Spambot ausschließen

Reply to Spambot ausschließen on Sun, 08 Nov 2009 20:04:36 GMT

F98 — Sun, 08 Nov 2009 20:04:36 GMT

Hi Gemeinde,

seit geraumer Zeit versucht ein Spambot auf meiner Seite wahrscheinlich Viagra-Werbung zu plazieren. Laut meinen Logs bekomme in letzter Zeit zunehmend Besuch von folgenden Domains:

vigra.viacrarx.info
cials.viacrarx.info

Bis dato wird der Bot noch von meinem Captcha-System geblockt. Die Frage ist, wie Lange. Was kann ich effektiv gegen diese Zugriffe tun?

MfG F98.

Reply to Spambot ausschließen on Sun, 08 Nov 2009 20:30:18 GMT

Marc++us — Sun, 08 Nov 2009 20:30:18 GMT

Verwendest Du einen allgemein gängigen Captcha-Generator? Oder hast Du den selbst gebaut?

Und verwendest Du für die Seite selbstgebaute Scripts, oder greifst Du auf ein gängiges CMS zurück?

Erwartest Du, daß sich jemand speziell an Deiner Seite zu schaffen macht, d.h. daß wirklich jemand auf der anderen Seite "Dich" knacken will, oder ist es einfach nur ein generischer Bot, der irgendeinen Datenbank der Reihe nach abfährt?

Daraus würde ich zunächst mal eine Risikobewertung ableiten.

Eine schöne Variante eines Captchas ist ja, wenn man eine Frage stellt, und man muß die Antwort eintippen, statt das einfach nur abzuschreiben. Da hat ein Spambot mit Texterkennung dann vielleicht "3+4" verstanden und schreibt "3+4" in das Editfeld, statt einer "7"...

Reply to Spambot ausschließen on Sun, 08 Nov 2009 23:28:16 GMT

nman — Sun, 08 Nov 2009 23:28:16 GMT

Bist Du Dir ganz sicher, dass das nicht einfach nur Referrer-Spam ist?

Reply to Spambot ausschließen on Mon, 09 Nov 2009 10:34:13 GMT

rapso — Mon, 09 Nov 2009 10:34:13 GMT

vielleicht recaptcha verwenden.

Reply to Spambot ausschließen on Mon, 09 Nov 2009 10:52:14 GMT

nman — Mon, 09 Nov 2009 10:52:14 GMT

Wenn bis jetzt keine Spamposts durchkamen oder Du sonst irgendwelche Schwierigkeiten auftraten, gibt es keinerlei Grund, irgendwas am Setup zu ändern.

Schau Dir mal die Anfragen genau an, dann kannst Du sagen, ob es sich um Referrer-Spam handelt, der Dich im Grunde ja nicht zu kümmern braucht, sofern Du die Referrer nicht öffentlich anzeigst.

Reply to Spambot ausschließen on Mon, 09 Nov 2009 11:15:21 GMT

F98 — Mon, 09 Nov 2009 11:15:21 GMT

Danke erstmal für die Antworten.

Ich verwende als CMS Wordpress 2.8.4 mit Simple CAPTCHA und WP-Slimstat und pflege immer sofort die neuesten Bugfixes ein.

Das Simple CAPTCHA möchte als Eingabe fast unlesbare Zahlen-Codes.

Die o.g. Seiten vermiesen mir u.a. meine WP-Slimstat-Statistiken, indem sie durch die vielen Zugriffe prozentual sehr häufig auftauchen. Auch ändert sich ständig die Subdomain:

viaga.cialos.info
viafra.cialos.info

cials.levetria.info
viagera.levetria.info

veagra.cialiserx.info
vigira.cialiserx.info

viagara.cialise.info
cilias.cialise.info

cials.viacrarx.info
vigra.viacrarx.info

usw.

Sieht also eher nicht (nur) nach referer-Spam aus, sondern vordergründig nach einem System, was Blacklists + Captchas austricksen will. Ich würde da schon gerne etwas effektiver vor- und durchgreifen wollen, bevor das Kind in den Brunnen gefallen ist. Deswegen meine Frage hier.

Reply to Spambot ausschließen on Mon, 09 Nov 2009 11:17:53 GMT

nman — Mon, 09 Nov 2009 11:17:53 GMT

Wie sehen die HTTP-Anfragen aus? Ohne die HTTP-Anfragen wirst Du nicht feststellen können, um welche Art von Zugriffen es sich handelt, sondern musst raten.

Woraus Du schließt, dass das Versuche sind, Deine Captchas zu umgehen, weiß ich nicht, aus den Informationen, die Du hier gepostet hast, ist das definitiv nicht ersichtlich.

Reply to Spambot ausschließen on Mon, 09 Nov 2009 18:04:09 GMT

hustbaer — Mon, 09 Nov 2009 18:04:09 GMT

kann dein CAPTCHA nicht loggen wenn jmd. nen falschen text eingibt?
wenn ja, müsstest du ja nur in die CAPTCHA logs gucken.

ansonsten guck dir mal deine referrer statistik an, um nmans vermutung zu überprüfen.

Reply to Spambot ausschließen on Wed, 11 Nov 2009 09:07:04 GMT

F98 — Wed, 11 Nov 2009 09:07:04 GMT

Das Captcha-Plugin hat keine Log-Funktion.

Meine eigenen Logs haben folgendes Muster:

TIME                REMOTE_ADDR    REMOTE_HOST HTTP_REFERER                              REQUEST_METHOD
11.11.2009 04:18:52 89.28.114.111              http://viagr.usvigra.info                 GET
11.11.2009 04:18:56 89.28.114.111              http://meineeigeneseite.de/xyz/           GET
11.11.2009 04:32:35 89.28.114.111              http://vaiagra.usvigra.info/site_map.html GET
11.11.2009 04:32:37 89.28.114.111              http://meineeigeneseite.de/xyz/           GET

Ich hatte noch ein zus. Plugin "Bad Behaviour" installiert. Dessen Logs zeigen dazu folgendes:

89.28.114.111
89-28-114-111.starnet.md

2009-11-11 03:32:39

Prohibited header 'Proxy-Connection' present 	GET /xyz/ HTTP/1.0
Accept: */*
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; MRA 4.6 (build 01425))
Referer: http://meineeigeneseite.de/xyz/
Host: http://meineeigeneseite.de/
Proxy-Connection: Keep-Alive

89.28.114.111
89-28-114-111.starnet.md

2009-11-11 03:32:37

Prohibited header 'Proxy-Connection' present 	GET /xyz/?p=1884 HTTP/1.0
Accept: */*
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; MRA 4.6 (build 01425))
Referer: http://vaiagra.usvigra.info/site_map.html
Host: http://meineeigeneseite.de/
Proxy-Connection: Keep-Alive

89.28.114.111
89-28-114-111.starnet.md

2009-11-11 03:18:58

Prohibited header 'Proxy-Connection' present 	GET /xyz/ HTTP/1.0
Accept: */*
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0 ; .NET CLR 2.0.50215; SL Commerce Client v1.0; Tablet PC 2.0
Referer: http://meineeigeneseite.de/xyz/
Host: http://meineeigeneseite.de/
Proxy-Connection: Keep-Alive

89.28.114.111
89-28-114-111.starnet.md

2009-11-11 03:18:55

Prohibited header 'Proxy-Connection' present 	GET /xyz/?p=1884 HTTP/1.0
Accept: */*
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0b; Windows NT 6.0 ; .NET CLR 2.0.50215; SL Commerce Client v1.0; Tablet PC 2.0
Referer: http://viagr.usvigra.info
Host: http://meineeigeneseite.de/
Proxy-Connection: Keep-Alive

Reply to Spambot ausschließen on Wed, 11 Nov 2009 16:07:15 GMT

hustbaer — Wed, 11 Nov 2009 16:07:15 GMT

OK, die IP scheint bekannt dafür zu sein Spam zu posten - kannst ja einfach mal nach "89.28.114.111" suchen (Google)

Reply to Spambot ausschließen on Wed, 11 Nov 2009 23:24:58 GMT

nman — Wed, 11 Nov 2009 23:24:58 GMT

F98 schrieb:

Ich hatte noch ein zus. Plugin "Bad Behaviour" installiert.

Fein, das hätte ich Dir als nächstes empfohlen.

Ansonsten gibts auch ein paar IP-Blacklists, die Du verwenden könntest. Habe leider gerade keine Bookmarks zur Hand.

hustbaer schrieb:

OK, die IP scheint bekannt dafür zu sein Spam zu posten - kannst ja einfach mal nach "89.28.114.111" suchen (Google)

Cool. Und Referrer-Spam verteilt er noch gleich dazu (siehe oben), die Spambots werden mittlerweile richtig schön multifunktional.

Reply to Spambot ausschließen on Thu, 12 Nov 2009 07:48:30 GMT

F98 — Thu, 12 Nov 2009 07:48:30 GMT

Wenn ich das richtig verstehe ist das also so eine richtige Spam-Ratte. Wie kann ich am effektivsten dem Müll von "89.28.114.111" standhalten?

Reply to Spambot ausschließen on Thu, 12 Nov 2009 10:36:02 GMT

nman — Thu, 12 Nov 2009 10:36:02 GMT

F98 schrieb:

Wenn ich das richtig verstehe ist das also so eine richtige Spam-Ratte. Wie kann ich am effektivsten dem Müll von "89.28.114.111" standhalten?

Wenn es ein Rootserver ist, ganz brutal mit einer iptables-Regel, sowas ungefähr:
iptables -A INPUT -s 89.28.114.111 -j DROP (Oder REJECT, je nach persönlicher Vorliebe.)

Ansonsten gibts doch bestimmt auch IP-Blacklists für Wordpress, oder?

Reply to Spambot ausschließen on Thu, 12 Nov 2009 11:02:54 GMT

F98 — Thu, 12 Nov 2009 11:02:54 GMT

Man kann Bad Behaviour an eine Blacklist (BL-Key) anbinden oder in Worpress direkt die IP in die Kommentar-Blacklist unter "Einstellungen › Diskussion" eintragen. Letzteres unterbindet natürlich nicht generell die Seitenaufrufe von 89.28.114.111

Reply to Spambot ausschließen on Thu, 12 Nov 2009 11:12:51 GMT

nman — Thu, 12 Nov 2009 11:12:51 GMT

F98 schrieb:

Man kann Bad Behaviour an eine Blacklist (BL-Key) anbinden oder in Worpress direkt die IP in die Kommentar-Blacklist unter "Einstellungen › Diskussion" eintragen. Letzteres unterbindet natürlich nicht generell die Seitenaufrufe von 89.28.114.111

Die Kommentar-Geschichte reicht Dir nicht aus, weil das immer noch Deine Logs zumüllt, richtig?

Aber spricht irgendwas gegen die Blacklist von Bad Behaviour?

Reply to Spambot ausschließen on Thu, 12 Nov 2009 12:11:29 GMT

F98 — Thu, 12 Nov 2009 12:11:29 GMT

1. richtig
2. Bin mir nicht sicher, wie weit "vorne" Bad Behaviour potentielle Kandidaten abfängt. Rootserver habe ich nicht, deswegen muss es etwas sein, was wie ein Eintrag in der .htaccess wirkt, also noch bevor die index.php zum Zucken kommt.

Reply to Spambot ausschließen on Thu, 12 Nov 2009 12:28:35 GMT

nman — Thu, 12 Nov 2009 12:28:35 GMT

F98 schrieb:

2. Bin mir nicht sicher, wie weit "vorne" Bad Behaviour potentielle Kandidaten abfängt. Rootserver habe ich nicht, deswegen muss es etwas sein, was wie ein Eintrag in der .htaccess wirkt, also noch bevor die index.php zum Zucken kommt.

Hm, wenn Du was willst, was sich wie ein Eintrag wie in der .htaccess verhält, warum machst Du dann keinen Eintrag in der .htaccess?

http://httpd.apache.org/docs/2.0/mod/mod_access.html#deny

Reply to Spambot ausschließen on Thu, 12 Nov 2009 12:59:49 GMT

F98 — Thu, 12 Nov 2009 12:59:49 GMT

Das gilt doch aber nur für ein Verzeichnis, wo die .htaccess drin liegt?

Reply to Spambot ausschließen on Thu, 12 Nov 2009 17:46:46 GMT

nman — Thu, 12 Nov 2009 17:46:46 GMT

F98 schrieb:

Das gilt doch aber nur für ein Verzeichnis, wo die .htaccess drin liegt?

Und für alle Unterverzeichnisse.

Reply to Spambot ausschließen on Thu, 12 Nov 2009 19:04:11 GMT

F98 — Thu, 12 Nov 2009 19:04:11 GMT

Ok, werd ich mal installieren.

Danke für die Tipps.