserver-logfile was dazu?
weiß dein webserver-logfile was dazu?
Viel Erfolg!
Module ConPresso 4.x
Latest News
Tell-a-friend
Module ConPresso 3.4.x
Index_X
Kontakt
RSS-Feed
Umfrage
Gästebuch
Tell-a-Friend
Modul-Download
Module ConPresso 4.x
Latest News
Tell-a-friend
Module ConPresso 3.4.x
Index_X
Kontakt
RSS-Feed
Umfrage
Gästebuch
Tell-a-Friend
Modul-Download
Wau... jetzt fragst mich Sachen... welches Log guck ich da an, bzw. nach was suche ich dort?
In den Access-Logs findet sich zum Beispiel sowas:
Fängst du damit was an? Ich nicht.
In den Access-Logs findet sich zum Beispiel sowas:
Code: Alles auswählen
68.142.251.107 - - [20/Jan/2006:00:21:16 +0100] "GET /robots.txt HTTP/1.0" 404 1325 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"
68.142.250.125 - - [20/Jan/2006:00:21:16 +0100] "GET /con/mod_gbook/index.php?pos=12&val=0 HTTP/1.0" 200 9494 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"
65.214.44.191 - - [20/Jan/2006:00:31:25 +0100] "GET /robots.txt HTTP/1.0" 404 1325 "-" "Mozilla/2.0 (compatible; Ask Jeeves/Teoma; +http://sp.ask.com/docs/about/tech_crawling.html)"
65.214.44.191 - - [20/Jan/2006:00:31:27 +0100] "GET / HTTP/1.0" 200 1796 "-" "Mozilla/2.0 (compatible; Ask Jeeves/Teoma; +http://sp.ask.com/docs/about/tech_crawling.html)"
65.214.44.191 - - [20/Jan/2006:00:31:30 +0100] "GET /con4/_r01-news/index.php HTTP/1.0" 200 5252 "-" "Mozilla/2.0 (compatible; Ask Jeeves/Teoma; +http://sp.ask.com/docs/about/tech_crawling.html)"
66.249.65.36 - - [20/Jan/2006:00:35:05 +0100] "GET /con4/mod_bilderalbum/bilder/t1-CIMG3680.jpg HTTP/1.1" 200 22695 "-" "Googlebot-Image/1.0"
66.249.65.36 - - [20/Jan/2006:00:35:08 +0100] "GET /con4/mod_bilderalbum/bilder/t1-CIMG3680.jpg HTTP/1.1" 200 22694 "-" "Googlebot-Image/1.0"
66.249.65.36 - - [20/Jan/2006:01:02:41 +0100] "GET /blog/uploaded_images/band001-770661.jpg HTTP/1.1" 200 6238 "-" "Googlebot-Image/1.0"
212.227.62.28 - - [20/Jan/2006:01:11:19 +0100] "HEAD / HTTP/1.1" 200 236 "-" "Aberja Checkomat"
68.142.251.107 - - [20/Jan/2006:01:20:33 +0100] "GET /robots.txt HTTP/1.0" 404 1325 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"
68.142.249.96 - - [20/Jan/2006:01:20:33 +0100] "GET /blog/2005/07/vorzge-des-rockstar-daseins.html HTTP/1.0" 200 16286 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)"
139.18.2.81 - - [20/Jan/2006:01:25:11 +0100] "GET /robots.txt HTTP/1.1" 404 1434 "-" "findlinks/1.1.1-a1 (+http://wortschatz.uni-leipzig.de/findlinks/)"
66.249.65.36 - - [20/Jan/2006:02:16:24 +0100] "GET /blog/uploaded_images/fan002-757250.jpg HTTP/1.1" 200 6008 "-" "Googlebot-Image/1.0"
66.249.65.36 - - [20/Jan/2006:02:25:23 +0100] "GET /con4/f_cindy/08_impressum.jpg HTTP/1.1" 200 78735 "-" "Googlebot-Image/1.0"
202.160.180.80 - - [20/Jan/2006:03:17:28 +0100] "GET /robots.txt HTTP/1.0" 404 1325 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp China; http://misc.yahoo.com.cn/help.html)"
202.160.180.34 - - [20/Jan/2006:03:17:29 +0100] "GET / HTTP/1.0" 304 150 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp China; http://misc.yahoo.com.cn/help.html)"
85.93.22.2 - - [20/Jan/2006:04:00:23 +0100] "GET / HTTP/1.1" 200 1777 "http://4domains.de" "4domains crawler - http://4domains.de"
212.227.62.28 - - [20/Jan/2006:04:12:25 +0100] "HEAD / HTTP/1.1" 200 236 "-" "Aberja Checkomat"
-
- Handbuchversteher
- Beiträge: 7381
- Registriert: 01.01.1970 02:00
- Hat sich bedankt: 115 Mal
- Danksagung erhalten: 938 Mal
Wenn Du da jetzt ein paar Zeilen mit "post.php" drinhättest...
Ciao Markus
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
Hupps. Krieg ich hin.
Hmm... mehr davon? Ich hätte noch so um die 15 allein von heute im Angebot... Ich kann auch die ganzen letzten paarhundert Zeilen posten... Ich kenn mich einfach zu wenig aus... Was schließt man denn aus diesen Zeilen? Damit ich's in Zukunft auch verstehe... man ist schließlich lernwillig.
Code: Alles auswählen
84.56.177.49 - - [20/Jan/2006:12:39:41 +0100] "GET /con/mod_gbook/post.php HTTP/1.1" 200 3668 "http://siambok.de/con/mod_gbook/index.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.5) Gecko/20031007"
Code: Alles auswählen
195.175.37.6 - - [20/Jan/2006:12:42:18 +0100] "GET /con/mod_gbook/post.php HTTP/1.0" 200 3572 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1"
Code: Alles auswählen
200.79.192.24 - - [20/Jan/2006:12:42:19 +0100] "POST /con/mod_gbook/post.php HTTP/1.0" 302 3914 "http://siambok.de/con/mod_gbook/post.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1"
Code: Alles auswählen
84.56.177.49 - - [20/Jan/2006:12:42:42 +0100] "POST /con/mod_gbook/post.php HTTP/1.1" 302 4096 "http://siambok.de/con/mod_gbook/post.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.5) Gecko/20031007"
-
- Handbuchversteher
- Beiträge: 7381
- Registriert: 01.01.1970 02:00
- Hat sich bedankt: 115 Mal
- Danksagung erhalten: 938 Mal
Die sehen erst mal unverdächtig aus.
Die ersten beiden haben die Eingabemaske aufgefufen -> "GET"
die zwei letzten haben das Formular abgesendet -> "POST"
"http://siambok.de/con/mod_gbook/post.php" ist der Referrer.
Wenn bei einem "POST" was anderes als "http://siambok.de/con/mod_gbook/post.php" steht, dann sollte das ein Spammer sein (insofern da nicht eine billge Arbeitskraft den Müll wirklich eintippt).
Der letzte kommt aus Stuttgart
http://network-tools.com/default.asp?pr ... .56.177.49
der vorletzte eher nicht aus Europa
http://network-tools.com/default.asp?pr ... .79.192.24
Du kannst ja auch die angegebenen Zeiten mit den Zeiten der GB-Postings vergleichen, was die Suche erheblich vereinfacht.
Ein Hinweis (mit angehängtem Logfile und Erläuterung des Vergehens) an den Serverbetreiber oder den Provider wirkt übrigens Wunder...
Die ersten beiden haben die Eingabemaske aufgefufen -> "GET"
die zwei letzten haben das Formular abgesendet -> "POST"
"http://siambok.de/con/mod_gbook/post.php" ist der Referrer.
Wenn bei einem "POST" was anderes als "http://siambok.de/con/mod_gbook/post.php" steht, dann sollte das ein Spammer sein (insofern da nicht eine billge Arbeitskraft den Müll wirklich eintippt).
Der letzte kommt aus Stuttgart
http://network-tools.com/default.asp?pr ... .56.177.49
der vorletzte eher nicht aus Europa
http://network-tools.com/default.asp?pr ... .79.192.24
Du kannst ja auch die angegebenen Zeiten mit den Zeiten der GB-Postings vergleichen, was die Suche erheblich vereinfacht.
Ein Hinweis (mit angehängtem Logfile und Erläuterung des Vergehens) an den Serverbetreiber oder den Provider wirkt übrigens Wunder...
Zuletzt geändert von MarkusR am 20.01.2006 16:00, insgesamt 1-mal geändert.
Ciao Markus
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
Hm... wenn die Uhrzeiten stimmen, waren das aber alles Spam-Einträge. Heißt das, dass da tatsächlich einer dahinter hockt? Armer Kerl. Bliebe die Möglichkeit eines LogIns... aber das mag ich eigentlich nicht...
Ich hasse diese Typen...
Hmtja... danke euch beiden. Falls ihr spontan auf Lösungsmöglichkeiten kommt: immer raus damit.
Gruß Julian
Ich hasse diese Typen...
Hmtja... danke euch beiden. Falls ihr spontan auf Lösungsmöglichkeiten kommt: immer raus damit.
Gruß Julian
Das war wohl der Kollege hier...
...
Code: Alles auswählen
66.246.246.42 - - [20/Jan/2006:14:24:08 +0100] "GET /con/mod_gbook/post.php HTTP/1.0" 200 3572 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1"
212.138.113.12 - - [20/Jan/2006:14:24:09 +0100] "POST /con/mod_gbook/post.php HTTP/1.0" 302 4435 "http://siambok.de/con/mod_gbook/post.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1"
212.138.47.15 - - [20/Jan/2006:14:24:10 +0100] "GET /con/mod_gbook/index.php HTTP/1.0" 200 8740 "http://siambok.de/con/mod_gbook/post.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1"
-
- Handbuchversteher
- Beiträge: 7381
- Registriert: 01.01.1970 02:00
- Hat sich bedankt: 115 Mal
- Danksagung erhalten: 938 Mal
Tja... ständig wechselnde IPs sowie korrekter Referrer... entweder ein sehr gutes Script oder eben die billige Hilfskraft...
Da würde dann zumindest eine Kontrolle der IP was bringen, weil er/es dann seine IP-Verschleierung aufgeben müsste... oder eben nicht mehr Spammen kann...
Da würde dann zumindest eine Kontrolle der IP was bringen, weil er/es dann seine IP-Verschleierung aufgeben müsste... oder eben nicht mehr Spammen kann...
Ciao Markus
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
Wau...
Muhaha... ich bin also beliebt in Saudi Arabien... Hm. Hat wohl keinen Zweck, da ne Mail hinzuschreiben, dass jemand ihre IPs missbraucht, oder? Naja, ich kanns ja mal versuchen...
Code: Alles auswählen
inetnum: 212.138.113.0 - 212.138.113.255
netname: ISU-8-1
descr: Internet Service Unit ISU - WAEL/BT
country: SA
admin-c: KR6046-RIPE
tech-c: KR6046-RIPE
status: ASSIGNED PA
mnt-by: KACST-ISU-MNT
mnt-routes: KACST-ISU-MNT
mnt-lower: KACST-ISU-MNT
remarks: ------------------------------------------------------
remarks: Part of this IP block has been used for proxy/cache
remarks: service at the National level in Saudi Arabia. All
remarks: Saudi Arabia web traffic will come from this IP block.
remarks:
remarks: If you experience high volume of traffic from
remarks: IP in this block it is because your site is very
remarks: popular/famous of Saudi Arabia community.
remarks:
remarks: For any abuse activities please contact us through
remarks: Email: abuse@isu.net.sa
remarks: Phone: +96614813933 (24x7)
remarks: Fax: +96614813221
remarks: ------------------------------------------------------
source: RIPE # Filtered
role: KACST ROLE
address: Saudi Network Information Center, ISU
address: King Abdulaziz City for Science and Technology,
address: P.O.Box 6086, Riyadh 11442, Saudi Arabia.
phone: +9661 481 3932
fax-no: +9661 481 3254
remarks: trouble: abuse@isu.net.sa
admin-c: ZOM1-RIPE
tech-c: RA705-RIPE
tech-c: ANAS1-RIPE
nic-hdl: KR6046-RIPE
remarks: This Role object is for handling and maintaining all
remarks: IP Blocks registered by SaudiNIC(LIR) in Saudi Arabia.
mnt-by: KACST-ISU-MNT
source: RIPE # Filtered
abuse-mailbox: abuse@isu.net.sa
% Information related to '212.138.113.0/24AS8895'
route: 212.138.113.0/24
descr: Saudi Arabia backbone and local registry address space
descr: Wael/BT
origin: AS8895
mnt-by: ISU-NOC
source: RIPE # Filtered