Hallo,
seit gestern ist ein Spammer mal wieder besonders aktiv. Da er eine prima Spur hinterlassen hat und es immer hilfreich ist, zu wissen, wie die arbeiten, schreibe ich mal auf, was ich an Info habe:
Angefangen hat es mit zwei Zugriffen von ns.km30237.keymachine.de am 29.4. und 3.5. auf das Gästebuch. Da das Formular einen Zeitstempel mit übergibt, lassen sich alle weiteren Zugriffe auf diese beiden zurück führen.
Als User-Agent wurde "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" übergeben. Und das ist kein Tippfehler, daß der User-Agent mit "User-Agent" anfängt.
Seit dem 6.5. folgten 9 Zugriffe, die anscheinend eine Art Test waren. Immer etwas anders, aber alle ähnlich:
header:
01: GB_name :wmmjfgwi
02: GB_mail :wmmjfgwi [at] yahoo.com
03: GB_message :korokozabr555
Was mir auffällt ist, daß anscheinend niemand diesen Test analysiert hat. Denn sonst wäre ja aufgefallen, daß diese Zugriffe mit veraltetem Zeitstempel schlicht ignoriert wurden.
Und seit gestern habe ich bis jetzt 26 Zugriffe, die auch eine (mehr oder weniger sinnvolle) Nachricht enthalten. Da ich diese Sprache nicht spreche, kann ich das aber nur vermuten:
header:
01: GB_name :vcwjajkvuo
02: GB_mail :vcwjajkvuo [at] yahoo.com
03: GB_message :korokozabr6
04: http://carmen935.newmail.ru/wi_de_madison_della_stazione_termale_di_.html wi de Madison
05: della stazione termale di giorno dell'oasi
06: http://sacrire1108.newmail.ru/salone_del_tatuaggio_in_illinois.html salone del
07: tatuaggio in Illinois
08: http://green1342.hotmail.ru/la_cellula_cellulare_confronta_il_progra.html la cellula
09: cellulare confronta il programma del telefono del telefono
10: ...
und noch weitere 27 Links
Jeder dieser Zugriffe kommt von einem anderen Rechner irgendwo auf der Welt. Der einzig auffällige Rechner ist ns.km30237.keymachine.de. Eine Suche in Google findet jede Menge Zugriffslogfiles, besonders Gästebücher. Und in meinen eigenen Logfiles finde ich auf einer anderen Seite Zugriffe wie diesen
header:
01: "http://www.holzwerken.de/mailto:xxx.yyyy [at] jestaedt.com"
Und das mit jede Menge Spam-Trap-Adressen
Gruß, Reinhold
Lesezeichen