Weblogeintrag vom 8. March 2005

Tuesday, 2005-03-08 15:50

Nachtrag zu Etwas Statistik zum Thema Referer-Spam: Ich habe wieder Kommentarspam erhalten und konnte weitere Filtermöglichkeit daraus ableiten bzw. diese verfeinern.

Die Kommentare wurden im Takt weniger Zehntelsekunden von einer einzigen IP aus abgefeuert. Um das zu verhindern, könnte man jeder IP, die bereits kommentiert hat, 5 Minuten lang jeden weiteren Kommentar verbietet (mit einer freundlichen Benachrichtigung, die das erklärt, und bei der reguläre Besucher lediglich auf "nochmal versuchen" klicken müssen). Oder man erzwingt unabhängig von der IP, dass zwischen zwei beliebigen Kommentaren mindestens 60 Sekunden liegen müssen (wieder mit freundlicher Meldung).
Die Referer waren gefälscht und ganz einfach auf die selbe Adresse gesetzt wie die, die bespammt wurde. Das ist für den allerersten Referer eines Besuchs unrealistisch. Dieser muss entweder leer sein oder z.B. eine Google-Adresse oder etwas anderes zeigen, nicht jedoch die Seite selbst. Danach lässt sich allerdings nur filtern, wenn man mit Sessions arbeitet, also einen Besuch als solchen identifizieren und nachvollziehen kann.
Die Kommentare bestanden aus einer in <a href=...>...</a> eingefassten URL, ohne Anführungszeichen und ohne weiteren Text davor und dahinter. Ein möglicher Filter könnte erzwingen, dass neben der URL noch eine bestimmte Menge Text eingegeben werden muss.
Wie schon beim letzten Mal kann man sich allerdings auf die Dummheit der Spammer verlassen: Die Angabe des User-Agent lautete User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1). Wie drollig. Man beachte das wiederholte User-Agent: am Anfang. Wieder ein interessanter Neuzugang für die Blackliste: Jemand, dessen User-Agent den Text "User-Agent:" enthält, darf nicht kommentieren bzw. wird ganz ausgesperrt. Ein Blick auf das Logfile zeigt, dass damit auch diverse andere Zugriffe blockiert würden, unter anderem von einem Suchmaschinenrobter, der ganz offensichtlich für die Linkfarm eines Spammers unterwegs ist (fast-search-engine.com).

2005-03-09 15:25: Methode 1 setze ich seit 4 Monaten (neben einer Blacklist, die bestimmte IPs, Stichwörter und Domains enthält) erfolgreich ein. Und so habe ich statt mehrerer 100 Spam-Einträge auf einen Schlag, wie ich das häufig in anderen Blogs lese, immer nur zwei. Kann ich also nur empfehlen.

Hier das PHP-Script dazu: qxm.de/digitalewelt/20041102-124538; Michael Preidel
2005-03-09 20:20: Methode 1 kann aber ganz schön nervig werden, wenn man mehrere Beträge offline schreibt und alle auf einmal am Stück abschicken will. Solange der Eintrag aber erhalten bleibt und auf einfache Weise doch noch abgeschickt werden kann bleibt es aber meiner Ansicht nach noch im erträglichen Rahmen...; T$
2005-03-10 09:27: Ich bin überzeugt davon, dass zeitbasierte Methode das meiste bringen. Ebenso bin ich überzeugt davon, dass man auf die Einschränkungen hinweisen und zumutbare Wege anbieten muss, auch dann zum Ziel zu kommen, wenn man versehentlich in eine dieser Fallen gestolpert ist. Selbst für das Absenden von Kommentaren per Copy & Paste braucht man 30 Sekunden, oder etwa nicht?

Schick ist auch die z.B. bei Yahoo eingesetzte Methode: Wenn man innerhalb einer bestimmten Zeit schon eine bestimmte Anzahl Kommentare abgesendet hat, erscheinen plötzlich grafische Captchas.; Thiemo
2005-03-11 20:04: "Selbst für das Absenden von Kommentaren per Copy & Paste braucht man 30 Sekunden, oder etwa nicht?"

Nicht wenn man mehrere Fenster offen hat und somit nicht einmal pasten muß. Außerdem sind selbst mit Copy&Paste 30 Sekunden recht lang ;)

Die Yahoo-Captchas kenn ich nicht... wohl aber ständig neue Loginforderungen und nervige Werbung in den Yahou-Groups.; T$

Kommentare zu diesem Beitrag können per E-Mail an den Autor gesandt werden.

Thiemos Archiv