Spambot ausschließen
-
Danke erstmal für die Antworten.
Ich verwende als CMS Wordpress 2.8.4 mit Simple CAPTCHA und WP-Slimstat und pflege immer sofort die neuesten Bugfixes ein.
Das Simple CAPTCHA möchte als Eingabe fast unlesbare Zahlen-Codes.
Die o.g. Seiten vermiesen mir u.a. meine WP-Slimstat-Statistiken, indem sie durch die vielen Zugriffe prozentual sehr häufig auftauchen. Auch ändert sich ständig die Subdomain:
viaga.cialos.info
viafra.cialos.infocials.levetria.info
viagera.levetria.infoveagra.cialiserx.info
vigira.cialiserx.infoviagara.cialise.info
cilias.cialise.infocials.viacrarx.info
vigra.viacrarx.infousw.
Sieht also eher nicht (nur) nach referer-Spam aus, sondern vordergründig nach einem System, was Blacklists + Captchas austricksen will. Ich würde da schon gerne etwas effektiver vor- und durchgreifen wollen, bevor das Kind in den Brunnen gefallen ist. Deswegen meine Frage hier.
-
Wie sehen die HTTP-Anfragen aus? Ohne die HTTP-Anfragen wirst Du nicht feststellen können, um welche Art von Zugriffen es sich handelt, sondern musst raten.
Woraus Du schließt, dass das Versuche sind, Deine Captchas zu umgehen, weiß ich nicht, aus den Informationen, die Du hier gepostet hast, ist das definitiv nicht ersichtlich.
-
kann dein CAPTCHA nicht loggen wenn jmd. nen falschen text eingibt?
wenn ja, müsstest du ja nur in die CAPTCHA logs gucken.ansonsten guck dir mal deine referrer statistik an, um nmans vermutung zu überprüfen.
-
Das Captcha-Plugin hat keine Log-Funktion.
Meine eigenen Logs haben folgendes Muster:
TIME REMOTE_ADDR REMOTE_HOST HTTP_REFERER REQUEST_METHOD 11.11.2009 04:18:52 89.28.114.111 http://viagr.usvigra.info GET 11.11.2009 04:18:56 89.28.114.111 http://meineeigeneseite.de/xyz/ GET 11.11.2009 04:32:35 89.28.114.111 http://vaiagra.usvigra.info/site_map.html GET 11.11.2009 04:32:37 89.28.114.111 http://meineeigeneseite.de/xyz/ GETIch hatte noch ein zus. Plugin "Bad Behaviour" installiert. Dessen Logs zeigen dazu folgendes:
89.28.114.111 89-28-114-111.starnet.md 2009-11-11 03:32:39 Prohibited header 'Proxy-Connection' present GET /xyz/ HTTP/1.0 Accept: */* User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; MRA 4.6 (build 01425)) Referer: http://meineeigeneseite.de/xyz/ Host: http://meineeigeneseite.de/ Proxy-Connection: Keep-Alive 89.28.114.111 89-28-114-111.starnet.md 2009-11-11 03:32:37 Prohibited header 'Proxy-Connection' present GET /xyz/?p=1884 HTTP/1.0 Accept: */* User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; MRA 4.6 (build 01425)) Referer: http://vaiagra.usvigra.info/site_map.html Host: http://meineeigeneseite.de/ Proxy-Connection: Keep-Alive 89.28.114.111 89-28-114-111.starnet.md 2009-11-11 03:18:58 Prohibited header 'Proxy-Connection' present GET /xyz/ HTTP/1.0 Accept: */* User-Agent: Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0 ; .NET CLR 2.0.50215; SL Commerce Client v1.0; Tablet PC 2.0 Referer: http://meineeigeneseite.de/xyz/ Host: http://meineeigeneseite.de/ Proxy-Connection: Keep-Alive 89.28.114.111 89-28-114-111.starnet.md 2009-11-11 03:18:55 Prohibited header 'Proxy-Connection' present GET /xyz/?p=1884 HTTP/1.0 Accept: */* User-Agent: Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0 ; .NET CLR 2.0.50215; SL Commerce Client v1.0; Tablet PC 2.0 Referer: http://viagr.usvigra.info Host: http://meineeigeneseite.de/ Proxy-Connection: Keep-Alive
-
OK, die IP scheint bekannt dafür zu sein Spam zu posten - kannst ja einfach mal nach "89.28.114.111" suchen (Google)
-
F98 schrieb:
Ich hatte noch ein zus. Plugin "Bad Behaviour" installiert.
Fein, das hätte ich Dir als nächstes empfohlen.
Ansonsten gibts auch ein paar IP-Blacklists, die Du verwenden könntest. Habe leider gerade keine Bookmarks zur Hand.
hustbaer schrieb:
OK, die IP scheint bekannt dafür zu sein Spam zu posten - kannst ja einfach mal nach "89.28.114.111" suchen (Google)
Cool. Und Referrer-Spam verteilt er noch gleich dazu (siehe oben), die Spambots werden mittlerweile richtig schön multifunktional.
-
Wenn ich das richtig verstehe ist das also so eine richtige Spam-Ratte. Wie kann ich am effektivsten dem Müll von "89.28.114.111" standhalten?
-
F98 schrieb:
Wenn ich das richtig verstehe ist das also so eine richtige Spam-Ratte. Wie kann ich am effektivsten dem Müll von "89.28.114.111" standhalten?
Wenn es ein Rootserver ist, ganz brutal mit einer iptables-Regel, sowas ungefähr:
iptables -A INPUT -s 89.28.114.111 -j DROP(Oder REJECT, je nach persönlicher Vorliebe.)Ansonsten gibts doch bestimmt auch IP-Blacklists für Wordpress, oder?
-
Man kann Bad Behaviour an eine Blacklist (BL-Key) anbinden oder in Worpress direkt die IP in die Kommentar-Blacklist unter "Einstellungen › Diskussion" eintragen. Letzteres unterbindet natürlich nicht generell die Seitenaufrufe von 89.28.114.111
-
F98 schrieb:
Man kann Bad Behaviour an eine Blacklist (BL-Key) anbinden oder in Worpress direkt die IP in die Kommentar-Blacklist unter "Einstellungen › Diskussion" eintragen. Letzteres unterbindet natürlich nicht generell die Seitenaufrufe von 89.28.114.111
Die Kommentar-Geschichte reicht Dir nicht aus, weil das immer noch Deine Logs zumüllt, richtig?
Aber spricht irgendwas gegen die Blacklist von Bad Behaviour?
-
1. richtig
2. Bin mir nicht sicher, wie weit "vorne" Bad Behaviour potentielle Kandidaten abfängt. Rootserver habe ich nicht, deswegen muss es etwas sein, was wie ein Eintrag in der .htaccess wirkt, also noch bevor die index.php zum Zucken kommt.
-
F98 schrieb:
2. Bin mir nicht sicher, wie weit "vorne" Bad Behaviour potentielle Kandidaten abfängt. Rootserver habe ich nicht, deswegen muss es etwas sein, was wie ein Eintrag in der .htaccess wirkt, also noch bevor die index.php zum Zucken kommt.
Hm, wenn Du was willst, was sich wie ein Eintrag wie in der .htaccess verhält, warum machst Du dann keinen Eintrag in der .htaccess?
-
Das gilt doch aber nur für ein Verzeichnis, wo die .htaccess drin liegt?
-
F98 schrieb:
Das gilt doch aber nur für ein Verzeichnis, wo die .htaccess drin liegt?
Und für alle Unterverzeichnisse.
-
Ok, werd ich mal installieren.
Danke für die Tipps.
