PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : This is test-spam message...



Q__
12.07.2007, 18:15
Hallo Ihr da draußen...

Im von mir selbst programmierten Gästebuch eines Kunden (der darauf nicht verzichten möchte), haben meine "Gegenmaßnahmen" bisher ganz gut gegriffen, obwohl ich noch nicht mal ein Captcha eingebaut hatte (bzw. noch nicht aktiviert, in der Schublade liegt es natürlich schon!).

Die vergangenen Tage rutschten plötzlich drei Beiträge durch, immer von luise (louisebgz [at] gmail.com und emmaylm [at] gmail.com), und zwar in der Art "Majority info -- " mit dem BBCode "URL", aber ohne Angabe einer Url!

Das hat meine Aufmerksamkeit geschärft und nun finde ich heute folgenden Eintrag:



This is test-spam message, if you want stop spam on your site - just email me: stopspamme [at] mail.ru and your site will be immediately removed from spam-base.
basketball centerpieces summit orthopedics minnesota perfect 10 sirrus ionic cleaner electronic supply winx club bloom clip art kevs cave bio of pete duel neco complaintss


Als Homepage wurde "http://nokyti.hotmail.ru" eingegeben (dort allerdings nur Error 404).

Heute mal abgekippt von der Moskauer 81.177.22.210 mit einem angeblichen Opera 9, der aber interessanterweise keine Bilder lädt (hierauf kein GET im Log).
Die vorigen Einträge wollten mir zwar auch einen Opera vorgaukeln, kamen aber aus Rumänien (82.77.127.5), 218.92.191.178 oder USA 68.227.120.184.
Die Idee mit dem IP-Bereich sperren habe ich übrigens schon angewendet, so dass sie längst über andere Proxies kommen.

Über den Sinn kann ich nur spekulieren. Von billiger Erpressung bis Joejob halte ich erst mal alles für möglich.
Google gibt außer einem chinesischen Gästebuch (scheinbar, ich beherrsche die Sprache nicht ;D ) nicht viel her.

Diskussionen willkommen.

Gruß,
Q

Arthur
12.07.2007, 18:36
für emmaylm gibt es genau einen Googletreffer und der hat es in sich.
kann IMHO kein purer Zufall sein

http://www.google.de/search?hl=de&q=emmaylm+&btnG=Suche&meta=

Q__
12.07.2007, 18:47
... und die haben alle Links auf irgendwas.blogspot.com, der Teil meiner Blacklist ist ;)
Im Grunde nichts außergewöhnliches, derartigen Spam gibts haufenweise, ohne Gegenmaßnahmen auch bei mir.
Mich interessiert halt erst mal diese "Test-Spam Message".

Gruß,
Q

SpamRam
12.07.2007, 20:32
Hatte vor einiger Zeit etwa dasselbe in meinem GB. Siehe hier (http://www.antispam-ev.de/forum/showthread.php?t=13096). Habe jetzt nicht überprüft, ob es damals dieselbe .ru-Adresse war.

schmubo
12.07.2007, 20:40
Das Ding habe ich auch gerade in meinem Spammer-Gästebuch entdeckt. Gleiche E-Mail-Adresse. Beworbene Website: http://tameco.newmail.ru. (Ist sogar erreichbar, gibt aber nix her.) Und die selbe IP (81.177.22.210, ist aber nicht Rumänien, sondern Russland zuzuordnen). Auch bei mir eingetragen mit Opera 9.0. Eine Sekunde früher erfolgte mit dieser IP ein nicht-schreibender Zugriff auf das GB.

Über den Sinn kann ich nur spekulieren. Von billiger Erpressung bis Joejob halte ich erst mal alles für möglich.
Ich vermute, hier werden E-Mail-Adresen gesammelt.

Q__
12.07.2007, 20:50
Hallo Schmubo,

Missverständnis: 81.177.22.210 ist aus RU, aber 82.77.127.5 aus RO.


Ich vermute, hier werden E-Mail-Adresen gesammelt.

Aber so blöd kann doch eigentlich niemand sein, darauf zu antworten?!
IMHO ist auch der Aufwand zu groß, ein Bot dürfte da mehr bringen?


Immerhin interessant, dass sie ihre IP nicht verschleiern. Da will ich doch mal schauen, was meine htaccess dazu meint :D

Gruß,
Q

schmubo
12.07.2007, 22:22
Aber so blöd kann doch eigentlich niemand sein, darauf zu antworten?!
Doch, doch... ich bin so blöd! (Aber zum Glück bin ich mir dessen bewusst.) Soeben habe ich mein Spammer-Gästebuch auf einen PHP-für-umsonst-Server kopiert und nun werde ich unter Verwendung einer Wegwerf-E-Mail-Adresse höflich darum bitten, mich auf eben diesem Server nicht mehr zu bespammen. Mal gucken, was passiert...

Q__
13.07.2007, 08:04
Mal gucken, was passiert...

Klar, so kann man die Frage, was Spammy will, auch klären :cool:
Na, da bin ich mal gespannt! Ich kann diese Experimente leider nicht wagen - wie gesagt: Kunden-Umgebung!

Vergangene Nacht habe ich ihn in den Logs noch nicht entdeckt, vielleicht wartet er ja auf "Freitag, den 13."... :boxer: Komm nur....

Gruß,
Q

Q__
14.07.2007, 13:16
Bisher hat Spammy (nennen wir ihn doch mal: "Mr. Opera 4 Beta 3") weitere vier Versuche mit seiner IP 195.209.224.83 hinter sich, ohne scheinbar den Sinn von "Error 403" zu begreifen...

Jedenfalls habe ich in weniger als 24 Stunden 15mal POST auf die Gästebuch-Seite diagnostiziert, die allesamt ins Leere laufen (ich habe im Mitglieder-Bereich schon mal darüber geschrieben), dabei unterscheide ich etwa drei verschiedene Vorgehensweisen.
Besonders ein "Opera 9" gibt sich scheinbar richtig Mühe, mein Gästebuch zu knacken. Aber meine Blacklist & Co. greifen immer noch und ich mache mir keine größeren Sorgen, schaue eher amüsiert zu!

Wenn ich mal über Arthurs Hinweis (http://www.antispam-ev.de/forum/showpost.php?p=117802&postcount=2) und Mr. Beta Opera erfolgreichen GB-Einträge weiter nachdenke, stelle ich mal fest:

emmaylm und ihre Freunde haben in diversen Foren Posts mit dem BBCode "UR"L eingetragen, dabei mit Link auf "immerwasanderes.blogspot.com".
Dazu mehr oder minder "sinnvolle" Begriffe von "replica watches" bis "mature wife" und härter.
Mr. Opera sind bei mir Einträge mit dem leeren BBCode "URL=" unter dem Namen emmalym gelungen: blogspot.com ist bei mir nämlich nicht erlaubt!
Nachdem ich auch offensichtliche BBCodes filtere, ist lediglich ein einziger Eintrag durchgerutscht, nämlich der oben zitierte (http://www.antispam-ev.de/forum/showpost.php?p=117801&postcount=1). Dabei hat er harmlosere Wörter wie "basketball", "ionic cleaner" oder "electronic supply" versucht, vielleicht um wirklich meine badwordlist zu checken.
Ich denke mal, mit dem "if you want stop spam" wollte er nur mal abtesten, ob seine Einträge zur Kenntnis genommen werden und wie lange es dauert, bis sie wieder gelöscht sind!


Schauen wir mal, was weiter passiert. Ich werde berichten....

Ein sonniges Wochenende!
Q

schmubo
15.07.2007, 01:40
Es ist so enttäuschend:
Vor mehr als 48 Stunden habe ich mein Spammer-Gässtebuch einschließlich einiger animierender Eintragungen auf einen PHP-fähigen Server kopiert und Spammy eine Mail geschrieben:

Hello!

Today I found this in the guestbook of my website
http://irgendwas.de/gaestebuch.php:

"This is test-spam message, if you want stop spam on
your site - just email me: stopspamme [at] mail.ru"

O.K. - here is my mail to you: Please stop to insert any
spam to my guestbook. Thank you.

Best regards
schmubo

Wirkung? NULL! Bisher gab es noch keine Zugriffe auf das neue Gästebuch und bis auf die Benachrichtigung "Sie haben gewonnen" ist noch kein Spam an der Mail-Adresse, mit der ich Spammy kontaktiert habe, eingetroffen.

Was lernen wir daraus?
Spam lässt sich abbestellen, wenn man den Spammer höflich darum bittet. :D
Das Leben kann so einfach sein...

Q__
15.07.2007, 11:15
Wirkung? NULL! Bisher gab es noch keine Zugriffe auf das neue Gästebuch

Naja, Mr. Opera "arbeitet" wohl am Wochenende nicht, nur seine kleinen Freunde, die dummen Bots ;-) Seit meinem letzten Eintrag hier zähle ich nämlich 6 weitere 403-Besuche....
Da wird sich Spammy am Montag aber ärgern http://www.addis-welt.de/smilie/smilie/comik/260.gif

Ich denke mal, der Bot sucht nur die IPs ab und schickt dann einen einzelnen POST (zumindest letzeres kann ich im Log sehen).
Wahrscheinlich kennt er Dein neues Gästebuch noch gar nicht. Hast Du Zugriff auf die Logs des vorigen?

Gruß,
Q

PS: Wahrscheinlich ist ihm der Pagerank Deines neuen GBs eh zu schlecht....

Q__
02.08.2007, 20:36
Heute Nacht um 04:01h hat "Opera/9.0 (Windows NT 5.1; U; en)" wieder zugeschlagen (da war es in Moskau gerade mal 6):


Hello! great idea of color of this siyte! (ja, mit diesen Fehlern).
Heute nennt er sich Vilyamzh alias Vilyammw [at] DarkSites.com und trägt als Homepage google.com ein :D

Ach ja, seine IP diesmal wohl ein spanischer Proxy: 80.58.205.32 (nachdem ich seine anderen geblockt hatte...)


Gruß,
Q