PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Casino-Online und andere spammen im Gästebuch



hami
18.02.2006, 23:45
Hab da ein neues Problem. Seit ein paar Tagen wird unser PHP-Gästebuch massiv bespammt. Erst vorgestern hab ich ca. 60 Einträge löschen müssen. Wenn das so weiter geht, werde ich das Gästebuch herausnehmen.

Die Einträge lauten:

Hier die URL. Den HTML-Code habe ich entfernt--> casino-online.150m.com" title="free casino game on line"> free casino game on line Play cripple spread island handle set belly risk rainbow bankroll counting game jolly fold fifth!

aber auch diese URL ist zu finden --> casino-on-line.125mb.com/
und diese --> free-ftp.org/onlinecasinogambling/
und diese --> poker-chips.servetown.com
und diese --> free-casino-game.angelcities.com

Hat da einer von Euch eine Idee?

Dotshead
19.02.2006, 00:00
Einträge per Hand freischalten? Sollte Euer GB nicht so jeden Tag hunderte von Einträgen erhalten, wird es wohl am einfachsten sein.

Spam-Killer
19.02.2006, 05:23
Hallo hami,
Der Spammer alias casino-online, jenny, DudaBob, ultram, black jack,internet-casino, online video poker, viagra, phentermine...
ist nach meinen Recherchen kein Bot oder Script sondern ein oder zwei Personen, die mit Sicherheit deutsch sind oder aus dem deutschsprachigen Raum kommen.
1.) Logdaten sichern mit IP
2.) persönliches Eintragungsverbot aussprechen
3.) nochmals ausdrücklich verweisen, daß Werbung im GB verboten ist
4.) im Wiederholungsfall mit Anzeige und Verfolgung drohen
Gute Nachricht:
Angst vor der deutschen Staatsanwaltschaft haben sie definitiv

Das hilft wahrscheinlich schon und hat bei mir geholfen.
Alle, die ein gleichartiges Problem mit GB-Spam haben sollten dies auf jeden Fall tun !!
Sollte das nicht helfen, muß man danach individuell vorgehen. (Info folgt...)
Kannst Du programmieren?
Allerdings haben auch meine inzwischen detaillierteren Informationen über den Dreckskerl und meine Programmierkenntnisse dazu beigetragen, daß er bei mir vorsichtig geworden ist. Logins von ihm habe ich noch, aber keine Einträge ins Forum oder GB.
Schau mal in Deinen logfiles nach, ob Du auch POST REQUEST-Anfragen an Deine GB.php hast. Ich befürchte, da kommt ein noch größeres Problem auf uns zu.
Werde Euch hier auf jeden Fall weiter mit Informationen versorgen.

SPAM-KILLER
SPAM-KILLER [at] Antispam.de :cool:

Windwalker
20.02.2006, 12:01
Hallo!

Bei meinem Gästebuch genau das gleiche. Phentermine, HochuAudi und wie sie alle heissen.
Gestern habe ich einen einfachen grafischen Code implementiert, den man ablesen und eingeben muss.

Dennoch habe ich gerade 2 Einträge entfernen müssen.
Sind das wirklich Menschen, die dahinter stecken oder ist mein grafischer Code vielleicht schon algorithmisch umgangen worden?
Ich lasse mir eine (im Moment) 4stellige Zeichenfolge aus Buchstaben und Zahlen berechenen und zeige dann die entsprechenden Bilder an.
z.B. A.gif, B.gif,3.gif,M.gif für "AB3M".

Wobei, ich kann mir eigentlich nicht vorstellen, dass die Spammer sich die Implementierung einfacher Seiten anschauen um solche Codes zu knacken.

Windwalker
20.02.2006, 12:03
Mir fällt gerade noch die folgende Möglichkeit ein:

Ist es vielleicht möglich, mit gesetztem NoFollow-Metatag

<meta name="robots" content="nofollow">
die Seite für Spammer unteressant zu machen?

exe
20.02.2006, 12:23
Ist es vielleicht möglich, mit gesetztem NoFollow-Metatag

<meta name="robots" content="nofollow">
die Seite für Spammer unteressant zu machen?

Das kratzt die IMHO garnicht. In meinem Gästebuch stehen große Hinweise dass alle Links rel="nofollow" sind, das hat bisher nicht einen abgehalten.

Dein Bildercode lässt sich per Skript ja recht leicht auslesen. Ich bezweifel aber dass sich einer die Arbeit macht und das programmiert. Ich denke doch es sind Menschen.

Spam-Killer
20.02.2006, 18:42
Hallo an alle und Windwalker, also
1.) es sind definitiv Menschen, die Tag und Nacht damit verbringen, ihre Werbung in GB und Foren zu hämmern
2.) alle von mir bereits genannten Alias-Namen u. a. auch Phentermine, HochuAudi, cialis etc. rechne ich einem Täter bzw. einer sehr kleinen Gruppe ( 1-3 Personen ) zu.
3.) exe hat Recht => content=nofollow interessiert die überhaupt nicht
4.) graphischer Code zum Eintippen, Bildchen, was auch immer ist höchstens ein bisschen lästig für sie

Die bei einigen Seiten bereits erfolgreichen Mittel waren schon
1.) Logdaten sichern mit IP
2.) persönliches Eintragungsverbot aussprechen
3.) nochmals ausdrücklich verweisen, daß Werbung im GB verboten ist
4.) im Wiederholungsfall mit Anzeige und Verfolgung drohen

Ich würde Dir erstmal dazu raten. Keiner von Euch hat je diesem Mistkerl ein eindeutiges Eintragungsverbot erteilt oder irre ich mich? Wenn ihr auch noch seine logins dokumentieren könnt mit IP !! ist schon halb gewonnen.
Programmiertips kann ich Euch auch gerne geben und weitere Infos aber nicht öffentlich.
Aber auch an Dich die Frage: Kannst Du dieses GB programmieren?
und viel wichtiger =>
Hast Du auch POST REQUEST-Anfragen an Deine *GB*.php ?
Es könnte sein, daß einige GB-Formulare zu Spam-Zwecken mißbraucht werden können, zur Einschleusung von fremdem Script-Code, Mailformulare als Basis zum
Versenden tausender Spam-Mails über unsere Formulare.
Sicher ist, daß einige programmierte PHP-Seiten in Verbindung mit PHP 4.2.0 oder PHP 4.2.1 stak gefährdet sind und daß solche Zugriffe in letzter Zeit häufiger zu verzeichnen waren:
221.11.70.147 [01/Jan/20xx:xx:xx:49 +0100] "POST /GB.php HTTP/1.1" ...
Schaut mal alle bei Euch nach, ob ihr solche Einträge im logfile habt.
Und erstmal viel Erfolg

Spam-Killer
Spam-Killer [at] AntiSpam.de

Windwalker
20.02.2006, 21:38
Ja, ich habe solche Einträge im Logfile des Gästebuchs, aber POST-Einträge sind dohc normal.
Hier ein Vergleich eines SPAM-Eintrages

194.67.32.8 - - [17/Feb/20xx:xx:xx:31 +0100] "GET /gaestebuch.php?linknumber=14 HTTP/1.1" 200 67109 "http://google.com" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)"
194.67.32.8 - - [17/Feb/20xx:xx:xx:33 +0100] "POST /insert_guestbook.php HTTP/1.1" 200 74641 "http://google.com" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)"
mit einem von mir hinterlassenen regulären Test-Eintrages:

84.169.136.120 - - [19/Feb/20xx:xx:xx:14 +0100] "GET /pics/guestbook/T.png HTTP/1.1" 304 - "http://www.rc-worms.de/gaestebuch.php?linknumber=14" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.0.1) Gecko/20060111 Firefox/1.5.0.1"
84.169.136.120 - - [19/Feb/20xx:xx:xx:51 +0100] "POST /insert_guestbook.php HTTP/1.1" 200 43481 "http://www.rc-worms.de/gaestebuch.php?linknumber=14" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.0.1) Gecko/20060111 Firefox/1.5.0.1"

Die Einträge sind ziemlich identisch und auch der SPAM-Eintrag wurde vorher das normale Eingabeformular aufgerufen, also sieht man daran, dass der Eintrag von einem Mensch stammen muss.

Aber was meinst du mit POST REQUEST? POST ist doch notwendig, um die eingetragenen Daten zu übertragen...

Windwalker
20.02.2006, 21:54
Habe nun auch mal die Verursacher persönlich mit folgendem Text angesprochen.


Nutzungsbedingungen:
Dies gilt besonders für Phentermine, HochuAudi usw.!
SPAM-Einträge werden selbstverständlich gelöscht. Dabei werden die IP-Adressen der Absender registiert und geloggt.
Jegliche Werbung in diesem Gästebuch ist verboten, im Wiederholungsfall schließen wir die
Erstattung einer Anzeige und strafrechtliche Verfolgung nicht aus!

Terms of usage:
This goes especially out to Phentermine, HochuAudi etc.!
SPAM-Entries will be deleted. The IP addresses will be registered and saved in a log file.
Any SPAM or ADVERTISMNENT in this guestbook is prohibited, in case of recurrence, we save us the right
to make a report to the police and start a prosecution!

Mal sehen, ob's was bewirkt.

hami
21.02.2006, 00:53
Herzlichen Dank für Eure Antworten. Entschuldigt, daß ich erst jetzt antworte, mein Rechner ist in Reparatur und ich muß daher von einem anderen PC aus antworten.

Das PHP-Gästebuch hat mein Kollege programmiert und arbeitet an einer Lösung. Zwischenzeitlich haben wir es deaktiviert. Eure Tips werden uns bestimmt weiterhelfen. Ich versuche über unseren Provider an die IP-Adressen zu kommen. Eventuell gehe ich gegen den Spammer vor, sofern der aus D kommt. Sollte es Neuigkeiten geben melde ich mich hier wieder.

hami
21.02.2006, 01:04
Sollte das nicht helfen, muß man danach individuell vorgehen. (Info folgt...)
Kannst Du programmieren?
SPAM-KILLER
SPAM-KILLER [at] Antispam.de :cool:

Herzlichen Dank Spam-Killer,

nein, PHP-Programmieren kann ich nicht, das erledigt mein Kollege. Aber eventuell komme ich auf deine Info-Tips zurück. Wir werden erst mal sehen, wie es weiter geht. Siehe auch meinen vorherigen Eintrag.

Gruß hami

Spam-Killer
21.02.2006, 05:23
Hallo Windwalker ,

... POST ist doch notwendig, um die eingetragenen Daten zu übertragen...

... das ist richtig und völlig normal, wenn außer dem POST noch GET unter der selben IP eingetragen ist also z.Bsp.
194.67.32.8 - - [17/Feb/20xx:xx:xx:31 +0100] "GET /Seite zur GB.php...
194.67.32.8 - - [17/Feb/20xx:xx:xx:32 +0100] "GET /Bild von GB.php...
194.67.32.8 - - [17/Feb/20xx:xx:xx:33 +0100] "GET /GB.php...
194.67.32.8 - - [17/Feb/20xx:xx:xx:34 +0100] "POST /insert_guestbook.php
194.67.32.8 - - [17/Feb/20xx:xx:xx:42 +0100] "GET / usw. ....

Wenn aber zwischen vielen GET mit unterschiedlichen IP's ein einziger POST ohne sichtbarem Eintrag im GB in mehreren Stunden ist wie:

221.11.70.147 - [12/Feb/20xx:xx:xx:45+0100] "POST /GB.php ...

ohne diese Datei per GET anzusprechen, also wenn zu dieser IP kein GET / bla
Eintrag auf dieser Seite vorhanden ist, dann wird auf die GB.php zugegriffen ohne diese im Browser zu laden. Vermutlich wird dies mit einem Script ausgeführt und bedeutet nichts Gutes.

Spam-Killer
Spam-Killer [at] AntiSpam.de

Spam-Killer
21.02.2006, 05:36
Und das mit den Nutzungsbedingungen und dem ausgesprochenen Eintragungsverbot für den Spammer sieht gut aus und kann ich allen nur empfehlen. Eine rechtliche Handhabe gegen diese Bande hat man nur, wenn diesen Spinnern ausdrückliche Verweise erteilt werden, sehr deutlich gemacht wird, daß Spam im GB verboten ist und strafrechtlich verfolgt wird. Und natürlich auch das nur, wenn diese Säcke im deutschsprachigen Raum leben und davon gehe ich bei blackjack & Co aus, denn Angst haben sie schon gezeigt. Auch andere Hinweise lassen darauf schliessen.
Kopf hoch - nur Fledermäuse lassen sich hängen ;)
Ich versichere Euch:
Der Kampf gegen die Tätergruppe *blackjack* ist nicht aussichtslos !

Spam-Killer
Spam-Killer [at] AntiSpam.de

hami
22.02.2006, 00:49
Hab hier mal ein paar Einträge aus den Logdateien ausgewählt. Unsere Url hab ich natürlich durch "URL.de" ersetzt.

222.108.254.60 - - [14/Feb/20xx:xx:xx:12 +0100] "POST /php/gaestebuch/eingetragen.php HTTP/1.1" 200 460 "http://URL.de/php/gaestebuch/neu.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"

221.160.67.37 - - [14/Feb/20xx:xx:xx:33 +0100] "POST /php/gaestebuch/eingetragen.php HTTP/1.1" 200 460 "http://URL.de/php/gaestebuch/neu.php" "Mozilla/4.0 (compatible; MSIE 6.0;
Windows NT 5.0)"

219.93.72.38 - - [14/Feb/20xx:xx:xx:57 +0100] "POST /php/gaestebuch/eingetragen.php HTTP/1.1" 200 460 "http://URL.de/php/gaestebuch/neu.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"

59.56.194.50 - - [14/Feb/20xx:xx:xx:10 +0100] "POST /php/gaestebuch/eingetragen.php HTTP/1.1" 200 460 "http://URL.de/php/gaestebuch/neu.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"

61.128.100.116 - - [14/Feb/20xx:xx:xx:27 +0100] "POST /php/gaestebuch/eingetragen.php HTTP/1.1" 200 460 "http://URL.de/php/gaestebuch/neu.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"

61-222-129-20.HINET-IP.hinet.net - - [15/Feb/20xx:xx:xx:03 +0100] "POST /php/gaestebuch/eingetragen.php HTTP/1.0" 200 448 "http://URL.de/php/gaestebuch/neu.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"

61.82.152.224 - - [15/Feb/20xx:xx:xx:52 +0100] "POST /php/gaestebuch/eingetragen.php HTTP/1.1" 200 460 "http://URL.de/php/gaestebuch/neu.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"

LSt-Amand-152-32-4-202.w82-127.abo.wanadoo.fr - - [15/Feb/20xx:xx:xx:32 +0100] "POST http://URL.de/php/gaestebuch/eingetragen.php HTTP/1.1" 200 460 "http://URL.de/php/gaestebuch/neu.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"

Spam-Killer
22.02.2006, 05:04
Hallo hami,
so kann man leider nicht sehen, ob ein gefährlicher Zugriff oder ein normaler POST war.
Lies noch mal meinen Eintrag von gestern 05Uhr23.
Wenn mit dieser IP zu diesem Zeitpunkt ( ca. 10Uhr23 ) keine weiteren GET/... erfolgt sind auf .../eingetragen.php

222.108.254.60 - - [14/Feb/20xx:xx:xx:12+0100] "POST /php/gaestebuch/eingetragen.php

war es ein direkter POST Zugriff auf diese Datei. Zu sehen ist das auch daran, daß üblicherweise dann auch kein GB-Eintrag erfolgt ist.

Als Beispiel noch mal ein harmloser normaler Eintrag:
222.108.254.60 - - [17/Feb/20xx:xx:xx:31 +0100] "GET /Seite zur GB.php...
222.108.254.60 - - [17/Feb/20xx:xx:xx:32 +0100] "GET /Bild von GB.php...
222.108.254.60 - - [17/Feb/20xx:xx:xx:33 +0100] "GET /GB.php...
222.108.254.60 - - [17/Feb/20xx:xx:xx:34 +0100] "POST /insert_guestbook.php
222.108.254.60 - - [17/Feb/20xx:xx:xx:42 +0100] "GET / usw. ....


und ein gefährlicher Eintrag:

eine andere IP - - [17/Feb/20xx:xx:xx:31 +0100] "GET /Bild.jpg...
eine andere IP - - [17/Feb/20xx:xx:xx:32 +0100] "GET /bla.html...
eine andere IP - - [17/Feb/20xx:xx:xx:33 +0100] "GET /file.php...
222.108.254.60 - - [17/Feb/20xx:xx:xx:34 +0100] "POST /insert_guestbook.php
eine andere IP - - [17/Feb/20xx:xx:xx:34 +0100] "GET / irgendwas.htm ....
eine andere IP - - [17/Feb/20xx:xx:xx:49 +0100] "GET / usw. ....


Spam-Killer
Spam-Killer [at] AntiSpam.de

exe
22.02.2006, 08:33
Im Grunde könnte ein einfacher Referer-Check die Jungs schon vor die Tür stellen. Auch wenn ich keine Freund solcher Spielereien bin.

hami
22.02.2006, 08:41
Hallo Spam-Killer,

zu diesen Zeiten gab es keine normalen Gästebucheinträge. Es waren ausschließlich alles Spameinträge. Der letzte normale GB-Eintrag liegt schon ca. 2-3 Monate zurück.

Windwalker
22.02.2006, 09:10
Habe nun auch mal die Verursacher persönlich mit folgendem Text angesprochen.

...

Mal sehen, ob's was bewirkt.

Seitdem ich diese "persönliche" Warnung eingefügt habe, ist nun tatsächlich keiner der SPAM-Einträge aufgetaucht.
Und das ist mittlerweile 36h her... (Okay, man soll den Tag nicht vor dem Abend loben... ;) )

Spam-Killer
22.02.2006, 09:10
Hallo hami , nix für ungut aber liest Du meine Postings eigentlich oder verstehst Du mich nur nicht. Interessant zu wissen ist, ob zu Deinen logfile-Zeilen überhaupt sichtbare Postings erfolgt sind. Bitte noch mal überprüfen anhand meines Eintrages von heute 05:04.
Wenn ich mich unverständlich ausdrücke, bitte ich das zu entschuldigen.
Spam-Killer
Spam-Killer [at] AntiSpam.de

Spam-Killer
22.02.2006, 09:22
Moin Windwalker,

Seitdem ich diese "persönliche" Warnung eingefügt habe, ist nun tatsächlich keiner der SPAM-Einträge aufgetaucht.
Und das ist mittlerweile 36h her... (Okay, man soll den Tag nicht vor dem Abend loben... ;) )
Sehr erfreulich, das gibt einem doch eine gewisse Befriedigung. Sag mal, ich hätte gerne, daß der Erfolg im Kampf gegen Spam public wird. Das heißt es wäre schön, wenn Du auch anderen von Deinen Erfahrungen erzählst, daß es sich rumspricht. Gerade wenn sogar schon eine simple Warnung und ein Verbot wirkungsvoll sind.
Die wirkungsvollste Waffe gegen die Irren ist es, Informationen zu bündeln und weiterzugeben.
Wenn jeder, dem durch diese Tips geholfen wird, es mindestens zwei anderen mit dem gleichen Problem erzählt, werden wir zumindest mithalten können und uptodate sein.
Freut mich wirklich sehr und weiter viel Erfolg, ich muß weg ...
Spam-Killer
Spam-Killer [at] AntiSpam.de

hami
22.02.2006, 11:25
Hallo Spam-Killer,

kann ja sein, dass wir aneinander vorbei schreiben, möglicherweise habe ich auch deine Gedankengänge nicht richtig verstanden. Wenn es jedoch wie hier aussieht, spricht doch vieles dafür, dass es sich um ein Script handelt.

Hier ein paar hintereinander liegende Einträge:
Der von mir rot gefärbte könnte durch solch einen Script erzeugt sein, oder liege ich schon wieder falsch?

nc-cable4-208.rrz.uni-koeln.de - - [15/Feb/20xx:xx:xx:12 +0100] "GET /youthpage/.......
nc-cable4-208.rrz.uni-koeln.de - - [15/Feb/20xx:xx:xx:12 +0100] "GET /fotos/.......
nc-cable4-208.rrz.uni-koeln.de - - [15/Feb/20xx:xx:xx:12 +0100] "GET /youthpage/.......
nc-cable4-208.rrz.uni-koeln.de - - [15/Feb/20xx:xx:xx:12 +0100] "GET /favicon.ico.......
nc-cable4-208.rrz.uni-koeln.de - - [15/Feb/20xx:xx:xx:17 +0100] "GET /fotos/.......
lj2447.inktomisearch.com - - [15/Feb/20xx:xx:xx:51 +0100] "GET /plan.html ..........
lj2547.inktomisearch.com - - [15/Feb/20xx:xx:xx:13 +0100] "GET /fotos/.......
egspd42208.ask.com - - [15/Feb/20xx:xx:xx:21 +0100] "GET /fotos/........


221.141.68.118 - - [15/Feb/20xx:xx:xx:46 +0100] "POST /php/gaestebuch/eingetragen.php HTTP/1.1" 200 460 "http://URL.de/php/gaestebuch/neu.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)"


egspd42208.ask.com - - [15/Feb/20xx:xx:xx:06 +0100] "GET /fotos/...........
mmcrm4012.search.mud.yahoo.com - - [15/Feb/20xx:xx:xx:28 +0100] "GET /fotos/........
mmcrm4012.search.mud.yahoo.com - - [15/Feb/20xx:xx:xx:50 +0100] "GET /fotos/.......
mmcrm4012.search.mud.yahoo.com - - [15/Feb/20xx:xx:xx:12 +0100] "GET /fotos/.......
mmcrm4012.search.mud.yahoo.com - - [15/Feb/20xx:xx:xx:17 +0100] "GET /fotos/........

Spam-Killer
22.02.2006, 16:54
Hallo hami,
wenn alle Einträge hintereinander waren einschl. des roten und des darauffolgenden Blocks und wenn in der Zeit von 13Uhr23 bis 13Uhr57 mit der IP 221.141.68.118 kein GET-Eintrag auf Dateien war, dann versucht einer 100% zu manipulieren.
Folglich dürftest Du dann in der fraglichen Zeit auch kein sichtbares Posting im GB haben.
Der rote Eintrag hat aber einen Referer :
URL/php/gaestebuch/neu.php
und Du müßtest eigentlich einen GET-Eintrag von dieser IP haben.

221.141.68.118 - - [15/Feb/2006:Uhrzeit weiß ich nicht+0100] "GET /php/gaestebuch/neu.php HTTP/...

Aber machen wir es effektiv,
beantworte mir mal bitte diese Fragen:
1.) Hast Du zwischen 13Uhr00 und 14Uhr30 GET-Einträge von dieser IP:
221.141.68.118 ?
2.) Hast Du vom 15/Feb/20xx:xx:xx:46 ein sichtbares Posting im GB?

So kommen wir schneller weiter und wenn die Dumpfbacke weiter im GB bei Dir spamt, erteile ihm sofort und ausdrücklich Eintragungsverbot und mache klar, daß Werbung im GB verboten ist, dokumentiert und strafrechtlich verfolgt wird. Erst wenn man das nachdrücklich deutlich macht, gehen die Gerichte davon aus, daß der Tatbestand von verbotener Werbung erfüllt ist.
Windwalker ist seit einigen Stunden Spam-frei.
bis dann
Spam-Killer

hami
22.02.2006, 21:02
Hallo Spam-Killer,

ja, die Einträge waren so hintereinander

Zu 1: Es folgen auf diese IP-Adresse keine weiteren Get-Einträge. Jedoch später ein neuer Post-Eintrag mit einer anderen IP-Adresse. Das ist ebenfalls kein erwünschter GB-Eintrag.

Zu 2: In dieser Zeit hatte ich mehrere solcher Einträge, die ich allerdings am 17.02.2006 aus dem Gästebuch gelöscht hatte. Ich habe die Spameinträge zwar nicht gezählt, es durften jedoch zwischen 50 bis 60 gewesen sein. Diese wurden zwischen dem 14. und 17.02.2006 und dem 19. und 20.02.2006 eingetragen. Siehe hierzu auch weiter oben mein Eingangsposting. Die Einträge hier sind nur eine Auswahl dieser 60 Einträge. Im Prinzip sehen die aber genauso aus... Ein Post-Eintrag, dem kein Get folgt. Ob es sich dabei um nur einen Spammer handelt würde ich wegen der vielen verschiedenen IP-Adressen bezweifeln, außer er benutzt verschiedene Proxies.

Übrigens, haben wir das Gästebuch vorübergehend deaktiviert, da mein Kollege es demnächst wegen dieser Einträge überarbeiten möchte.

Ich könnte aber mal ins Verzeichnis des GB schauen, ob dennoch Einträge vorgenommen wurden. Das würde dann die Benutzung eines Scriptes erhärten.

Gool
23.02.2006, 01:48
Seit ich meine Gästebücher auf "moderiert" gestellt habe, kommen keine solchen Einträge mehr. Das bestätigt die Theorie, dass es sich um Menschen handelt, die die Einträge vornehmen. Und es bestätigt auch die Theorie, dass die aus Deutschland kommen, denn er Hinweis, dass das Gästebuch moderiert wird, ist auf deutsch gehalten.

Spam-Killer
23.02.2006, 07:17
Moin hami,
da ihr sowieso umstellen wollt erstmal zwei Tips:
1.) Die Datei zum Posten - eingetragen.php - umbenennen
... hat den Sinn, daß ein Angreifer, der den Namen der für das Posting zuständigen Datei kennt, diese auch mittels eines Scripts direkt ansprechen kann. Wenn es diese Datei nicht mehr gibt und auch kein Link mehr dahin führt, fallen alle folgenden Zugriffe darauf in die Kategorie direkter Angriff.
Das wiederum kann man dann für eine gezielte Programmierung zur Abwehr ausnutzen.
Im Übrigen ist das auch einer der besten Beweise für eine böswillige Absicht vor Gericht. Da kann sich keiner so richtig rausreden ;)

2.) Unbedingt den Warnhinweis für Spammer gut sichtbar anbringen

Bezüglich des eindeutigen Warnhinweises wird ständig Erfog gemeldet. Ich weiß, ihr glaubt mir nicht, aber es ist so.

Keine Vermutung sondern Tatsache ist:
1.) Die Tätergruppe *blackjack* besteht aus sehr wenigen Personen
2.) sie benutzen sehr viele Alias-Namen / Liste wird geführt
3.) sie bewerben sehr viele Produkte / Liste wird geführt
4.) sie benutzen bei Bedarf minütlich wechselnde IP's / Liste wird geführt

Will man die Säcke per Programmierung fernhalten, muß sehr viel Zeit geopfert werden und keine Programmierung verspricht 100% Erfolg.

Das Problem muß man in erster Linie juristisch betrachten. Nach deutschem Recht ist das Internet öffentlich und Austausch ist erwünscht. Bei den meisten GB steht auch noch ' Wir freuen uns über jeden Eintrag'. Ein Spammer hat hier eine neue Spielwiese gefunden ;). und seine Handlungsweise ist nicht strafbar.
Die Justiz kann erst dann helfen, wenn man nachweislich deutlich gemacht hat, daß Werbung im GB verboten ist ...
Und vor der deutschen Justiz hat diese Tätergruppe offenbar Angst. Vermutlich, weil sie Deutsche sind.
Alle Seiten, die einen deutlichen Warnhinweis angebracht hatten, sind von dieser Gruppe danach nicht mehr bespamt worden.
Es wurde lediglich teilweise noch versucht, einzelne Beiträge zu posten, die einen normalen Eintrag vortäuschen. Also Phen... wurde plötzlich zu bob und kam so rein zufällig aus Boston und wünschte mal ' nice work' ..Natürlich nicht ohne einen Link zu einer seiner Seiten zu hinterlassen. Da ich inzwischen solche Einträge auch ganz gut zuordnen kann, ist es kein Problem, dem Spammer dann seinen endgültigen Arschtritt zu versetzen, indem man ihn anspricht mit: Die IP's und Namen kannst Du ändern, wie Du willst, Du bist eindeutig identifiziert und Deine logins sind dokumentiert. Im Wiederholungsfall werde ich die Daten zur Verfolgung der Justiz übergeben. Und schon ist man die Typen endgültig los. Versprochen.
Das bezieht sich aber alles nur auf diese Tätergruppe, weil sie mit Sicherheit der deutschen Justiz unterstehen. Ausländische Spammer kriegt man leider nicht so leicht.
An alle:
Spart Euch erstmal aufwendige Programmierung und bringt den Hinweis an.
Horido

Spam-Killer

exe
23.02.2006, 09:28
4.) sie benutzen bei Bedarf minütlich wechselnde IP's / Liste wird geführt
Sind diese IPs offene Proxys? Wäre zumindest mal interessant. Da ich mein Gästebuch in den nächsten Tagen auch mal wieder umgestalte, werde ich auch mal eine kleine Idiotenfalle installieren.

Spam-Killer
23.02.2006, 10:56
Hier ein paar IP's:
81.7.166.179 DK DENMARK - - JAYNET-DK-GLOSTRUP-TELEBESKED
82.127.102.104 FR FRANCE - - IP2000-ADSL-BAS
193.219.242.140 SO SOMALIA - - GOLIS TELECOMMUNICATION
200.161.64.75 BR BRAZIL SãO PAULO SãO JOSé DOS CAMPOS COMITE GESTOR DA INTERNET NO BRASIL

Offene Proxies? Keine Ahnung, mit Proxies kenn ich mich überhaupt nicht aus.

Per IP-Check ist er damit jedenfalls zu identifizieren und mit Programmierung abzuwehren.

Spam-Killer

Spam-Killer
23.02.2006, 11:23
Hier könnt ihr unseren Freund mal in Aktion sehen mit verschiedenen Namen und wechselnden IP's :

http://www.beutner4u.de/cgi-bin/guestbook.pl?seite=1&anzahl=10
http://www.the-real-braindead.de/guests/guests.php?start=0

Spam-Killer
25.02.2006, 18:13
Hi Windwalker,
ist Dein GB bis jetzt immer noch Spam-frei ?

Windwalker
25.02.2006, 22:06
Hi Windwalker,
ist Dein GB bis jetzt immer noch Spam-frei ?

Fast oder nicht ganz.
Leider hatte ich seit dem Einfügen des Hinweistextes wieder 3 "vereinzelte" Einträge.
Aber nicht mehr von Casino Royal, Phentermine oder HochuAudi.

Das war z.B. ein Name "asdfgh"...

Aber lange nicht das "Mass-Spamming" wie es die ganze letzte Zeit war.

Spam-Killer
26.02.2006, 06:57
Das ist mit Sicherheit der gleiche Spammer. Wenn man Phen, viagra etc.. Eintragungsverbot erteilt hat, versucht er es mit einem anderen Namen. Schreib ihm deutlich mal dieses:

Die IP's und Namen kannst Du ändern, wie Du willst, Du bist eindeutig identifiziert und Deine logins sind dokumentiert. Im Wiederholungsfall werde ich die Daten zur Verfolgung der Justiz übergeben.
bis dann
Spam-Killer

Windwalker
26.02.2006, 19:00
Gestern Nacht und gerade eben hatte ich wieder 3 Einträge.
Jedesmal andere Namen, aber im Text wieder Sachen wie "Online Casino", "Phentermine" etc.

Als Mailadresse wurde dd205 [at] bk.ru angegeben.
Rumänien, oder will er damit ablenken?

Spam-Killer
26.02.2006, 19:20
Nein, ablenken will der nicht. Das ... [at] bk.ru benutzt er öfter. Wie ich schon sagte, er probiert es jetzt noch mit anderem Namen.
Mache Deinen Hinweis generell. Also Spam-Verbot für jeden.
In diesem GB ist Werbung unerwünscht und verboten. Zuwiderhandlung wird strafrechtlich verfolgt.
Und füge hinzu:
Im Speziellen gilt das für den Spammer Phentermine alias viagra ..., der sich jetzt anders nennt:
Deine bisherigen logins sind mit Zeit und IP dokumentiert. Im Wiederholungsfall erfolgt keine weitere Ermahnung sondern eine umgehende Anzeige!
Spam-Killer

Windwalker
04.03.2006, 10:28
Hallo!

Hat heute morgen ca. um 7 Uhr vier Einträge wieder.
2 von einem Den mit Adresse <Helga [at] gmail.com>
und 2 von einer Helga mit Adresse <Adam [at] gmail.com>.

Hier mal die Daten eines der Einträge:

Name: Den
eMail: Helga [at] gmail.com
Website: http://home.tiscali.cz:8080/airflight/
IP: 196.40.26.246

Text:
Nice site! Look my site: <a href=\"http://floridalender.bravehost.com/\"> florida mortgage lender </a> http://floridalender.bravehost.com/ florida mortgage lender (http://floridalender.bravehost.com/)

Fast schon schüchterene Spam....

Spam-Killer
04.03.2006, 11:27
Das ist er wahrscheinlich auch. Die IP 196.40.*.* ist bei mir schon negativ aufgefallen. Es wurde ein Eintrag unter "viagra" vorgenommen. Ebenso die Mailadresse und die Webseite deuten auf unseren Freund hin. Inzwischen bietet er auch Häuser in Florida an, verdealt Parfüm etc.

Hast Du denn inzwischen einen generellen Verbotshinweis? :confused:

Spam-Killer

Windwalker
04.03.2006, 12:07
Ja, folgenden Text habe ich im Gästebuch:


Nutzungsbedingungen:
Dies gilt besonders für Phentermine, HochuAudi, Music Posters usw.!
Die IP's und Namen kannst Du ändern, wie Du willst, Du bist eindeutig identifiziert und Deine Logins sind dokumentiert.
Im Wiederholungsfall werde ich die Daten zur Verfolgung der Justiz übergeben.

SPAM-Einträge werden selbstverständlich gelöscht. Dabei werden die IP-Adressen der Absender registiert und geloggt.
Jegliche Werbung in diesem Gästebuch ist verboten, im Wiederholungsfall schließen wir die
Erstattung einer Anzeige und strafrechtliche Verfolgung nicht aus!

Terms of usage:
This goes especially out to Phentermine, HochuAudi, Music Posters etc.!
SPAM-Entries will be deleted. The IP addresses will be registered and saved in a log file.
Any SPAM or ADVERTISMNENT in this guestbook is prohibited, in case of recurrence, we save us the right
to make a report to the police and start a prosecution!

Spam-Killer
04.03.2006, 16:46
Sieht gut aus, aber ich würde das hier vorne und breit darstellen:
Jegliche Werbung in diesem Gästebuch ist verboten, im Wiederholungsfall schließen wir die Erstattung einer Anzeige und strafrechtliche Verfolgung nicht aus!
Die IP-Adressen der Absender werden registiert und geloggt. u.s.w.

Spastispam
06.03.2006, 15:09
Hallo an alle und Windwalker, also
1.) es sind definitiv Menschen, die Tag und Nacht damit verbringen, ihre Werbung in GB und Foren zu hämmern
2.) alle von mir bereits genannten Alias-Namen u. a. auch Phentermine, HochuAudi, cialis etc. rechne ich einem Täter bzw. einer sehr kleinen Gruppe ( 1-3 Personen ) zu.
3.) exe hat Recht => content=nofollow interessiert die überhaupt nicht
4.) graphischer Code zum Eintippen, Bildchen, was auch immer ist höchstens ein bisschen lästig für sie

Die bei einigen Seiten bereits erfolgreichen Mittel waren schon
1.) Logdaten sichern mit IP
2.) persönliches Eintragungsverbot aussprechen
3.) nochmals ausdrücklich verweisen, daß Werbung im GB verboten ist
4.) im Wiederholungsfall mit Anzeige und Verfolgung drohen

Ich würde Dir erstmal dazu raten. Keiner von Euch hat je diesem Mistkerl ein eindeutiges Eintragungsverbot erteilt oder irre ich mich? Wenn ihr auch noch seine logins dokumentieren könnt mit IP !! ist schon halb gewonnen.
Programmiertips kann ich Euch auch gerne geben und weitere Infos aber nicht öffentlich.
Aber auch an Dich die Frage: Kannst Du dieses GB programmieren?
und viel wichtiger =>
Hast Du auch POST REQUEST-Anfragen an Deine *GB*.php ?
Es könnte sein, daß einige GB-Formulare zu Spam-Zwecken mißbraucht werden können, zur Einschleusung von fremdem Script-Code, Mailformulare als Basis zum
Versenden tausender Spam-Mails über unsere Formulare.
Sicher ist, daß einige programmierte PHP-Seiten in Verbindung mit PHP 4.2.0 oder PHP 4.2.1 stak gefährdet sind und daß solche Zugriffe in letzter Zeit häufiger zu verzeichnen waren:
221.11.70.147 [01/Jan/20xx:xx:xx:49 +0100] "POST /GB.php HTTP/1.1" ...
Schaut mal alle bei Euch nach, ob ihr solche Einträge im logfile habt.
Und erstmal viel Erfolg

Spam-Killer
Spam-Killer [at] AntiSpam.de


Sorry, aber könntest Du bitte mal damit aufhören solchen Blödsinn *ÜBERALL* zu verbreiten?

Das sind definitiv Bots (Computerprogramme), die von öffentlichen Servern aus ihr Unweswen treiben. Der Quellcode der meisten Gästebücher (und auch Foren) ist für jederman einsehbar und somit kann man sehr einfach Serverskripte erstellen, die diesen ganzen Unfug dann "rund um die Uhr" verbrechen.

Da sitzt niemand und schreibt endlos Einträge in aller Welt's Gästebücher. Was für ein Schwachsinn!
2-3 Personen ??? LOL...

Woher nimmst Du eigentlich Deine "Erkenntnisse"?
Du hast offensichtlich nun wirklich keine Ahnung. ;-)


An alle Anderen: Das kann Euch immer dann passieren, wenn Ihr (wie die meisten) mit öffentlich verfügbaren Gästebüchern und Foren arbeitet. Der Quellcode ist für jederman offen und Login Skripte lassen sich extrem leicht anfertigen. Es gibt bereits eine Unmenge von Servern, die ununterbrochen BOTS laufen lassen um solche Skripte dann überall im Netz (anonym) auszuführen...

Dreimal dürft Ihr raten, wer die eigentlichen Aufgtraggeber sind. IP logging oder gar Drohungen helfen da nun wirklich nicht weiter. Das ist wohl eher mehr "peinlich" als irgendwie wirksam. LOL


( Ein kleiner Blick in die Zukunft: ) Es wird die Zeit kommen, wo Ihr Euch nicht mehr ganz sicher sein könnt, ob Ihr gerade mit einer Maschine oder besser einem Computerprogramm chattet bzw. im Internet unterhaltet, anstatt - wie angenommen - mit einer "echten" Person ...

Spastispam
06.03.2006, 15:46
Nein, ablenken will der nicht. Das ... [at] bk.ru benutzt er öfter. Wie ich schon sagte, er probiert es jetzt noch mit anderem Namen.
Mache Deinen Hinweis generell. Also Spam-Verbot für jeden.
In diesem GB ist Werbung unerwünscht und verboten. Zuwiderhandlung wird strafrechtlich verfolgt.
Und füge hinzu:
Im Speziellen gilt das für den Spammer Phentermine alias viagra ..., der sich jetzt anders nennt:
Deine bisherigen logins sind mit Zeit und IP dokumentiert. Im Wiederholungsfall erfolgt keine weitere Ermahnung sondern eine umgehende Anzeige!
Spam-Killer

Unendlich viel Blödsinn von Dir und kein Ende in Sicht...

Hast Du Dir eigentlich mal Gedanken darüber gemacht, dass diese ominöse Person dann quasi ein Tippweltmeister oder so sein müsste? Ja, vielleicht ein ganzes Team von Tippweltmeistern mit dem Sitz in der ehemaligen Sowjetunion???

Diese Art Einträge tauchen inzwischen hunderttausendfach überall im Netz auf!

Bitte hör endlich auf mit Deinem lächerlichen "Detektivspiel". Und bitte gib Dir einen anderen Namen. Denn Du verbreitest nichts anderes als: (na was wohl?) : SPAM in Form von Desinformation.
:cool:

Ich finde das wirklich lagsam nicht mehr lustig.

Spastispam
06.03.2006, 16:09
Aber ich will hier nicht nur rummotzen, sondern auch einige nützliche Tips zum Thema abgeben. (Im Gegensatz zu gewissen Personen hier behaupte ich nämlich nicht nur Programmierkenntnisse zu haben, sondern bin es tatsächlich ( C/C++, Assembler, JAVA, PHP... Programmierer) ...)

Wenn Ihr euch definitiv von solchen Spam-Machenschaften schützen wollt, so wird es nötig sein, einige Dinge in Zukunft zu beachten:

- Wählt mit Vorliebe solche Gästebücher, Blogs und Foren, die sehr sichere Loginsysteme aufweisen - möglichst auch konfigurierbar sind in Hinblick auf das Login.

- Verwendet vornehmlich solche, bei denen Ihr "Badwords" eintragen und somit ausfiltern könnt.

- Wenn ihr einfachere (und billigere) Alternativen in Form von allseits verfügbaren Open Source PHP-Skripten verwendet, dann modifiziert den Login-Mechanismus individuell.

- Drohungen und eine Menge von Bestimmungen für das Gästebuch sind Unfug, da Ihr damit eure potentiellen Gäste nur vergrault und eher einen neurotischen Eindruck hinterlasst.

Wie modifiziere ich nun ein Login-Skript individuell, sodass es micht mehr "maschinenausführbar" ist?

Die einfachste Variante ist die: Baut eine zusätzliche Variable (die für Eure Seite einzigartig ist!) in das Login-Skript ein. Dann haben die Bots keine Chance mehr, da das Skript diese Variable nicht kennt. Nur wenn der User (Besucher Eurer Seite) definitiv manuell einen Eintag angefordert hat und die Variable vorhanden ist, wird das Login ausgeführt.

Ich gebe zu, daß man dafür zumindestens grundlegende Kenntnisse von PHP haben sollte.


Eine allgemeinere Lösung ist z.B. Die besagten Schlagwörter übergangsweise (phentermine, casino usw.) mit der "Badwords" Liste zu filtern. Viele der verfügbaren PHP Gästebücher verfügen über eine solche Möglichkeit. Dann verlieren zumindestens die Links ihre Gültigkeit, da auch diese gefiltert werden und der Zweck der Ganzen Spam-Aktion (Links zu den entsprechenden Seiten im Internet) dann wirksam unterbunden werden. So kommt keiner Eurer Besucher die Chance dort auch noch hinzusurfen.

Ich vermute aber ...

Spastispam
06.03.2006, 16:42
...

Ich vermute aber dass das eigentliche Problem nicht die Links sind, sondern der ganze massenhafte Spam ansich...
Diese Bots sind soo blöd, daß sie sich einen Dreck darum scheren wieviele ihrer Einträge dieser Art in einem Zielgästebuch schon vorhanden sind. Somit kann es durchaus passieren, daß irgendwann euer Gästebuch vollständig aus Spam-Einträgen besteht.

Nun ja, dann gibt es nur wenige Alternativen: Entweder wechselt Ihr Euer ganzes Gästebuch komplett aus (mit einer sicheren Variante) und übertagt die bisher vorhandenen Einträge programmatisch oder manuell, oder Ihr ändert den Login-Mechanismus wie oben vorgeschlagen.

Eines ist dabei jedoch klar. Ein Update des (open source) Gästebuches durch den ursprünglichen Programmierer kann das Problem definitiv nicht lösen, da es zu einfach ist die Bots neu mit angepassten Skripten zu bestücken. Der Feind hört immer mit...

PHP Sicherheit ist ein sehr vernachlässigter Umstand. Dies trifft nicht für die Sprache ansich zu sondern mit dem Umgang mit ihr.

Windwalker
06.03.2006, 21:09
Okay, dass es doch Bots sind, klingt zumindest wegen der Menge des Spams glaubhaft.

Ich habe meine Gästebuch selbst programmiert und vor kurzem einen graphischen Zufallscode eingebaut.

Dennoch sind die Spam-Einträge wieder aufgetaucht.

Machen sich die Spammer die Mühe, die individuell programmierten Gästebücher einzeln zu untersuchen, um die Code-Abfrage algorithmisch zu umgehen?

Spastispam
07.03.2006, 00:26
Die Frage ist: Hast Du Dein Gästebuch wirklich (alles) selber programmiert oder hast Du bestimmte "Vorlagen" benutzt?
Ich nehme mal stark an daß Dein Code (zumindest der Login Teil) zu großen Teilen auf "bewährten" Skripten beruht...

Oder es war kein Bot...

Normalerweise nutzen diese Bots die typischen Login Mechanismen. Fast 50 % aller Gästebücher im Netz basieren auf einunddenselben Login Skripten. Zurzeit sind eine Menge solcher Bots aktiv. Ich glaube das sind nur die ersten Tests, da da vermutlich in Zukunft noch so einiges mehr zu erwarten sein wird...

Zweitens: Viele Programmierer bauen zwar den recht hübschen grafischen Zufallscode ein - was sehr shön ist - aber leider meist an der total falschen Stelle. Das nervt dann nur die wahren User, läßt die Bots aber so ziemlich kalt.

Die Bots sind so programmiert, daß sie die gängigen Login Files direkt aufrufen (mit dem vollständigen Set der HTTP Variablen bestückt) und umgehen damit jegliche Implementation der User Interfaces - logisch. Die haben es nicht nötig, erst irgendwelche Buttons anzuklicken um dann vollständigen Zugriff auf Dein Gästebuch zu erhalten.

Spastispam
07.03.2006, 00:53
Ein kleines Beispiel: Ich habe erst neulich ein (open source) Gästebuch eines Kunden "kuriert" indem ich ganz einfach eine zusätzliche Variable für das Login Skript eingefügt habe. Seitdem ist Ruhe mit dem besagten Spam, weil Bots damit eindeutig identifiziert werden können.

Das Skript hatte ganz einfach die typische Kennung: Die HTTP Variable &submit war der Auslöser für das Eintragen in die Datenbank.

Da fast alle Gästebücher, Blogs und Foren im Netz haben einen ähnlichen Formularmechanismus mit &submit als Variable zum Übertragen der Daten zur Datenbank, dies kann man daher sehr einfach automatisieren...

Das ist es, wo die Bots ansetzen. Die probieren einfach verschiedene vorgefertigte Submit-Varianten aus. Und was das schlimmste dabei ist: die besten von denen können auch noch selbständig dazulernen (sind also teilweise "intelligent" programmiert) ... :eek:

Windwalker
07.03.2006, 01:22
Die Frage ist: Hast Du Dein Gästebuch wirklich (alles) selber programmiert oder hast Du bestimmte "Vorlagen" benutzt?
Ich nehme mal stark an daß Dein Code (zumindest der Login Teil) zu großen Teilen auf "bewährten" Skripten beruht...


Nein, habe alles selbst geschrieben.
Es wird der zufällige Code berechnet, der dann im Eingabeformular als unsichtbares Feld mitübergeben wird.
Ist das zu unsicher? Weil so der geheim vorberechnete Code in der HTML-Source drinsteht und man sich eigentlich das HTTP POST Kommando zusammenbauen kann?

Am sichersten wäre es vielleicht, bei Aufruf des Gästebuchs in der MySQL-Datenbank den berechneten Zufallscode abzuspeichern und beim Einfügen den Code wieder aus der Datenbank auszulesen, um ihn mit dem mit HTTP POST übermittelten (eingegebenen) Code zu vergleichen.

Was meinst du/ihr?



Oder es war kein Bot...


Dann würden wir wohl sehen, ob es ein Bot ist oder nicht.

Spastispam
07.03.2006, 01:33
Wenn Du wirklich alles selbst programmiert hat und der Zufallscode an der richtigen Stelle übermittelt wird (und nicht etwa einfach übergangen werden kann), dann kann kein Bot da einloggen.

Entweder hast Du da was falsch gemacht, oder es war definitiv kein Bot.
Ich glaube kaum, daß die schon soweit sind, daß die Bots jetzt solange rumprobieren bis sie einen Weg gefunden haben sich einzuloggen. Dazu braucht es vermutlich noch ein paar Jahre und außerdem könnte mann das ja dann an den Logfiles sehen ...

Aber ich habe definitiv schon oft gesehen, daß Programmierer ihre Schutzverfahren an der absolut falschen Stelle implementiert haben (nur für die Menschen), sodaß die Bots das sehr einfach umgehen konnten (ja es nicht einmal "gewußt" haben brauchten, daß da ein Zufallscode irgendwo generiert wird)

Wo ist denn Dein Gästebuch zu bewundern?

Windwalker
07.03.2006, 02:39
Wenn Du wirklich alles selbst programmiert hat und der Zufallscode an der richtigen Stelle übermittelt wird (und nicht etwa einfach übergangen werden kann), dann kann kein Bot da einloggen.

Entweder hast Du da was falsch gemacht, oder es war definitiv kein Bot.
Ich glaube kaum, daß die schon soweit sind, daß die Bots jetzt solange rumprobieren bis sie einen Weg gefunden haben sich einzuloggen. Dazu braucht es vermutlich noch ein paar Jahre und außerdem könnte mann das ja dann an den Logfiles sehen ...

Aber ich habe definitiv schon oft gesehen, daß Programmierer ihre Schutzverfahren an der absolut falschen Stelle implementiert haben (nur für die Menschen), sodaß die Bots das sehr einfach umgehen konnten (ja es nicht einmal "gewußt" haben brauchten, daß da ein Zufallscode irgendwo generiert wird)

Wo ist denn Dein Gästebuch zu bewundern?

Ich hab nun mal die Variante mit dem in der Datenbank gespeicherten Code eingebaut, so wird der richtige Code nicht per HTTP übermittelt.
Mal schauen, ob sich am Spamaufkommen was ändert...

Mein Gästebuch findest du unter
http://www.rc-worms.de/gaestebuch.php?linknumber=14

mac
11.03.2006, 21:08
hi,

ich habe ja auch seit längerem dieses problem mit dem casino & more spam in einem meiner gbooks ...
:eek: :eek: ist ja unglaublich wieviel gb's davon betroffen sind (im google nach "free casino") :eek: :eek:

aber jetzt hab ichs glaube ich im griff

am anfang habe ich IPs gesperrt, nutzt nicht viel, da die immer andere verwenden und man liste andauernd ergänzen muss, dann bereiche, einige bereiche, aber man will ja auch nicht alle aussperren und somit habe ich dann einen badwords filter eingebaut - die einträge erfolgen (beabsichtigt) trotzdem ins gbook, die kann dann aber nur ich sehen, alle anderen sehen die nicht und der poster eines beitrages mit einem meiner badwords sieht dann nach dem posten einen hinweis, dass dieser beitrag erst nach begutachtung online gestellt wird, kann ja sein, dass einer casinoli heißt oder so,

naja, die einträge rissen nicht ab und im logfile werden immer, auch während der eintragungsphase andere ip's angezeigt,

nun schicke ich also über den link zum formular die codierte IP-Adresse (variable multiplikationen/tagesname/zertückelt/...) mit,
vergleiche diese decodiert mit der ip-adresse der formularseite und wenn das nicht passt hat er die formularseite unberechtigt betreten,
-> ich lasse den spamer dann noch walten
dann check ich noch die ip-adresse die das formular aufruft und die IP die das script für den eintrag aufruft (die sind dann nämlich auch nicht ident)
die speichere ich dann alle und evt. fülle ich eine tabelle mit den IP-Adressen und sperre die komplett vom server oder weiß nicht was??
wenn jemand einen regulären eintrag tätigt sind alle mitprotokollierten IP-Adressen ident

ich glaube so sollte ich das im griff haben

lg
mac

Stop it
22.03.2006, 20:42
Hallo allerseits,

ich nutze seit Jahren das kostenlose Gästebuch von www.gaestebuch24.de (früher Oupsbook). Nachdem in diesem Jahr erstmals massiv Spamprobleme dort auftreten, muss ich feststellen, dass der jetzige Betreiber vollkommen ahnungsfrei ist und nicht den geringsten Plan davon hat, wie er der Sache Herr wird (sein Vorschlag: 'Besucher mit amerikanischen IP-Adressen werden ausgesperrt' :clown: )

Wie sich zeigt, wäre es sinnlos, auf ein besser gesichertes Gästebuch zu warten. Selbst an exakten Informationen über die Personen, die das Gästebuch zuletzt mit Scripten bombardierten, hat der Betreiber kein Interesse.

Darum wüsste ich gern, ob es irgendwo ein Gästebuch gibt, das so wie von Spastispam beschrieben abgesichert ist und die Daten des derzeitigen Gästebuchs auch noch importieren kann. Ich bin bereit, die Nutzung zu bezahlen, falls das mein Problem löst. Das derzeitige Gästebuch enthält 1100 Einträge seit 2001. Einen eigenen Server habe ich übrigens nicht; es geht um eine private, aber gut frequentierte Webseite im Motorradbereich.

heinerle
22.03.2006, 23:46
...

Darum wüsste ich gern, ob es irgendwo ein Gästebuch gibt, das so wie von Spastispam beschrieben abgesichert ist und die Daten des derzeitigen Gästebuchs auch noch importieren kann. ...
Frag doch mal direkt Spastispam per PN an, der scheint das ja kommerziell zu machen, und Ahnung hat er seiner Meinung nach auch von der Materie.

Stop it
23.03.2006, 05:19
Hallo heinerle,

das habe ich schon in anderer Sache getan; er ist aber derzeit nicht online. Ich nehme aber an, dass es auch Standardanbieter von Gästebüchern gibt, die ihre Hausaufgaben gemacht haben. So einen suche ich noch.

mac
23.03.2006, 19:01
hi,

ich gebe hiermit bekannt, dass ich seit 12 Tagen keinen Spameintrag mehr habe
hat also funktioniert.:D :D :D

lg aus wien
mac

Salitor
04.05.2006, 13:07
Hi ich habe genau das gleiche Problem. Ich habe in meinem Praktikum ein Gästebuch programmiert, welches jetzt vom gleichen Bot zu gespamt wird, wie bei euch auch. Das erste Mal fand dies am 15.04 auf. Dann in der letzten Woche und vorgestern ist es dann wieder passiert, aber komischer Weise mit einer Datierung vom 15.04.

In PHP habe ich noch nicht die große Ahnung, um das Problemlos zu lösen. Nach den Informationen in diesem Thread herzugehen, scheint mein Gb nicht gegen Bots gesichert zu sein.

Vielleicht könnte mir einer ein paar Informationen per PN schicken, wie ich das Problem lösen könnte.

heinerle
04.05.2006, 14:35
In diesen Threads findest Du sicher was:
http://www.antispam-ev.de/forum/showthread.php?t=10792
http://www.antispam-ev.de/forum/showthread.php?t=10415

Repi
09.05.2006, 00:00
Ich mal wieder das vorherige Gästebuch der Band, für die ich Webmaster bin, geöffnet, um alles als Archiv-Datei zu speichern. Und was soll ich sagen?

On 23.04.06 xx:xx:xx User Gardening Tools Store (gardening-tools-store [at] sigaret.net)
from host server79new.myinternetservices.com (66.135.37.205 )
with a homepage at: http://www.gardening-tools-store.info wrote:
--------------------------------------------------------------------------------
On 22.04.06 xx:xx:xx User Lawn and Landscaping (lawn-and-landscaping-store [at] sigaret.net)
from host unknown.ord.scnet.net (205.234.138.153 )
with a homepage at: http://www.lawn-and-landscaping-store.info wrote:
Hi
As to me to create the same page?
--------------------------------------------------------------------------------
On 21.04.06 xx:xx:xx User Camcorders Store (camcorders-store [at] takoe.com)
from host gamma.routhost.com (67.15.188.23 )
with a homepage at: http://www.camcorders-store.info wrote:
Help to choose a videocamera. What standard to choose?
-------------------------------------------------------------------------------
On 09.04.06 xx:xx:xx User Camping and Hiking (camping-and-hiking [at] takoe.com)
from host sls-ce5p315.hostitnow.com (72.9.236.50 )
with a homepage at: http://www.camping-and-hiking.info wrote:
hi
Prompt how to get rID: [ID filtered]
--------------------------------------------------------------------------------
On 06.04.06 xx:xx:xx User Cookware and Baking Store (cookware-and-baking [at] takoe.com)
from host chicago.hostforweb.net (64.202.123.207 )
with a homepage at: http://www.cookware-and-baking.info wrote:
hi
Prompt how to get rID: [ID filtered]
--------------------------------------------------------------------------------
On 03.04.06 xx:xx:xx User Construction Tools Store (construction-tools [at] takoe.com)
from host server79new.myinternetservices.com (66.135.37.205 )
with a homepage at: http://www.construction-tools.info wrote:
Good site. Me very much has liked.
--------------------------------------------------------------------------------
On 01.04.06 xx:xx:xx User Cycling Online Store (cycling-store [at] takoe.com)
from host aeternus.hellohost.com (70.86.44.202 )
with a homepage at: http://www.cycling-store.info wrote:
Hi
To write the letter, it is necessary ...
--------------------------------------------------------------------------------
On 23.03.06 xx:xx:xx User AlmaMater (alma_mater [at] world.com)
from host 217.195.216.8 (217.195.216.8 )
with a homepage at: AlmaMater wrote:
Hello friends. Verry interesting site. Please keep it work up Plz look at my site: My page
--------------------------------------------------------------------------------
On 23.03.06 xx:xx:xx User AlmaMater (alma_mater [at] world.com)
from host 217.195.216.2 (217.195.216.2 )
with a homepage at: AlmaMater wrote:
Hello friends. Verry interesting site. Please keep it work up Plz look at my site: http://no_tag_message_link.com
--------------------------------------------------------------------------------
On 13.03.06 xx:xx:xx User AlmaMater (alma_mater [at] world.com)
from host 217.195.216.5 (217.195.216.5 )
with a homepage at: AlmaMater wrote:
Hello friends. Very interesting site. Please keep it work up Plz look at my site: My page
--------------------------------------------------------------------------------
On 13.03.06 xx:xx:xx User AlmaMater (alma_mater [at] world.com)
from host 217.195.216.3 (217.195.216.3 )
with a homepage at: AlmaMater wrote:
Hello friends. Very interesting site. Please keep it work up Plz look at my site: http://no_tag_message_link.com
--------------------------------------------------------------------------------
On 30.01.06 xx:xx:xx User Online Casino Bonus (Sam [at] opertonickers.com)
from host kwh.kernow-gb.com (83.245.15.165 )
with a homepage at: http://www.onlinecasino-bonuce.info wrote:
Hey guys, my name is Sam, I am a 24 year old player from San Michel, USA. I've been reading here for a few months and just want to be registered. I play online a lot Casino Bonus room. I am very excited, I hit my first Straight Flush a few minutes ago!!! in the beginning of my poker hobby.. can somebody tell me about other online places I could parctise?
--------------------------------------------------------------------------------
On 10.01.06 xx:xx:xx User Sergey (sergpal [at] yahoo.com)
from host gamma.routhost.com (67.15.188.23 )
with a homepage at: http://www.simple-texas-holdem.info/ wrote:
Has added in the selected works, and I suggest you to exchange references. In advance thanks.
--------------------------------------------------------------------------------
On 29.12.05 xx:xx:xx User Zayatc (iufhshvis8fdyv [at] yahoo.com)
from host madrid.servershost.net (66.225.212.203 )
with a homepage at: http://www.texas-holdem-reviews.pp.ru wrote:
Hi! Strike with the contender directly now! Win a condition! http://www.texas-holdem-reviews.pp.ru
--------------------------------------------------------------------------------
On 22.12.05 xx:xx:xx User Stif (kjsdhkjhfdg [at] yahoo.com)
from host server.rebelodacruz.com (205.234.138.153 )
with a homepage at: http://www.beauty-onlinestore.info wrote:
Hi
As in your guestbook to include support html?
--------------------------------------------------------------------------------
On 19.11.05 xx:xx:xx User Jonn (hhhu776567 [at] yahoo.com)
from host thrown.crownhosting.net (67.18.146.194 )
with a homepage at: http://www.airtools-store.info/ wrote:
Hi! How to me to adjust a background of page?
--------------------------------------------------------------------------------
On 18.11.05 xx:xx:xx User Watty (_wat_ [at] livejournal-players.com)
from host madrid.servershost.net (66.225.212.203 )
with a homepage at: http://www.only-win-casino.pp.ru wrote:
Great players can win http://www.only-win-casino.pp.ru tournaments without cards. I am not a great player. :(
--------------------------------------------------------------------------------
On 16.11.05 xx:xx:xx User Silko (764tgffre54 [at] yahoo.com)
from host ns1.wirenine.com (69.72.139.138 )
with a homepage at: http://www.best-hunter-store.info/ wrote:
Hi hunters! This site for you! All for a successful hunt! Now! http://www.hunter-online-store.info
--------------------------------------------------------------------------------

Dazwischen waren nur zwei normale Einträge.
Das GB existiert nicht mehr, im neuen sind schon längst von mir Regeln und Verwarnungen als Seite vorgeschaltet bevor man zum eigentlichen Eintrag kommt, und dort gibt es keinen einzigen Spam dieser Art.

manror
10.05.2006, 12:07
Aloa he,

bei mir spammt auch so jemand rum, er/sie/es macht Werbung für Pornoseiten, Viagra, Casinos und anderes....

Was sollte ich alles speichern um ihn notfalls anzuzeigen? IP-Adresse und Zeit wird momentan gespeichert...

Persönlich ansprechen? Soll ich oben ins GB eine Nachricht an ihn schreiben und ihn darauf hinweisen, dass er das lassen soll?

Momentan sperrt mein Gästebuch vorerst alle Einträge in dennen Wörter wie porn und casino vorkommen, allerdings muss ich sie trotzdem noch löschen (bzw wenns nich böse war freischalten)


mfG
manror

Wurgl
10.05.2006, 12:30
Soll ich oben ins GB eine Nachricht an ihn schreiben und ihn darauf hinweisen, dass er das lassen soll?


Lesen denn Programme solchen Nachrichten?


Hint: Du glaubst doch nicht im Ernst, dass auch nur ein Spammer vor der Tastatur sitzt und tippt.

manror
10.05.2006, 13:47
Lesen denn Programme solchen Nachrichten?


Hint: Du glaubst doch nicht im Ernst, dass auch nur ein Spammer vor der Tastatur sitzt und tippt.


irgendwer meinte das solle man tun und irgendwer meinte das das vllt doch Menschen sind...

Wurgl
10.05.2006, 15:26
irgendwer meinte das solle man tun und irgendwer meinte das das vllt doch Menschen sind...

Unwahrscheinlich. Das rechnet sich nicht. Der Hauptzweck eines solchen Eintrags ist das Page-Ranking bei Google zu verbessern. Der Mensch dahinter sucht vielleicht die Gästebuchseiten in einer Suchmaschine und macht den ersten Eintrag dort, sprich er konfiguriert die Spam-Maschine.

Und alle Einträge die danach erfolgen, sind automatisiert. Ich hab da bei einem Wiki ähnliche Probleme gehabt. Praktisch täglich wurden die direkt per Startseite verlinkten Seiten zugespammt. Und zwar genau alle Seiten, die per Link von der Startseite zu erreichen waren und nur diese. Ein Mensch macht sowas nicht. Ausserdem waren die IP-Adresse jeden Tag aus einem anderen Netz.

Wenn so ein Hinweis helfen soll, dann beim ersten Besuch. Und selbst dann stellt sich die Frage: In welcher Sprache?

Spastispam
18.05.2006, 16:03
Hat überhaupt schon mal jemand darüber nachgedacht, daß es sich dabei vieleicht um Würmer handeln könnte.

Viele Leute sind mit Ihren Rechnern bis an die Halskrause verwurmt. Ja die wissen das nicht einmal...

Es wäre sehr gut möglich (ich bin sogar schon fast davon überzeugt), daß dann jedesmal, wenn wieder so ein verwurmter Gast bei Euch einen Eintrag hinterlassen hat, das "Zentralnervensystem" der Spam-Maschinerie mit sehr nützlichen Zugangsdaten gespeist wird. Dies würde jedoch natürlich eine gewisse "Logistik" auf der Seite der Spammer voraussetzen...

Eventuell erfolgen die Spameintragungen aber auch direkt von den verwurmten Maschinen aus...

Nur mal so eine (wage) Idee ...


Dieses Forum ist inzwischen voll von haufenweise nützlichen Empfehlungen um dies auf mehr oder weniger elegante Weise zu verhindern. Man müßte es halt nur auch mal alles irgendwie durchlesen. ;)

Schnuckel
21.02.2007, 12:31
Habe seit 10.02.2007 täglich 2x englischsprachige Spam. Aus den Logsdateien ist ersichtlich von wo aus die Aktionen kommen. Ein gemieteter Server bei einem ISP. Anruf dort ließ anhand der IP ns.xxxx.providerbeispiel.de sofort Rückschlüsse auf den "Übeltäter" zu. ISP prüft jetzt Sachverhalt und leitet "entsprechende MAßnahmen" ein.

Ich weiß, die Suchen sich dann den nächsten Hoster u.s.w., aber Teilerfolge gilt es auch zu berichten!

Schnuckel
21.02.2007, 14:57
Nachtrag!
Hab nun nach Abgleich der logdateien mit den Spam-GB-Einträgen, die zuständigen IPs ausfindig machen können. Mein Hoster ermöglicht via Web-Interface eine IP Sperre. Darin wurde unter anderen die IP 87.118.108.149 generell für Rootzugriff gesperrt. Da sich hinter 87.118.108.149 ein gemieteter Server verbirgt, wird der kompletto gesperrt. Die 2 anderen ns.1234.providerbeispiel.de von denen der Spam abgesetzt wurde, sind in einer IP-Range, die wurde auch gesperrt, allerdings nur aufs cgi-bin und cgi-data, da ja normaler Zugriff auf Website erwünscht ist und man nicht alle Kunden von ip-con...upps, jetzt hätte ich doch beinahe etwas verraten. Hat noch jemand weitere Tipps. Her damit!

Eure Schnuckel

*************
Fucking like hacking, find a hole and exploy it!

nitram0816
11.03.2007, 08:27
irgendwer meinte das solle man tun und irgendwer meinte das das vllt doch Menschen sind...
Nein, diese Meldungen liest kein Programm und auch kein Mensch. Ausserdem interessiert deutsches Recht hier nicht. Hier gibt es Infos zur Motivation des Spams. Da ist ein grosser Batzen Geld mit "verdient".

http://www.burseg.net/blog/Wie-werde-ich-in-30-Tagen-zum-Millionaer-40.html
http://merged.ca/monetize/flat/how-to-get-billions-of-pages-indexed-by-Google.html

Die hier geposteten Lösungen sind teilweise sehr komplex und nur teilweise wirksam. Captcha habe ich wieder rausgeworfen, da das eher die User behindert. Wer dennoch Captchas verwenden möchte, hier gibts Infos zur Wirksamkeit gegen spam captcha decoder
http://sam.zoy.org/pwntcha/

Momentane Zwischenlösung bei mir:
Ich wechsle ab und an die Anzahl und die Namen der Variablen und den Namen des Formulars.

Ist zwar nur ein Wettrennen, aber kommt Zeit kommt Rat.

Vielen Dank für die produktiven aber auch teilweise amüsanten Beträge.

Schönes Wochenende wünsche ich

nitram0816

Sirius
12.03.2007, 09:48
Ein Sperre, die bei mir bislang noch kein Bot überwinden konnte, ist die Verwendung von XMLHttpRequests (http://de.wikipedia.org/wiki/XMLHttpRequest) (AJAX)

Man benötigt prinzipiell nicht einmal PHP dafür. :)

Harvester die mit XMLHttpRequests umgehen könnten, würden dadurch so langsam, dass sie praktisch nicht mehr verwendbar wären (weil sie jetzt jeden gefundenen Javascript-Code ausführen).

Per Request muss ein Javascript angefordert werden, was alle modernen Browser problemlos machen. Der zusätzliche Code wird dann einfach in die Seite eingebaut.
Der Schreiberling merkt von alledem nichts und muss auch keinen Captcha-Code oder ähnliche Aufgaben lösen...

Beispiel - Nachladen von Javascript-Code aus: script.php:
var p = null;

try
{
p = new XMLHttpRequest();
} catch (e) {
p = new ActiveXObject('Msxml2.XMLHTTP');
}

try {
netscape.security.PrivilegeManager.enablePrivilege('UniversalBrowserRead');
} catch (e)
{
}

if (p) {
p.open('GET', 'script.php?noCache=' + Math.floor(Math.random()*10000), false);
p.send(null);

eval( ... p.responseText ...);

...Der scheinbar überflüssige Code (netscape, Math) umgeht einige Browser- und Cache-Probleme.