Spambot ausschließen



  • Hi Gemeinde,

    seit geraumer Zeit versucht ein Spambot auf meiner Seite wahrscheinlich Viagra-Werbung zu plazieren. Laut meinen Logs bekomme in letzter Zeit zunehmend Besuch von folgenden Domains:

    vigra.viacrarx.info
    cials.viacrarx.info

    Bis dato wird der Bot noch von meinem Captcha-System geblockt. Die Frage ist, wie Lange. Was kann ich effektiv gegen diese Zugriffe tun?

    MfG F98.



  • Verwendest Du einen allgemein gängigen Captcha-Generator? Oder hast Du den selbst gebaut?

    Und verwendest Du für die Seite selbstgebaute Scripts, oder greifst Du auf ein gängiges CMS zurück?

    Erwartest Du, daß sich jemand speziell an Deiner Seite zu schaffen macht, d.h. daß wirklich jemand auf der anderen Seite "Dich" knacken will, oder ist es einfach nur ein generischer Bot, der irgendeinen Datenbank der Reihe nach abfährt?

    Daraus würde ich zunächst mal eine Risikobewertung ableiten.

    Eine schöne Variante eines Captchas ist ja, wenn man eine Frage stellt, und man muß die Antwort eintippen, statt das einfach nur abzuschreiben. Da hat ein Spambot mit Texterkennung dann vielleicht "3+4" verstanden und schreibt "3+4" in das Editfeld, statt einer "7"...



  • Bist Du Dir ganz sicher, dass das nicht einfach nur Referrer-Spam ist?



  • vielleicht recaptcha verwenden.



  • Wenn bis jetzt keine Spamposts durchkamen oder Du sonst irgendwelche Schwierigkeiten auftraten, gibt es keinerlei Grund, irgendwas am Setup zu ändern.

    Schau Dir mal die Anfragen genau an, dann kannst Du sagen, ob es sich um Referrer-Spam handelt, der Dich im Grunde ja nicht zu kümmern braucht, sofern Du die Referrer nicht öffentlich anzeigst.



  • Danke erstmal für die Antworten.

    Ich verwende als CMS Wordpress 2.8.4 mit Simple CAPTCHA und WP-Slimstat und pflege immer sofort die neuesten Bugfixes ein.

    Das Simple CAPTCHA möchte als Eingabe fast unlesbare Zahlen-Codes.

    Die o.g. Seiten vermiesen mir u.a. meine WP-Slimstat-Statistiken, indem sie durch die vielen Zugriffe prozentual sehr häufig auftauchen. Auch ändert sich ständig die Subdomain:

    viaga.cialos.info
    viafra.cialos.info

    cials.levetria.info
    viagera.levetria.info

    veagra.cialiserx.info
    vigira.cialiserx.info

    viagara.cialise.info
    cilias.cialise.info

    cials.viacrarx.info
    vigra.viacrarx.info

    usw.

    Sieht also eher nicht (nur) nach referer-Spam aus, sondern vordergründig nach einem System, was Blacklists + Captchas austricksen will. Ich würde da schon gerne etwas effektiver vor- und durchgreifen wollen, bevor das Kind in den Brunnen gefallen ist. Deswegen meine Frage hier.



  • Wie sehen die HTTP-Anfragen aus? Ohne die HTTP-Anfragen wirst Du nicht feststellen können, um welche Art von Zugriffen es sich handelt, sondern musst raten.

    Woraus Du schließt, dass das Versuche sind, Deine Captchas zu umgehen, weiß ich nicht, aus den Informationen, die Du hier gepostet hast, ist das definitiv nicht ersichtlich.



  • kann dein CAPTCHA nicht loggen wenn jmd. nen falschen text eingibt?
    wenn ja, müsstest du ja nur in die CAPTCHA logs gucken.

    ansonsten guck dir mal deine referrer statistik an, um nmans vermutung zu überprüfen.



  • Das Captcha-Plugin hat keine Log-Funktion.

    Meine eigenen Logs haben folgendes Muster:

    TIME                REMOTE_ADDR    REMOTE_HOST HTTP_REFERER                              REQUEST_METHOD
    11.11.2009 04:18:52 89.28.114.111              http://viagr.usvigra.info                 GET
    11.11.2009 04:18:56 89.28.114.111              http://meineeigeneseite.de/xyz/           GET
    11.11.2009 04:32:35 89.28.114.111              http://vaiagra.usvigra.info/site_map.html GET
    11.11.2009 04:32:37 89.28.114.111              http://meineeigeneseite.de/xyz/           GET
    

    Ich hatte noch ein zus. Plugin "Bad Behaviour" installiert. Dessen Logs zeigen dazu folgendes:

    89.28.114.111
    89-28-114-111.starnet.md
    
    2009-11-11 03:32:39
    
    Prohibited header 'Proxy-Connection' present 	GET /xyz/ HTTP/1.0
    Accept: */*
    User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; MRA 4.6 (build 01425))
    Referer: http://meineeigeneseite.de/xyz/
    Host: http://meineeigeneseite.de/
    Proxy-Connection: Keep-Alive
    
    89.28.114.111
    89-28-114-111.starnet.md
    
    2009-11-11 03:32:37
    
    Prohibited header 'Proxy-Connection' present 	GET /xyz/?p=1884 HTTP/1.0
    Accept: */*
    User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; MRA 4.6 (build 01425))
    Referer: http://vaiagra.usvigra.info/site_map.html
    Host: http://meineeigeneseite.de/
    Proxy-Connection: Keep-Alive
    
    89.28.114.111
    89-28-114-111.starnet.md
    
    2009-11-11 03:18:58
    
    Prohibited header 'Proxy-Connection' present 	GET /xyz/ HTTP/1.0
    Accept: */*
    User-Agent: Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0 ; .NET CLR 2.0.50215; SL Commerce Client v1.0; Tablet PC 2.0
    Referer: http://meineeigeneseite.de/xyz/
    Host: http://meineeigeneseite.de/
    Proxy-Connection: Keep-Alive
    
    89.28.114.111
    89-28-114-111.starnet.md
    
    2009-11-11 03:18:55
    
    Prohibited header 'Proxy-Connection' present 	GET /xyz/?p=1884 HTTP/1.0
    Accept: */*
    User-Agent: Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0 ; .NET CLR 2.0.50215; SL Commerce Client v1.0; Tablet PC 2.0
    Referer: http://viagr.usvigra.info
    Host: http://meineeigeneseite.de/
    Proxy-Connection: Keep-Alive
    


  • OK, die IP scheint bekannt dafür zu sein Spam zu posten - kannst ja einfach mal nach "89.28.114.111" suchen (Google) 🙂



  • F98 schrieb:

    Ich hatte noch ein zus. Plugin "Bad Behaviour" installiert.

    Fein, das hätte ich Dir als nächstes empfohlen. 🙂

    Ansonsten gibts auch ein paar IP-Blacklists, die Du verwenden könntest. Habe leider gerade keine Bookmarks zur Hand.

    hustbaer schrieb:

    OK, die IP scheint bekannt dafür zu sein Spam zu posten - kannst ja einfach mal nach "89.28.114.111" suchen (Google) 🙂

    Cool. Und Referrer-Spam verteilt er noch gleich dazu (siehe oben), die Spambots werden mittlerweile richtig schön multifunktional.



  • Wenn ich das richtig verstehe ist das also so eine richtige Spam-Ratte. Wie kann ich am effektivsten dem Müll von "89.28.114.111" standhalten?



  • F98 schrieb:

    Wenn ich das richtig verstehe ist das also so eine richtige Spam-Ratte. Wie kann ich am effektivsten dem Müll von "89.28.114.111" standhalten?

    Wenn es ein Rootserver ist, ganz brutal mit einer iptables-Regel, sowas ungefähr:
    iptables -A INPUT -s 89.28.114.111 -j DROP (Oder REJECT, je nach persönlicher Vorliebe.)

    Ansonsten gibts doch bestimmt auch IP-Blacklists für Wordpress, oder?



  • Man kann Bad Behaviour an eine Blacklist (BL-Key) anbinden oder in Worpress direkt die IP in die Kommentar-Blacklist unter "Einstellungen › Diskussion" eintragen. Letzteres unterbindet natürlich nicht generell die Seitenaufrufe von 89.28.114.111



  • F98 schrieb:

    Man kann Bad Behaviour an eine Blacklist (BL-Key) anbinden oder in Worpress direkt die IP in die Kommentar-Blacklist unter "Einstellungen › Diskussion" eintragen. Letzteres unterbindet natürlich nicht generell die Seitenaufrufe von 89.28.114.111

    Die Kommentar-Geschichte reicht Dir nicht aus, weil das immer noch Deine Logs zumüllt, richtig?

    Aber spricht irgendwas gegen die Blacklist von Bad Behaviour?



  • 1. richtig
    2. Bin mir nicht sicher, wie weit "vorne" Bad Behaviour potentielle Kandidaten abfängt. Rootserver habe ich nicht, deswegen muss es etwas sein, was wie ein Eintrag in der .htaccess wirkt, also noch bevor die index.php zum Zucken kommt.



  • F98 schrieb:

    2. Bin mir nicht sicher, wie weit "vorne" Bad Behaviour potentielle Kandidaten abfängt. Rootserver habe ich nicht, deswegen muss es etwas sein, was wie ein Eintrag in der .htaccess wirkt, also noch bevor die index.php zum Zucken kommt.

    Hm, wenn Du was willst, was sich wie ein Eintrag wie in der .htaccess verhält, warum machst Du dann keinen Eintrag in der .htaccess? 🙂

    http://httpd.apache.org/docs/2.0/mod/mod_access.html#deny



  • Das gilt doch aber nur für ein Verzeichnis, wo die .htaccess drin liegt?



  • F98 schrieb:

    Das gilt doch aber nur für ein Verzeichnis, wo die .htaccess drin liegt?

    Und für alle Unterverzeichnisse.



  • Ok, werd ich mal installieren.

    Danke für die Tipps.


Anmelden zum Antworten