Seite 3 von 7 ErsteErste 12345 ... LetzteLetzte
Ergebnis 21 bis 30 von 64

Thema: Casino-Online und andere spammen im Gästebuch

  1. #21
    Mitglied
    Registriert seit
    13.09.2005
    Beiträge
    138

    Standard

    Hallo Spam-Killer,

    kann ja sein, dass wir aneinander vorbei schreiben, möglicherweise habe ich auch deine Gedankengänge nicht richtig verstanden. Wenn es jedoch wie hier aussieht, spricht doch vieles dafür, dass es sich um ein Script handelt.

    Hier ein paar hintereinander liegende Einträge:
    Der von mir rot gefärbte könnte durch solch einen Script erzeugt sein, oder liege ich schon wieder falsch?

    nc-cable4-208.rrz.uni-koeln.de - - [15/Feb/2006:13:23:12 +0100] "GET /youthpage/.......
    nc-cable4-208.rrz.uni-koeln.de - - [15/Feb/2006:13:23:12 +0100] "GET /fotos/.......
    nc-cable4-208.rrz.uni-koeln.de - - [15/Feb/2006:13:23:12 +0100] "GET /youthpage/.......
    nc-cable4-208.rrz.uni-koeln.de - - [15/Feb/2006:13:23:12 +0100] "GET /favicon.ico.......
    nc-cable4-208.rrz.uni-koeln.de - - [15/Feb/2006:13:23:17 +0100] "GET /fotos/.......
    lj2447.inktomisearch.com - - [15/Feb/2006:13:30:51 +0100] "GET /plan.html ..........
    lj2547.inktomisearch.com - - [15/Feb/2006:13:34:13 +0100] "GET /fotos/.......
    egspd42208.ask.com - - [15/Feb/2006:13:34:21 +0100] "GET /fotos/........


    221.141.68.118 - - [15/Feb/2006:13:48:46 +0100] "POST /php/gaestebuch/eingetragen.php HTTP/1.1" 200 460 "http://URL.de/php/gaestebuch/neu.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"


    egspd42208.ask.com - - [15/Feb/2006:13:49:06 +0100] "GET /fotos/...........
    mmcrm4012.search.mud.yahoo.com - - [15/Feb/2006:13:54:28 +0100] "GET /fotos/........
    mmcrm4012.search.mud.yahoo.com - - [15/Feb/2006:13:54:50 +0100] "GET /fotos/.......
    mmcrm4012.search.mud.yahoo.com - - [15/Feb/2006:13:57:12 +0100] "GET /fotos/.......
    mmcrm4012.search.mud.yahoo.com - - [15/Feb/2006:13:57:17 +0100] "GET /fotos/........

  2. #22
    Neues Mitglied Avatar von Spam-Killer
    Registriert seit
    19.02.2006
    Beiträge
    27

    Cool Post

    Hallo hami,
    wenn alle Einträge hintereinander waren einschl. des roten und des darauffolgenden Blocks und wenn in der Zeit von 13Uhr23 bis 13Uhr57 mit der IP 221.141.68.118 kein GET-Eintrag auf Dateien war, dann versucht einer 100% zu manipulieren.
    Folglich dürftest Du dann in der fraglichen Zeit auch kein sichtbares Posting im GB haben.
    Der rote Eintrag hat aber einen Referer :
    [Link nur für registrierte Mitglieder sichtbar. ]
    und Du müßtest eigentlich einen GET-Eintrag von dieser IP haben.

    221.141.68.118 - - [15/Feb/2006:Uhrzeit weiß ich nicht+0100] "GET /php/gaestebuch/neu.php HTTP/...

    Aber machen wir es effektiv,
    beantworte mir mal bitte diese Fragen:
    1.) Hast Du zwischen 13Uhr00 und 14Uhr30 GET-Einträge von dieser IP:
    221.141.68.118 ?
    2.) Hast Du vom 15/Feb/2006:13:48:46 ein sichtbares Posting im GB?

    So kommen wir schneller weiter und wenn die Dumpfbacke weiter im GB bei Dir spamt, erteile ihm sofort und ausdrücklich Eintragungsverbot und mache klar, daß Werbung im GB verboten ist, dokumentiert und strafrechtlich verfolgt wird. Erst wenn man das nachdrücklich deutlich macht, gehen die Gerichte davon aus, daß der Tatbestand von verbotener Werbung erfüllt ist.
    Windwalker ist seit einigen Stunden Spam-frei.
    bis dann
    Spam-Killer

  3. #23
    Mitglied
    Registriert seit
    13.09.2005
    Beiträge
    138

    Standard

    Hallo Spam-Killer,

    ja, die Einträge waren so hintereinander

    Zu 1: Es folgen auf diese IP-Adresse keine weiteren Get-Einträge. Jedoch später ein neuer Post-Eintrag mit einer anderen IP-Adresse. Das ist ebenfalls kein erwünschter GB-Eintrag.

    Zu 2: In dieser Zeit hatte ich mehrere solcher Einträge, die ich allerdings am 17.02.2006 aus dem Gästebuch gelöscht hatte. Ich habe die Spameinträge zwar nicht gezählt, es durften jedoch zwischen 50 bis 60 gewesen sein. Diese wurden zwischen dem 14. und 17.02.2006 und dem 19. und 20.02.2006 eingetragen. Siehe hierzu auch weiter oben mein Eingangsposting. Die Einträge hier sind nur eine Auswahl dieser 60 Einträge. Im Prinzip sehen die aber genauso aus... Ein Post-Eintrag, dem kein Get folgt. Ob es sich dabei um nur einen Spammer handelt würde ich wegen der vielen verschiedenen IP-Adressen bezweifeln, außer er benutzt verschiedene Proxies.

    Übrigens, haben wir das Gästebuch vorübergehend deaktiviert, da mein Kollege es demnächst wegen dieser Einträge überarbeiten möchte.

    Ich könnte aber mal ins Verzeichnis des GB schauen, ob dennoch Einträge vorgenommen wurden. Das würde dann die Benutzung eines Scriptes erhärten.

  4. #24
    Der Grabsteinschubser Avatar von Gool
    Registriert seit
    17.07.2005
    Ort
    localhorst:666
    Beiträge
    3.477

    Standard

    Seit ich meine Gästebücher auf "moderiert" gestellt habe, kommen keine solchen Einträge mehr. Das bestätigt die Theorie, dass es sich um Menschen handelt, die die Einträge vornehmen. Und es bestätigt auch die Theorie, dass die aus Deutschland kommen, denn er Hinweis, dass das Gästebuch moderiert wird, ist auf deutsch gehalten.
    Schwarz macht glücklich!

  5. #25
    Neues Mitglied Avatar von Spam-Killer
    Registriert seit
    19.02.2006
    Beiträge
    27

    Cool Anti-Spam Tip

    Moin hami,
    da ihr sowieso umstellen wollt erstmal zwei Tips:
    1.) Die Datei zum Posten - eingetragen.php - umbenennen
    ... hat den Sinn, daß ein Angreifer, der den Namen der für das Posting zuständigen Datei kennt, diese auch mittels eines Scripts direkt ansprechen kann. Wenn es diese Datei nicht mehr gibt und auch kein Link mehr dahin führt, fallen alle folgenden Zugriffe darauf in die Kategorie direkter Angriff.
    Das wiederum kann man dann für eine gezielte Programmierung zur Abwehr ausnutzen.
    Im Übrigen ist das auch einer der besten Beweise für eine böswillige Absicht vor Gericht. Da kann sich keiner so richtig rausreden

    2.) Unbedingt den Warnhinweis für Spammer gut sichtbar anbringen

    Bezüglich des eindeutigen Warnhinweises wird ständig Erfog gemeldet. Ich weiß, ihr glaubt mir nicht, aber es ist so.

    Keine Vermutung sondern Tatsache ist:
    1.) Die Tätergruppe *blackjack* besteht aus sehr wenigen Personen
    2.) sie benutzen sehr viele Alias-Namen / Liste wird geführt
    3.) sie bewerben sehr viele Produkte / Liste wird geführt
    4.) sie benutzen bei Bedarf minütlich wechselnde IP's / Liste wird geführt

    Will man die Säcke per Programmierung fernhalten, muß sehr viel Zeit geopfert werden und keine Programmierung verspricht 100% Erfolg.

    Das Problem muß man in erster Linie juristisch betrachten. Nach deutschem Recht ist das Internet öffentlich und Austausch ist erwünscht. Bei den meisten GB steht auch noch ' Wir freuen uns über jeden Eintrag'. Ein Spammer hat hier eine neue Spielwiese gefunden . und seine Handlungsweise ist nicht strafbar.
    Die Justiz kann erst dann helfen, wenn man nachweislich deutlich gemacht hat, daß Werbung im GB verboten ist ...
    Und vor der deutschen Justiz hat diese Tätergruppe offenbar Angst. Vermutlich, weil sie Deutsche sind.
    Alle Seiten, die einen deutlichen Warnhinweis angebracht hatten, sind von dieser Gruppe danach nicht mehr bespamt worden.
    Es wurde lediglich teilweise noch versucht, einzelne Beiträge zu posten, die einen normalen Eintrag vortäuschen. Also Phen... wurde plötzlich zu bob und kam so rein zufällig aus Boston und wünschte mal ' nice work' ..Natürlich nicht ohne einen Link zu einer seiner Seiten zu hinterlassen. Da ich inzwischen solche Einträge auch ganz gut zuordnen kann, ist es kein Problem, dem Spammer dann seinen endgültigen Arschtritt zu versetzen, indem man ihn anspricht mit: Die IP's und Namen kannst Du ändern, wie Du willst, Du bist eindeutig identifiziert und Deine logins sind dokumentiert. Im Wiederholungsfall werde ich die Daten zur Verfolgung der Justiz übergeben. Und schon ist man die Typen endgültig los. Versprochen.
    Das bezieht sich aber alles nur auf diese Tätergruppe, weil sie mit Sicherheit der deutschen Justiz unterstehen. Ausländische Spammer kriegt man leider nicht so leicht.
    An alle:
    Spart Euch erstmal aufwendige Programmierung und bringt den Hinweis an.
    Horido

    Spam-Killer
    Geändert von Spam-Killer (23.02.2006 um 07:20 Uhr)

  6. #26
    BOFH Avatar von exe
    Registriert seit
    17.07.2005
    Ort
    Serverraum
    Beiträge
    5.936

    Standard

    Zitat Zitat von Spam-Killer
    4.) sie benutzen bei Bedarf minütlich wechselnde IP's / Liste wird geführt
    Sind diese IPs offene Proxys? Wäre zumindest mal interessant. Da ich mein Gästebuch in den nächsten Tagen auch mal wieder umgestalte, werde ich auch mal eine kleine Idiotenfalle installieren.
    Dieser Beitrag kann Spuren von Ironie und billiger Polemik enthalten. Die Schöpfungshöhe ist technisch bedingt.

    Wir müssen die Religion des anderen respektieren, aber nur in dem Sinn und dem Umfang, wie wir auch seine Theorie respektieren, wonach seine Frau hübsch und seine Kinder klug sind.
    Richard Dawkins

  7. #27
    Neues Mitglied Avatar von Spam-Killer
    Registriert seit
    19.02.2006
    Beiträge
    27

    Cool Hi exe

    Hier ein paar IP's:
    81.7.166.179 DK DENMARK - - JAYNET-DK-GLOSTRUP-TELEBESKED
    82.127.102.104 FR FRANCE - - IP2000-ADSL-BAS
    193.219.242.140 SO SOMALIA - - GOLIS TELECOMMUNICATION
    200.161.64.75 BR BRAZIL SãO PAULO SãO JOSé DOS CAMPOS COMITE GESTOR DA INTERNET NO BRASIL

    Offene Proxies? Keine Ahnung, mit Proxies kenn ich mich überhaupt nicht aus.

    Per IP-Check ist er damit jedenfalls zu identifizieren und mit Programmierung abzuwehren.

    Spam-Killer
    Geändert von Spam-Killer (23.02.2006 um 10:58 Uhr)

  8. #28
    Neues Mitglied Avatar von Spam-Killer
    Registriert seit
    19.02.2006
    Beiträge
    27

    Cool Phen in Aktion

    Hier könnt ihr unseren Freund mal in Aktion sehen mit verschiedenen Namen und wechselnden IP's :

    [Link nur für registrierte Mitglieder sichtbar. ]
    [Link nur für registrierte Mitglieder sichtbar. ]

  9. #29
    Neues Mitglied Avatar von Spam-Killer
    Registriert seit
    19.02.2006
    Beiträge
    27

    Cool Spam-frei ??

    Hi Windwalker,
    ist Dein GB bis jetzt immer noch Spam-frei ?

  10. #30
    Neues Mitglied
    Registriert seit
    20.02.2006
    Beiträge
    16

    Standard

    Zitat Zitat von Spam-Killer
    Hi Windwalker,
    ist Dein GB bis jetzt immer noch Spam-frei ?
    Fast oder nicht ganz.
    Leider hatte ich seit dem Einfügen des Hinweistextes wieder 3 "vereinzelte" Einträge.
    Aber nicht mehr von Casino Royal, Phentermine oder HochuAudi.

    Das war z.B. ein Name "asdfgh"...

    Aber lange nicht das "Mass-Spamming" wie es die ganze letzte Zeit war.

Seite 3 von 7 ErsteErste 12345 ... LetzteLetzte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen