Wordpress, Spamer und ein paar Blockaden …
Ich bin vermutlich nicht der einzige, der sich tagtäglich mit Spamern rumschlagen darf. Schon seit langem pflege ich eine IP-Liste, in der IP-Adressen von Kommentar- und Trackbackspammern aufgelistet sind. Derzeit überlege ich, ob ich nicht ein Wordpress-Plugin entwickle, über welches mir Leidensgenossen Spam-IPs mitteilen können *grübel*. Naja, bis es soweit ist, teile ich gerne meine gesammelten IP-Adressen mit euch:
http://jaritsch.at/block_spambots/
Die Liste ist live, sobald ich also eine weitere IP blockiere, erscheint sie auch in dieser Liste. Wie sie anzuwenden ist, sollte selbsterklärend sein 
.
Tags: block spam, ip, spam problem, spambot, trackback spam, wordpress, wordpress spam
Am 5. September 2008 um 11:57 Uhr
Wohin schickt man jemanden mit “%{REMOTE_ADDR}”?
Am 5. September 2008 um 12:05 Uhr
Du liest nur die Bedingungen - die Regel, was passiert findest du am Ende der Liste
. Falls du damit keine Erfahrungen hast, solltest du übrigens nicht damit rumspielen.
Am 5. September 2008 um 12:25 Uhr
Danke Jürgen für die Liste! Ich selbst pflege bereits seit längerem eine Spambot IP Blockierung für .htaccess und PHP, deine Liste werde ich nachher gleich einmal über eine automatische Updatefunktion in meine Projekte integrieren. Danke! Vielleicht sollte ich meine bisherige Liste auch einmal online stellen, gemeinsam schafft man mehr
MfG Christian
Am 5. September 2008 um 12:28 Uhr
Du kannst mir die Liste gerne per Mail zusenden, dann pflege ich sie gerne ein - gerade in den letzten Tagen sind fast 50 IPs bei mir dazu gekommen - pro Tag kommen im Schnitt 5 IPs bei mir dazu.
Am 5. September 2008 um 15:49 Uhr
Ich werde mir meine gesammelten IP’s einmal zusammensuchen. Denn im Moment ist mein Blockierungssystem etwas verstreut über alle (Sub-) Domains und nicht zentral eingerichtet, es blockiert also auch nicht überall die gleichen IP’s. Das werde ich in Kürze mittels automatischem Aktualisierungsscript (PHP oder C++) für alle Projekte umgehen, dann kann ich dir auch meine List(en) senden
MfG Christian
Am 5. September 2008 um 20:45 Uhr
Tja. Immer diese bösen Buben. Aber dank Akismet gehts.
Gottseidank bin ich zum Zuspammen nicht populär genug
Am 5. September 2008 um 20:50 Uhr
Da hilft grundsätzlich Hashcash mehr, auch wenn die User dafür JS aktiviert haben müssen. Aber davon abgesehen: dir bleibt die Moderation nicht erspart - ich will den Schrott nichtmal moderieren
.
Am 5. September 2008 um 22:26 Uhr
Und wohin schick ich jemanden mit “RewriteRule . ? [F,L]“?
Am 5. September 2008 um 22:31 Uhr
Nach nirgendwohin - er bekommt die 403-er Seite deines Setups zu sehen (Forbidden). Zusätzlich wird auch der HTTP-Status-Code 403 ausgeliefert.
Am 6. September 2008 um 09:24 Uhr
Die kommentare können ja auch von Hashcash an Akismet übergeben..
wie funktioniert deine Liste genau, bzw wo / wie wird sie verwendet? Reicht es, sie einfach in eine .htaccess zu schreiben??
Am 6. September 2008 um 10:09 Uhr
Jop, die ist für eine .htaccess gedacht
MfG Christian
Am 6. September 2008 um 10:54 Uhr
@florian Ja, die Liste blockiert per .htaccess, dass die Bots überhaupt erst auf deine Seite kommen.
Am 6. September 2008 um 11:37 Uhr
Asso, ok.
Am 7. September 2008 um 13:35 Uhr
abgesehen davon, dass du auch leute in der liste pflegst, welche du hier nicht haben möchtest, ist so eine liste eine relativ unwirkasahme lösung..
- viel aufwand
- dyn. ip’s
- bot netze wachsen ständig
ich verwende übrigens spamassassin um unerwünschte posts zu filtern…
es ist zwar für emails gedacht, funktioniert aber auch prima mit spam aus webformularen.
Am 7. September 2008 um 14:28 Uhr
Bin ich der Einzige, der den Satz nicht versteht *grübel*?
Blog-Spambots sind relativ dumm - denn sie sind wiederkehrend - auch von der gleichen IP. Der eigentliche Sinn: meist ist so, dass pro IP gleich mal 60 - 80 Spamcomments aufschlagen. Sobald ich den ersten Comment bekomme, wird die IP geblockt und erspare es mir also min. 59 weitere Mal den Spam abzulehnen - nicht nur für mich eine Entlastung, sondern auch für das System. Ergo macht die Liste ausreichend Sinn. Ich bin übrigens von täglichen 100 Spamposts auf knapp 5 runtergerasselt - nehme ich die .htaccess raus, geht das Spiel von vorne los. Warum? Ganz einfach: hier schlagen ~30.000 Backlinks auf und darüber kommt jede Menge Müll.
Am 8. September 2008 um 12:26 Uhr
Ich submitte einmal was, in’s nichtvorhandene Submitformular.
200.63.42.141
Am 8. September 2008 um 14:05 Uhr
@wolfi Drin
.
Am 12. September 2008 um 08:58 Uhr
Meine ist diesmal zum Glück nicht dabei. *lach*
Am 13. September 2008 um 22:18 Uhr
Hab’ noch ne Spam IP: 194.3.27.124
Hat Akismet gerade ausgefiltert.
Am 20. November 2008 um 09:55 Uhr
Nur einmal eine kleine Anmerkung noch: Ohne mod_rewrite würde das Ganze vermutlich schneller laufen. Denn ein einfaches Deny from xxx.xxx.xxx.xxx reicht bei IP’s doch vollkommen aus
MfG Christian
Am 20. November 2008 um 23:44 Uhr
Tja, das hilft dir bei einzelnen IPs - über kurz oder lang sind meine Listen recht vollständig, so das sich auch Wildcards setzen lassen. Davon abgesehen: dass mod_rewrite die Performance in die Knie zwingt ist eine urban legend.
Am 21. November 2008 um 12:49 Uhr
Ich habe deine Liste jetzt auf meinem neuen vServer einmal per Script eingepflegt, einmal täglich kopiert es deine Liste in eine DB, die DB Inhalte werden danach in eine globale block.conf Datei geschrieben, die der Apache global für alle Verzeichnisse einbindet, danach gibts ein reload, falls sich etwas geändert hat. Dabei sind auch bereits Wildcards erlaubt und nur diese werden dann mittels mod_rewrite geblockt, alles andere ganz normal per Deny from xxx, dass gleiche vorgehen habe ich auch gleich für bestimmte Useragents implementiert. Jetzt muss ich das ganze eigentlich nur noch einmal für meine Webspace Accounts in Form einer .htaccess implementieren.
Danke jedenfalls für deine Liste Jürgen, ich werde mein System noch überarbeiten, damit meine blockierten IP’s auch global gelten und für jeden einsehbar sind. Die verwendeten Scripte für ein automatisches Synchronisieren stelle ich dann gerne zum Download bereit. Vorher muss ich es nur noch etwas verfeinern
MfG Christian
Am 21. November 2008 um 13:04 Uhr
Freut mich zu hören. Bitte vergiss aber nicht den Sicherheitsaspekt - anbieten würde sich hier ein Line-Check, da du die Datei dann sowieso pro Zeile in die DB schreibst. Man bedenke bitte dass auch ich nicht zu 100% davor gefeit bin, dass meine Wordpress Installation irgendwann durch einen Leak gekapert wird - dann wäre auch die Datei manipulierbar (wird Zeit, dass ich diese ein paar Ebenen höher bunkere
). Vertrauen ist gut … den Rest kennen wir ja 
.
Am 21. November 2008 um 23:04 Uhr
Danke für den Hinweis Jürgen. Da ich gerade in Sachen Sicherheit absolut Paranoid bin und immer selbst versuche User auf Lecks hinzuweisen, habe ich daran natürlich gedacht. Mittels preg_match() wird jede Zeile verarbeitet und jeder IP-Block nochmals extra geprüft, ob er innerhalb von 1 und 255 liegt bzw. ein Jokerzeichen enthält. Da gehen also wirklich nur reine Zahlen durch
MfG Christian
Am 21. November 2008 um 23:07 Uhr
Nachtrag: Andernfalls wäre es für einen Hacker der Jackpot, wenn er direkt in die Apache Confis schreiben kann
(kannst du die beiden Posts bitte zusammenfügen?
Am 21. November 2008 um 23:08 Uhr
Noch etwas, sry: Deine Uhr im Blog geht um eine Stunde vor
MfG Christian
Am 22. November 2008 um 20:02 Uhr
Davon weiß ich aber nix, dass hier die Uhr falsch gehen soll
.
Am 2. Februar 2009 um 16:25 Uhr
So, nachdem jetzt bei uns auch um die 20 Spams am Tag landen, macht unser Wordpress nun auch ein mal täglich einen Besuch bei dir.
Als Dankeschön gleich 2 neue Zahlenbündel.
94.229.65.173
194.8.75.163
Am 1. März 2009 um 17:11 Uhr
Mit einer downloadbaren/abrufbaren Liste bzw. Script meiner gesammelten IP’s kann ich leider noch immer nicht dienen, dafür fehlte mir einfach die Zeit. Jedoch gibt es eine lange Liste (über 700 Einträge) mit IP-Adressen. Es handelt sich dabei um ein nettes Bot Netzwerk, dass gestern eines meiner Projekte zugeflooded/zugespammt hat, das war die schlimmste Attacke der letzten Monate auf meine Projekte. Ich habe die Logfiles so gut wie möglich ausgefiltert, ich kann jedoch nicht ausschließen, dass vllt. 5-10 Einträge von normalen Usern sind. >99% aller IP’s sollten aber von Bots sein. Teilweise Server und teilweise kompromitierte PC’s, wie ich vermute. Und dank wechselnder IP’s und Zwangstrennung wären diese <1% an fehlerhaften Einträge wohl verkraftbar. Viel Spaß damit: http://www.happytec.at/upload_files/bots/2009-02-28.txt
MfG Christian
Am 1. März 2009 um 17:21 Uhr
Ja, gestern ging es wirklich extrem ab. Hatte selbst gute 50 Kommentare hier. Da ich hier ja selbst mitlogge kann ich dir sagen, dass es kein zuverlässiges Muster gibt, an dem man Bots erkennt. Die, die hier aufschlagen wechseln den Useragent, die URLs die aufgerufen werden, die Source IPs, kommen mal mit Referrer und mal ohne … zum Kotzen
.
Am 11. Februar 2010 um 23:37 Uhr
Thanks for the Information.