PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Anatomie einer Gästebuch-Attacke



Reinhold Jordan
09.05.2007, 09:08
Hallo,

seit gestern ist ein Spammer mal wieder besonders aktiv. Da er eine prima Spur hinterlassen hat und es immer hilfreich ist, zu wissen, wie die arbeiten, schreibe ich mal auf, was ich an Info habe:

Angefangen hat es mit zwei Zugriffen von ns.km30237.keymachine.de am 29.4. und 3.5. auf das Gästebuch. Da das Formular einen Zeitstempel mit übergibt, lassen sich alle weiteren Zugriffe auf diese beiden zurück führen.

Als User-Agent wurde "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" übergeben. Und das ist kein Tippfehler, daß der User-Agent mit "User-Agent" anfängt.

Seit dem 6.5. folgten 9 Zugriffe, die anscheinend eine Art Test waren. Immer etwas anders, aber alle ähnlich:
GB_name :wmmjfgwi
GB_mail :wmmjfgwi [at] yahoo.com
GB_message :korokozabr555
Was mir auffällt ist, daß anscheinend niemand diesen Test analysiert hat. Denn sonst wäre ja aufgefallen, daß diese Zugriffe mit veraltetem Zeitstempel schlicht ignoriert wurden.

Und seit gestern habe ich bis jetzt 26 Zugriffe, die auch eine (mehr oder weniger sinnvolle) Nachricht enthalten. Da ich diese Sprache nicht spreche, kann ich das aber nur vermuten:
GB_name :vcwjajkvuo
GB_mail :vcwjajkvuo [at] yahoo.com
GB_message :korokozabr6
http://carmen935.newmail.ru/wi_de_madison_della_stazione_termale_di_.html wi de Madison della stazione termale di giorno dell'oasi
http://sacrire1108.newmail.ru/salone_del_tatuaggio_in_illinois.html salone del tatuaggio in Illinois
http://green1342.hotmail.ru/la_cellula_cellulare_confronta_il_progra.html la cellula cellulare confronta il programma del telefono del telefono
...
und noch weitere 27 Links

Jeder dieser Zugriffe kommt von einem anderen Rechner irgendwo auf der Welt. Der einzig auffällige Rechner ist ns.km30237.keymachine.de. Eine Suche in Google findet jede Menge Zugriffslogfiles, besonders Gästebücher. Und in meinen eigenen Logfiles finde ich auf einer anderen Seite Zugriffe wie diesen
"http://www.holzwerken.de/mailto:xxx.yyyy [at] jestaedt.com"
Und das mit jede Menge Spam-Trap-Adressen

Gruß, Reinhold

Reinhold Jordan
26.05.2007, 07:50
Hallo,

Und seit gestern habe ich bis jetzt 26 Zugriffe, die auch eine (mehr oder weniger sinnvolle) Nachricht enthalten....
das hat 2 Tage angehalten und dann war komplett Ruhe. 10 Tage später, also am 19., fing es dann wieder an. Seit dem kommen "schön" regelmäßig jeden Tag fast 20 Einträge dieser Art. Alle etwas kürzer gefaßt, aber sonst ähnlich. Und alle mit diesen 2 Zeitstempeln...

Gruß, Reinhold