WordPress, Spamer und ein paar Blockaden …
by jjaritsch on Sep.05, 2008, under /dev/privat
Ich bin vermutlich nicht der einzige, der sich tagtäglich mit Spamern rumschlagen darf. Schon seit langem pflege ich eine IP-Liste, in der IP-Adressen von Kommentar- und Trackbackspammern aufgelistet sind. Derzeit überlege ich, ob ich nicht ein WordPress-Plugin entwickle, über welches mir Leidensgenossen Spam-IPs mitteilen können *grübel*. Naja, bis es soweit ist, teile ich gerne meine gesammelten IP-Adressen mit euch:
http://jaritsch.at/block_spambots/
Die Liste ist live, sobald ich also eine weitere IP blockiere, erscheint sie auch in dieser Liste. Wie sie anzuwenden ist, sollte selbsterklärend sein 
.
September 5th, 2008 on 11:57
Wohin schickt man jemanden mit “%{REMOTE_ADDR}”?
September 5th, 2008 on 12:05
Du liest nur die Bedingungen – die Regel, was passiert findest du am Ende der Liste
. Falls du damit keine Erfahrungen hast, solltest du übrigens nicht damit rumspielen.
September 5th, 2008 on 12:25
Danke Jürgen für die Liste! Ich selbst pflege bereits seit längerem eine Spambot IP Blockierung für .htaccess und PHP, deine Liste werde ich nachher gleich einmal über eine automatische Updatefunktion in meine Projekte integrieren. Danke! Vielleicht sollte ich meine bisherige Liste auch einmal online stellen, gemeinsam schafft man mehr
MfG Christian
September 5th, 2008 on 12:28
Du kannst mir die Liste gerne per Mail zusenden, dann pflege ich sie gerne ein – gerade in den letzten Tagen sind fast 50 IPs bei mir dazu gekommen – pro Tag kommen im Schnitt 5 IPs bei mir dazu.
September 5th, 2008 on 15:49
Ich werde mir meine gesammelten IP’s einmal zusammensuchen. Denn im Moment ist mein Blockierungssystem etwas verstreut über alle (Sub-) Domains und nicht zentral eingerichtet, es blockiert also auch nicht überall die gleichen IP’s. Das werde ich in Kürze mittels automatischem Aktualisierungsscript (PHP oder C++) für alle Projekte umgehen, dann kann ich dir auch meine List(en) senden
MfG Christian
September 5th, 2008 on 20:45
Tja. Immer diese bösen Buben. Aber dank Akismet gehts.
Gottseidank bin ich zum Zuspammen nicht populär genug
September 5th, 2008 on 20:50
Da hilft grundsätzlich Hashcash mehr, auch wenn die User dafür JS aktiviert haben müssen. Aber davon abgesehen: dir bleibt die Moderation nicht erspart – ich will den Schrott nichtmal moderieren
.
September 5th, 2008 on 22:26
Und wohin schick ich jemanden mit “RewriteRule . ? [F,L]“?
September 5th, 2008 on 22:31
Nach nirgendwohin – er bekommt die 403-er Seite deines Setups zu sehen (Forbidden). Zusätzlich wird auch der HTTP-Status-Code 403 ausgeliefert.
September 6th, 2008 on 09:24
Die kommentare können ja auch von Hashcash an Akismet übergeben..
wie funktioniert deine Liste genau, bzw wo / wie wird sie verwendet? Reicht es, sie einfach in eine .htaccess zu schreiben??
September 6th, 2008 on 10:09
Jop, die ist für eine .htaccess gedacht
MfG Christian
September 6th, 2008 on 10:54
@florian Ja, die Liste blockiert per .htaccess, dass die Bots überhaupt erst auf deine Seite kommen.
September 6th, 2008 on 11:37
Asso, ok.
September 7th, 2008 on 13:35
abgesehen davon, dass du auch leute in der liste pflegst, welche du hier nicht haben möchtest, ist so eine liste eine relativ unwirkasahme lösung..
- viel aufwand
- dyn. ip’s
- bot netze wachsen ständig
ich verwende übrigens spamassassin um unerwünschte posts zu filtern…
es ist zwar für emails gedacht, funktioniert aber auch prima mit spam aus webformularen.
September 7th, 2008 on 14:28
Bin ich der Einzige, der den Satz nicht versteht *grübel*?
Blog-Spambots sind relativ dumm – denn sie sind wiederkehrend – auch von der gleichen IP. Der eigentliche Sinn: meist ist so, dass pro IP gleich mal 60 – 80 Spamcomments aufschlagen. Sobald ich den ersten Comment bekomme, wird die IP geblockt und erspare es mir also min. 59 weitere Mal den Spam abzulehnen – nicht nur für mich eine Entlastung, sondern auch für das System. Ergo macht die Liste ausreichend Sinn. Ich bin übrigens von täglichen 100 Spamposts auf knapp 5 runtergerasselt – nehme ich die .htaccess raus, geht das Spiel von vorne los. Warum? Ganz einfach: hier schlagen ~30.000 Backlinks auf und darüber kommt jede Menge Müll.
September 8th, 2008 on 12:26
Ich submitte einmal was, in’s nichtvorhandene Submitformular.
200.63.42.141
September 8th, 2008 on 14:05
@wolfi Drin
.
September 12th, 2008 on 08:58
Meine ist diesmal zum Glück nicht dabei. *lach*
September 13th, 2008 on 22:18
Hab’ noch ne Spam IP: 194.3.27.124
Hat Akismet gerade ausgefiltert.
November 20th, 2008 on 09:55
Nur einmal eine kleine Anmerkung noch: Ohne mod_rewrite würde das Ganze vermutlich schneller laufen. Denn ein einfaches Deny from xxx.xxx.xxx.xxx reicht bei IP’s doch vollkommen aus
MfG Christian
November 20th, 2008 on 23:44
Tja, das hilft dir bei einzelnen IPs – über kurz oder lang sind meine Listen recht vollständig, so das sich auch Wildcards setzen lassen. Davon abgesehen: dass mod_rewrite die Performance in die Knie zwingt ist eine urban legend.
November 21st, 2008 on 12:49
Ich habe deine Liste jetzt auf meinem neuen vServer einmal per Script eingepflegt, einmal täglich kopiert es deine Liste in eine DB, die DB Inhalte werden danach in eine globale block.conf Datei geschrieben, die der Apache global für alle Verzeichnisse einbindet, danach gibts ein reload, falls sich etwas geändert hat. Dabei sind auch bereits Wildcards erlaubt und nur diese werden dann mittels mod_rewrite geblockt, alles andere ganz normal per Deny from xxx, dass gleiche vorgehen habe ich auch gleich für bestimmte Useragents implementiert. Jetzt muss ich das ganze eigentlich nur noch einmal für meine Webspace Accounts in Form einer .htaccess implementieren.
Danke jedenfalls für deine Liste Jürgen, ich werde mein System noch überarbeiten, damit meine blockierten IP’s auch global gelten und für jeden einsehbar sind. Die verwendeten Scripte für ein automatisches Synchronisieren stelle ich dann gerne zum Download bereit. Vorher muss ich es nur noch etwas verfeinern
MfG Christian
November 21st, 2008 on 13:04
Freut mich zu hören. Bitte vergiss aber nicht den Sicherheitsaspekt – anbieten würde sich hier ein Line-Check, da du die Datei dann sowieso pro Zeile in die DB schreibst. Man bedenke bitte dass auch ich nicht zu 100% davor gefeit bin, dass meine WordPress Installation irgendwann durch einen Leak gekapert wird – dann wäre auch die Datei manipulierbar (wird Zeit, dass ich diese ein paar Ebenen höher bunkere
). Vertrauen ist gut … den Rest kennen wir ja 
.
November 21st, 2008 on 23:04
Danke für den Hinweis Jürgen. Da ich gerade in Sachen Sicherheit absolut Paranoid bin und immer selbst versuche User auf Lecks hinzuweisen, habe ich daran natürlich gedacht. Mittels preg_match() wird jede Zeile verarbeitet und jeder IP-Block nochmals extra geprüft, ob er innerhalb von 1 und 255 liegt bzw. ein Jokerzeichen enthält. Da gehen also wirklich nur reine Zahlen durch
MfG Christian
November 21st, 2008 on 23:07
Nachtrag: Andernfalls wäre es für einen Hacker der Jackpot, wenn er direkt in die Apache Confis schreiben kann
(kannst du die beiden Posts bitte zusammenfügen?
November 21st, 2008 on 23:08
Noch etwas, sry: Deine Uhr im Blog geht um eine Stunde vor
MfG Christian
November 22nd, 2008 on 20:02
Davon weiß ich aber nix, dass hier die Uhr falsch gehen soll
.
Februar 2nd, 2009 on 16:25
So, nachdem jetzt bei uns auch um die 20 Spams am Tag landen, macht unser WordPress nun auch ein mal täglich einen Besuch bei dir.
Als Dankeschön gleich 2 neue Zahlenbündel.
94.229.65.173
194.8.75.163
März 1st, 2009 on 17:11
Mit einer downloadbaren/abrufbaren Liste bzw. Script meiner gesammelten IP’s kann ich leider noch immer nicht dienen, dafür fehlte mir einfach die Zeit. Jedoch gibt es eine lange Liste (über 700 Einträge) mit IP-Adressen. Es handelt sich dabei um ein nettes Bot Netzwerk, dass gestern eines meiner Projekte zugeflooded/zugespammt hat, das war die schlimmste Attacke der letzten Monate auf meine Projekte. Ich habe die Logfiles so gut wie möglich ausgefiltert, ich kann jedoch nicht ausschließen, dass vllt. 5-10 Einträge von normalen Usern sind. >99% aller IP’s sollten aber von Bots sein. Teilweise Server und teilweise kompromitierte PC’s, wie ich vermute. Und dank wechselnder IP’s und Zwangstrennung wären diese <1% an fehlerhaften Einträge wohl verkraftbar. Viel Spaß damit: http://www.happytec.at/upload_files/bots/2009-02-28.txt
MfG Christian
März 1st, 2009 on 17:21
Ja, gestern ging es wirklich extrem ab. Hatte selbst gute 50 Kommentare hier. Da ich hier ja selbst mitlogge kann ich dir sagen, dass es kein zuverlässiges Muster gibt, an dem man Bots erkennt. Die, die hier aufschlagen wechseln den Useragent, die URLs die aufgerufen werden, die Source IPs, kommen mal mit Referrer und mal ohne … zum Kotzen
.
Februar 11th, 2010 on 23:37
Thanks for the Information.