Viren, Spyware, Datenschutz 11.242 Themen, 94.693 Beiträge

Verfolgung starten Optionen

Profi Gästebuch Spamer - IP-Wechsel am laufenden Band

Dr. Dooley / 14 Antworten / Flachansicht Nickles

Hallo,
ich betreibe seit einiger Zeit sowie auch einige Bekannte, private Homepages, nichts besonders, auch nicht sonderlich stark frequentiert.

Einige Bekannte meinerseits hatten massivste Probleme mit Spam Einträgen. Nicht irgendwelche, sondern professionell werbende Spamer mit Medizinwerbung, Casinolinks etc etc.

Nicht nur 3 Einträge, sondern jede Nacht, besonders nachts (!) bis zu 50 Stück auf einmal.

Kurz nachher hat es auch meine Seite erwischt. Ich habe ein privates PHP Gästebuch, selbst programmiert. Ich habe seit längeren eine Art Blockierung gegen zu viele Einträge kurz nacheinander eingebaut, da ich sowieso nur sehr selten Einträge erhalte, weiss ich, wenn jemand kurz nacheinander vieles abschickt, spamt er mein GB zu.

Nungut. Gestern Nacht habe ich mal in die Datenbank geschaut, und ich logge jeden Zugriff mit in meine private kleine MySQL Datenbank. Inkllusive IP und Host sowie Info über Browser und Uhrzeit.

Der Spamer war eine Person, anders kann ich mir es nicht erklären. Aber wie kommt folgendes zu Stande:

Die IPs und die Hosts wechselten innerhalb von Sekunden von Berliner Uni Servern über US Server und die IPs waren IMMER unterschiedlich, ein Angriff dauerte 15 Minuten und die IPS waren in KEINEM Fall die gleichen. Hätte ich jetzt mein GB über IP Sperren geschützt, hätte das locker überwunden werden können.

Wie aber kommt das technisch zu Stande?

Das Ziel ist mir klar, Werbung verbreiten wo es nur geht, aber wer macht das? Eine Maschine? Ein Mensch? Wo sitzen die? In den USA? Wieso dann Berliner Server?

Was soll das ganze auf einer Nullachtfuffzehn Seite wie meiner, es geht um Fische und Aquarien, ich habe in der Woche vielleicht 30 Besucher, alles nur Bekannte, zwar habe ich eine eigene richtige Domain, aber die Seite ist bei google nur unter bestimmten Begriffen (speziellen Begriffen) gut gelistet und sonst nicht zu finden.


Wer kann mir einen Link nennen oder einen Tipp geben, bezüglich meiner vielen Fragen?

bei Antwort benachrichtigen
Hinweis: rill
Hinweis: Dr. Dooley
xafford Dr. Dooley „Profi Gästebuch Spamer - IP-Wechsel am laufenden Band“
Optionen

Gehe mal davon aus, dass diese Rechner Zombies sind, welche mit Spambots, Trojanern und oder Rootkits infiziert wurden. Diese werden dann automatisiert, oftmals über ICQ, gesteuert und bekommen ihre Befehle und Erweiterungen in ihrer Funktionalität.
Die Frage nach dem Zweck erklärt auch gleich, wer dem Internet diesen "Geschäftszweig" beschert hat: Google. Googles Linkpopularity sorgt dafür, dass häufig verlinkte Seiten eine höhere Gewichtung bekommen, als weniger verlinkte Seiten (einfach ausgedrückt, stimmt aber nicht immer ganz so). Somit ist es für Betreiber irgendwelcher schmuddeliger Angebote natürlich attraktiv so häufig wie möglich irgendwo einen Link und eine Nennung mit den entsprechenden Keyword positionieren zu können, vornehmlich gerne in Gästebüchern, Foren, Blogs und Wikis. Dabei ist das Interesse nicht einmal, dass menschliche Leser das registrieren (wird aber wahrscheinlich auch gerne inkauf genommen), sondern dass eben die Robots der Suchmaschinen darüber stolpern.
Das Ganze zu stoppen ist ein Wettrennen zwischen Hase und Igel, wobei der Seitenbetreiber immer der Hase sein wird, da er meist nur reagieren kann. Nachfolgend mal ein paar Ansätze, die aber alle auf die ein oder andere Weise ausgehebelt werden können.



  • Die IP-Sperre hast Du ja schon implementiert, lässt sich aber durch Botnetze aushebeln

  • Die Eintragung nur nach Überprüfung des Referers der Formularseite erlauben (HTTP_REFERER). Ist auch kein 100% Schutz, aber Bots würden dadurch aufgehalten, da der Bot speziell auf deine Seite zugeschnitten werden müsste.

  • Hashwert des Eintrages als UNIQUE in der DB mitspeichern. Das Verhindert zumindest ein Spamming mit vielen gleichlautenden EInträgen. Bots variieren aber leider oft die Einträge und es könne kurze und gleichlautende Einträge echter User verhindern.

  • Einträge erst nach Freischaltung anzeigen. Dies wär ein 100% Schutz, die Arbeit hast Du dann aber trotzdem.

  • Eintrag erst nach klicken eines Freischaltlinks per Email anzeigen. Dies verhindert Spamming auch sehr gut, ist aber unkomfortabel für User, verhindert anonyme Einträge und nicht jeder will aus Angst Spam zu erhalten seine Emailadresse an Fremde Seiten übermitteln.

  • Kein HTML zulassen in den Einsträgen (ist allein aus sicherheit vor XSS anzuraten). Dies verhindert zwar nicht das Spamming, sorgt aber dafür, dass der Spammer keinen Link setzen kann und deswegen vom Spamming keinen Nutzen hat.

  • Gästbuch für Robots sperren. Dies ist auch nur bedingt ratsam. Bei noch nicht gelisteten Gästebüchern sorgt es dafür, dass die Spammer es nicht automatisiert finden, aber leider auch kein User. Bei bereits indizierten Büchern sorgt es, wie das verbieten von HTML, dafür dass der Spammer von der Spam nichts mehr hat.

  • Filtern der Einträge nach Stichwörtern. Dies ist aufwändig, da die Variationsvielfalt groß ist und kan Kolatteralschäden in den Einträgen normaler Nutzer nach sich ziehen.

  • Nur registrierte Accounts zulassen. Ist auch kein 100% Schutz und schränkt den Komfort stark ein, wie bei dem Emaillink.

  • IP-Blöcke sperren, vornehmlich China, Taiwan und USA(!). Dies kommt natürlich nur in wenigen Fällen infrage und hilft auch nicht bei Botnetzen, soll deswegen auch nur der "Vollständigkeit" halber erwähnt werden.

  • Captchas einsetzen. Das sind die kleinen Bildchen mit Zahlen und Buchstaben, die man in ein Eingabefeld übertragen muss um einen Eintrag absetzen zu können. Einige Bots können aber auch schon recht passabel OCR, also die Bildchen auslesen. Zudem ist die Zugänglichkeit zur Seite eingeschränkt.



Einen sicheren Schutz bei gleichzeitig vollem Komfort wirst Du nicht umsetzen können. Ein sinnvoller Schutz kann auf die Schnelle aber durch den Hashwert realisiert werden in der DB, falls die Spam bei dir immer den gleichen Inhalt hat. In Zukunft ist eigentlich nur die Möglichkeit des Captchas ein guter Kompromiss zwischen Schutz und Komfort.
Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Also zuerste einmal vielen Dank für die vielen vielen Tipps, bei denen es ... Dr. Dooley
Da hilft ein bißchen Google, ganz abdecken wirst Du die auch nicht können, ... xafford
Das ist wohl richtig, da außerdem auch deutsche Server wie ja der Berliner ... Dr. Dooley
Asien gesperrt, Paris kommt Dr. Dooley
Mal eine ganz bescheidene Frage... Olaf19
Mal eine ganz bescheidene Frage... Dr. Dooley
Mal eine ganz bescheidene Frage... Olaf19
Mal eine ganz bescheidene Frage... Dr. Dooley
ich habe in der Woche vielleicht 30 Besucher Von denen dann vielleicht 3 ... Borlander
Das wäre die brauchbarste Lösung, die schon in den Startlöchern steht, ... Dr. Dooley
Da würde Dir mal glatt empfehlen wollen, Dich einmal in das Akismet API ... siebenkäs