OT - Was tun gegen Spamming?

In diesem Forum finden Diskussionen zu allen für ConPresso 3.x verfügbaren Modulen statt.
JSchädler

OT - Was tun gegen Spamming?

Beitrag von JSchädler »

So hallo.

Das hier hat eigentlich nichts mit ConPresso oder den Modulen zu tun, aber ich frage einfach überall mal nach... ;-)

Ich habe zur Zeit massive Probleme mit Spamming in meinem Gästebuch. Damit meine ich nicht dämliche Kiddies, die sich einen Spaß draus machen, Leute zu beschimpfen, sondern offensichtliche Scripte, die in jedes Gästebuch, das sie finden, ihren "billigeRolex-SoftwareZuSpottPreisen-PenisEnlargements"-Schrott abladen.

Die Metadaten habe ich aus dem Header schon entfernt, die Robots kriegen zukünftig auf der Seite ein "noindex, nofollow" auf die Nase. Aber es hört nicht auf.

Kann man dagegen irgend etwas unternehmen? Oder muss ich damit leben, so lange ich nicht... was weiß ich... ein Flash-Frontend für das Gästebuch baue?

Die ständige Löscherei geht mir nämlich allmählich auf die Nerven...

Vielen Dank, viele Grüße
Julian
Benutzeravatar
semf
Modul-Entwickler
Beiträge: 1853
Registriert: 01.01.1970 02:00
Wohnort: Gütersloh-Friedrichsdorf
Hat sich bedankt: 14 Mal
Danksagung erhalten: 40 Mal

Beitrag von semf »

wäre schön, wenn man sich das mal anschauen könnte! welches gästebuch setzt due den ein?
Viel Erfolg!

Module ConPresso 4.x
Latest News
Tell-a-friend

Module ConPresso 3.4.x
Index_X
Kontakt
RSS-Feed
Umfrage
Gästebuch
Tell-a-Friend

Modul-Download
JSchädler

Beitrag von JSchädler »

Deines. :)

Allerdings nicht die aktuelle Version, sondern die letzte oder vorletzte. Wollte in den kommenden Semesterferien mal alles auf den neuesten Stand bringen...

http://siambok.de/con/mod_gbook/index.php

Wunder dich nicht über die Kommentare im Quelltext... ich hatte gehofft, jemand anders würde die Seite pflegen... dazu kams bisher leider nie. :-)

Viele Grüße
Julian
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7117
Registriert: 01.01.1970 02:00
Hat sich bedankt: 103 Mal
Danksagung erhalten: 916 Mal

Beitrag von MarkusR »

Vielleicht kann man ja den Referrer checken, so daß nur die vom Original-Formular gesendeten Einträge auch aufgenommen werden?
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
Benutzeravatar
semf
Modul-Entwickler
Beiträge: 1853
Registriert: 01.01.1970 02:00
Wohnort: Gütersloh-Friedrichsdorf
Hat sich bedankt: 14 Mal
Danksagung erhalten: 40 Mal

Beitrag von semf »

mmmh?! man müsste mal schauen, wie dieses gespamme abläuft. wird direkt das gästebuch angesprungen, könnte man evt. mit einer session-variable arbeiten, die nur gesetzt ist, wenn man von einer anderen seite deiner seite kommt.

weiß dein webserver-logfile was dazu?
Viel Erfolg!

Module ConPresso 4.x
Latest News
Tell-a-friend

Module ConPresso 3.4.x
Index_X
Kontakt
RSS-Feed
Umfrage
Gästebuch
Tell-a-Friend

Modul-Download
JSchädler

Beitrag von JSchädler »

Wau... jetzt fragst mich Sachen... welches Log guck ich da an, bzw. nach was suche ich dort?

In den Access-Logs findet sich zum Beispiel sowas:

Code: Alles auswählen

68.142.251.107 - - [20/Jan/2006:00:21:16 +0100] "GET /robots.txt HTTP/1.0" 404 1325 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)" 
68.142.250.125 - - [20/Jan/2006:00:21:16 +0100] "GET /con/mod_gbook/index.php?pos=12&val=0 HTTP/1.0" 200 9494 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)" 
65.214.44.191 - - [20/Jan/2006:00:31:25 +0100] "GET /robots.txt HTTP/1.0" 404 1325 "-" "Mozilla/2.0 (compatible; Ask Jeeves/Teoma; +http://sp.ask.com/docs/about/tech_crawling.html)" 
65.214.44.191 - - [20/Jan/2006:00:31:27 +0100] "GET / HTTP/1.0" 200 1796 "-" "Mozilla/2.0 (compatible; Ask Jeeves/Teoma; +http://sp.ask.com/docs/about/tech_crawling.html)" 
65.214.44.191 - - [20/Jan/2006:00:31:30 +0100] "GET /con4/_r01-news/index.php HTTP/1.0" 200 5252 "-" "Mozilla/2.0 (compatible; Ask Jeeves/Teoma; +http://sp.ask.com/docs/about/tech_crawling.html)" 
66.249.65.36 - - [20/Jan/2006:00:35:05 +0100] "GET /con4/mod_bilderalbum/bilder/t1-CIMG3680.jpg HTTP/1.1" 200 22695 "-" "Googlebot-Image/1.0" 
66.249.65.36 - - [20/Jan/2006:00:35:08 +0100] "GET /con4/mod_bilderalbum/bilder/t1-CIMG3680.jpg HTTP/1.1" 200 22694 "-" "Googlebot-Image/1.0" 
66.249.65.36 - - [20/Jan/2006:01:02:41 +0100] "GET /blog/uploaded_images/band001-770661.jpg HTTP/1.1" 200 6238 "-" "Googlebot-Image/1.0" 
212.227.62.28 - - [20/Jan/2006:01:11:19 +0100] "HEAD / HTTP/1.1" 200 236 "-" "Aberja Checkomat" 
68.142.251.107 - - [20/Jan/2006:01:20:33 +0100] "GET /robots.txt HTTP/1.0" 404 1325 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)" 
68.142.249.96 - - [20/Jan/2006:01:20:33 +0100] "GET /blog/2005/07/vorzge-des-rockstar-daseins.html HTTP/1.0" 200 16286 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp; http://help.yahoo.com/help/us/ysearch/slurp)" 
139.18.2.81 - - [20/Jan/2006:01:25:11 +0100] "GET /robots.txt HTTP/1.1" 404 1434 "-" "findlinks/1.1.1-a1 (+http://wortschatz.uni-leipzig.de/findlinks/)" 
66.249.65.36 - - [20/Jan/2006:02:16:24 +0100] "GET /blog/uploaded_images/fan002-757250.jpg HTTP/1.1" 200 6008 "-" "Googlebot-Image/1.0" 
66.249.65.36 - - [20/Jan/2006:02:25:23 +0100] "GET /con4/f_cindy/08_impressum.jpg HTTP/1.1" 200 78735 "-" "Googlebot-Image/1.0" 
202.160.180.80 - - [20/Jan/2006:03:17:28 +0100] "GET /robots.txt HTTP/1.0" 404 1325 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp China; http://misc.yahoo.com.cn/help.html)" 
202.160.180.34 - - [20/Jan/2006:03:17:29 +0100] "GET / HTTP/1.0" 304 150 "-" "Mozilla/5.0 (compatible; Yahoo! Slurp China; http://misc.yahoo.com.cn/help.html)" 
85.93.22.2 - - [20/Jan/2006:04:00:23 +0100] "GET / HTTP/1.1" 200 1777 "http://4domains.de" "4domains crawler - http://4domains.de" 
212.227.62.28 - - [20/Jan/2006:04:12:25 +0100] "HEAD / HTTP/1.1" 200 236 "-" "Aberja Checkomat" 
Fängst du damit was an? Ich nicht. :-)
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7117
Registriert: 01.01.1970 02:00
Hat sich bedankt: 103 Mal
Danksagung erhalten: 916 Mal

Beitrag von MarkusR »

Wenn Du da jetzt ein paar Zeilen mit "post.php" drinhättest... :roll:
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
JSchädler

Beitrag von JSchädler »

Hupps. :roll: Krieg ich hin. :-)

Code: Alles auswählen

84.56.177.49 - - [20/Jan/2006:12:39:41 +0100] "GET /con/mod_gbook/post.php HTTP/1.1" 200 3668 "http://siambok.de/con/mod_gbook/index.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.5) Gecko/20031007" 

Code: Alles auswählen

195.175.37.6 - - [20/Jan/2006:12:42:18 +0100] "GET /con/mod_gbook/post.php HTTP/1.0" 200 3572 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1" 

Code: Alles auswählen

200.79.192.24 - - [20/Jan/2006:12:42:19 +0100] "POST /con/mod_gbook/post.php HTTP/1.0" 302 3914 "http://siambok.de/con/mod_gbook/post.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1" 

Code: Alles auswählen

84.56.177.49 - - [20/Jan/2006:12:42:42 +0100] "POST /con/mod_gbook/post.php HTTP/1.1" 302 4096 "http://siambok.de/con/mod_gbook/post.php" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.5) Gecko/20031007" 
Hmm... mehr davon? Ich hätte noch so um die 15 allein von heute im Angebot... :-) Ich kann auch die ganzen letzten paarhundert Zeilen posten... :-) Ich kenn mich einfach zu wenig aus... Was schließt man denn aus diesen Zeilen? Damit ich's in Zukunft auch verstehe... man ist schließlich lernwillig. :-)
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7117
Registriert: 01.01.1970 02:00
Hat sich bedankt: 103 Mal
Danksagung erhalten: 916 Mal

Beitrag von MarkusR »

Die sehen erst mal unverdächtig aus.

Die ersten beiden haben die Eingabemaske aufgefufen -> "GET"

die zwei letzten haben das Formular abgesendet -> "POST"

"http://siambok.de/con/mod_gbook/post.php" ist der Referrer.

Wenn bei einem "POST" was anderes als "http://siambok.de/con/mod_gbook/post.php" steht, dann sollte das ein Spammer sein (insofern da nicht eine billge Arbeitskraft den Müll wirklich eintippt).

Der letzte kommt aus Stuttgart
http://network-tools.com/default.asp?pr ... .56.177.49

der vorletzte eher nicht aus Europa
http://network-tools.com/default.asp?pr ... .79.192.24

Du kannst ja auch die angegebenen Zeiten mit den Zeiten der GB-Postings vergleichen, was die Suche erheblich vereinfacht.

Ein Hinweis (mit angehängtem Logfile und Erläuterung des Vergehens) an den Serverbetreiber oder den Provider wirkt übrigens Wunder... :twisted:
Zuletzt geändert von MarkusR am 20.01.2006 16:00, insgesamt 1-mal geändert.
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
JSchädler

Beitrag von JSchädler »

Hm... wenn die Uhrzeiten stimmen, waren das aber alles Spam-Einträge. :-( Heißt das, dass da tatsächlich einer dahinter hockt? Armer Kerl. :? Bliebe die Möglichkeit eines LogIns... aber das mag ich eigentlich nicht...

Ich hasse diese Typen...

Hmtja... danke euch beiden. Falls ihr spontan auf Lösungsmöglichkeiten kommt: immer raus damit. :-)

Gruß Julian
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7117
Registriert: 01.01.1970 02:00
Hat sich bedankt: 103 Mal
Danksagung erhalten: 916 Mal

Beitrag von MarkusR »

Versuche doch mal den hier im Logfile zu identifizieren...
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
JSchädler

Beitrag von JSchädler »

Das war wohl der Kollege hier...

Code: Alles auswählen

66.246.246.42 - - [20/Jan/2006:14:24:08 +0100] "GET /con/mod_gbook/post.php HTTP/1.0" 200 3572 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1" 
212.138.113.12 - - [20/Jan/2006:14:24:09 +0100] "POST /con/mod_gbook/post.php HTTP/1.0" 302 4435 "http://siambok.de/con/mod_gbook/post.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1" 
212.138.47.15 - - [20/Jan/2006:14:24:10 +0100] "GET /con/mod_gbook/index.php HTTP/1.0" 200 8740 "http://siambok.de/con/mod_gbook/post.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1" 
...
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7117
Registriert: 01.01.1970 02:00
Hat sich bedankt: 103 Mal
Danksagung erhalten: 916 Mal

Beitrag von MarkusR »

Tja... ständig wechselnde IPs sowie korrekter Referrer... entweder ein sehr gutes Script oder eben die billige Hilfskraft... :?

Da würde dann zumindest eine Kontrolle der IP was bringen, weil er/es dann seine IP-Verschleierung aufgeben müsste... oder eben nicht mehr Spammen kann...
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
Gast

Beitrag von Gast »

Kontrolle der IP... klingt gut. :-)

Wie mach ich das? Wen muss ich dafür bestechen? :-)
Gast

Beitrag von Gast »

Wau...

Code: Alles auswählen

inetnum:        212.138.113.0 - 212.138.113.255
netname:        ISU-8-1
descr:          Internet Service Unit ISU - WAEL/BT
country:        SA
admin-c:        KR6046-RIPE
tech-c:         KR6046-RIPE
status:         ASSIGNED PA
mnt-by:         KACST-ISU-MNT
mnt-routes:     KACST-ISU-MNT
mnt-lower:      KACST-ISU-MNT
remarks:        ------------------------------------------------------
remarks:        Part of this IP block has been used for proxy/cache
remarks:        service at the National level in Saudi Arabia. All
remarks:        Saudi Arabia web traffic will come from this IP block.
remarks:
remarks:        If you experience high volume of traffic from
remarks:        IP in this block it is because your site is very
remarks:        popular/famous of Saudi Arabia community.
remarks:
remarks:        For any abuse activities please contact us through
remarks:        Email: abuse@isu.net.sa
remarks:        Phone: +96614813933 (24x7)
remarks:        Fax: +96614813221
remarks:        ------------------------------------------------------
source:         RIPE # Filtered

role:           KACST ROLE
address:        Saudi Network Information Center, ISU
address:        King Abdulaziz City for Science and Technology,
address:        P.O.Box 6086, Riyadh 11442, Saudi Arabia.
phone:          +9661 481 3932
fax-no:         +9661 481 3254
remarks:        trouble:      abuse@isu.net.sa
admin-c:        ZOM1-RIPE
tech-c:         RA705-RIPE
tech-c:         ANAS1-RIPE
nic-hdl:        KR6046-RIPE
remarks:        This Role object is for handling and maintaining all
remarks:        IP Blocks registered by SaudiNIC(LIR) in Saudi Arabia.
mnt-by:         KACST-ISU-MNT
source:         RIPE # Filtered
abuse-mailbox:  abuse@isu.net.sa

% Information related to '212.138.113.0/24AS8895'

route:          212.138.113.0/24
descr:          Saudi Arabia backbone and local registry address space
descr:          Wael/BT
origin:         AS8895
mnt-by:         ISU-NOC
source:         RIPE # Filtered
Muhaha... ich bin also beliebt in Saudi Arabien... Hm. :-) Hat wohl keinen Zweck, da ne Mail hinzuschreiben, dass jemand ihre IPs missbraucht, oder? Naja, ich kanns ja mal versuchen...