WordPress, Spamer und ein paar Blockaden …

Ich bin vermutlich nicht der einzige, der sich tagtäglich mit Spamern rumschlagen darf. Schon seit langem pflege ich eine IP-Liste, in der IP-Adressen von Kommentar- und Trackbackspammern aufgelistet sind. Derzeit überlege ich, ob ich nicht ein WordPress-Plugin entwickle, über welches mir Leidensgenossen Spam-IPs mitteilen können *grübel*. Naja, bis es soweit ist, teile ich gerne meine gesammelten IP-Adressen mit euch:

http://jaritsch.at/block_spambots/

Die Liste ist live, sobald ich also eine weitere IP blockiere, erscheint sie auch in dieser Liste. Wie sie anzuwenden ist, sollte selbsterklärend sein ;).

31 Gedanken zu „WordPress, Spamer und ein paar Blockaden …

  1. Du liest nur die Bedingungen – die Regel, was passiert findest du am Ende der Liste ;). Falls du damit keine Erfahrungen hast, solltest du übrigens nicht damit rumspielen.

  2. Danke Jürgen für die Liste! Ich selbst pflege bereits seit längerem eine Spambot IP Blockierung für .htaccess und PHP, deine Liste werde ich nachher gleich einmal über eine automatische Updatefunktion in meine Projekte integrieren. Danke! Vielleicht sollte ich meine bisherige Liste auch einmal online stellen, gemeinsam schafft man mehr 🙂

    MfG Christian

  3. Du kannst mir die Liste gerne per Mail zusenden, dann pflege ich sie gerne ein – gerade in den letzten Tagen sind fast 50 IPs bei mir dazu gekommen – pro Tag kommen im Schnitt 5 IPs bei mir dazu.

  4. Ich werde mir meine gesammelten IP’s einmal zusammensuchen. Denn im Moment ist mein Blockierungssystem etwas verstreut über alle (Sub-) Domains und nicht zentral eingerichtet, es blockiert also auch nicht überall die gleichen IP’s. Das werde ich in Kürze mittels automatischem Aktualisierungsscript (PHP oder C++) für alle Projekte umgehen, dann kann ich dir auch meine List(en) senden 😉

    MfG Christian

  5. Da hilft grundsätzlich Hashcash mehr, auch wenn die User dafür JS aktiviert haben müssen. Aber davon abgesehen: dir bleibt die Moderation nicht erspart – ich will den Schrott nichtmal moderieren ;).

  6. Die kommentare können ja auch von Hashcash an Akismet übergeben..

    wie funktioniert deine Liste genau, bzw wo / wie wird sie verwendet? Reicht es, sie einfach in eine .htaccess zu schreiben??

  7. abgesehen davon, dass du auch leute in der liste pflegst, welche du hier nicht haben möchtest, ist so eine liste eine relativ unwirkasahme lösung..

    – viel aufwand
    – dyn. ip’s
    – bot netze wachsen ständig

    ich verwende übrigens spamassassin um unerwünschte posts zu filtern…
    es ist zwar für emails gedacht, funktioniert aber auch prima mit spam aus webformularen.

  8. abgesehen davon, dass du auch leute in der liste pflegst, welche du hier nicht haben möchtest,

    Bin ich der Einzige, der den Satz nicht versteht *grübel*?

    ist so eine liste eine relativ unwirkasahme lösung..

    Blog-Spambots sind relativ dumm – denn sie sind wiederkehrend – auch von der gleichen IP. Der eigentliche Sinn: meist ist so, dass pro IP gleich mal 60 – 80 Spamcomments aufschlagen. Sobald ich den ersten Comment bekomme, wird die IP geblockt und erspare es mir also min. 59 weitere Mal den Spam abzulehnen – nicht nur für mich eine Entlastung, sondern auch für das System. Ergo macht die Liste ausreichend Sinn. Ich bin übrigens von täglichen 100 Spamposts auf knapp 5 runtergerasselt – nehme ich die .htaccess raus, geht das Spiel von vorne los. Warum? Ganz einfach: hier schlagen ~30.000 Backlinks auf und darüber kommt jede Menge Müll.

  9. Nur einmal eine kleine Anmerkung noch: Ohne mod_rewrite würde das Ganze vermutlich schneller laufen. Denn ein einfaches Deny from xxx.xxx.xxx.xxx reicht bei IP’s doch vollkommen aus 😉

    MfG Christian

  10. Tja, das hilft dir bei einzelnen IPs – über kurz oder lang sind meine Listen recht vollständig, so das sich auch Wildcards setzen lassen. Davon abgesehen: dass mod_rewrite die Performance in die Knie zwingt ist eine urban legend.

  11. Ich habe deine Liste jetzt auf meinem neuen vServer einmal per Script eingepflegt, einmal täglich kopiert es deine Liste in eine DB, die DB Inhalte werden danach in eine globale block.conf Datei geschrieben, die der Apache global für alle Verzeichnisse einbindet, danach gibts ein reload, falls sich etwas geändert hat. Dabei sind auch bereits Wildcards erlaubt und nur diese werden dann mittels mod_rewrite geblockt, alles andere ganz normal per Deny from xxx, dass gleiche vorgehen habe ich auch gleich für bestimmte Useragents implementiert. Jetzt muss ich das ganze eigentlich nur noch einmal für meine Webspace Accounts in Form einer .htaccess implementieren.

    Danke jedenfalls für deine Liste Jürgen, ich werde mein System noch überarbeiten, damit meine blockierten IP’s auch global gelten und für jeden einsehbar sind. Die verwendeten Scripte für ein automatisches Synchronisieren stelle ich dann gerne zum Download bereit. Vorher muss ich es nur noch etwas verfeinern 😉

    MfG Christian

  12. Freut mich zu hören. Bitte vergiss aber nicht den Sicherheitsaspekt – anbieten würde sich hier ein Line-Check, da du die Datei dann sowieso pro Zeile in die DB schreibst. Man bedenke bitte dass auch ich nicht zu 100% davor gefeit bin, dass meine WordPress Installation irgendwann durch einen Leak gekapert wird – dann wäre auch die Datei manipulierbar (wird Zeit, dass ich diese ein paar Ebenen höher bunkere :)). Vertrauen ist gut … den Rest kennen wir ja ;).

  13. Danke für den Hinweis Jürgen. Da ich gerade in Sachen Sicherheit absolut Paranoid bin und immer selbst versuche User auf Lecks hinzuweisen, habe ich daran natürlich gedacht. Mittels preg_match() wird jede Zeile verarbeitet und jeder IP-Block nochmals extra geprüft, ob er innerhalb von 1 und 255 liegt bzw. ein Jokerzeichen enthält. Da gehen also wirklich nur reine Zahlen durch 🙂

    MfG Christian

  14. Nachtrag: Andernfalls wäre es für einen Hacker der Jackpot, wenn er direkt in die Apache Confis schreiben kann 😀

    (kannst du die beiden Posts bitte zusammenfügen? 🙂

  15. So, nachdem jetzt bei uns auch um die 20 Spams am Tag landen, macht unser WordPress nun auch ein mal täglich einen Besuch bei dir.
    Als Dankeschön gleich 2 neue Zahlenbündel. 🙂

    94.229.65.173
    194.8.75.163

  16. Mit einer downloadbaren/abrufbaren Liste bzw. Script meiner gesammelten IP’s kann ich leider noch immer nicht dienen, dafür fehlte mir einfach die Zeit. Jedoch gibt es eine lange Liste (über 700 Einträge) mit IP-Adressen. Es handelt sich dabei um ein nettes Bot Netzwerk, dass gestern eines meiner Projekte zugeflooded/zugespammt hat, das war die schlimmste Attacke der letzten Monate auf meine Projekte. Ich habe die Logfiles so gut wie möglich ausgefiltert, ich kann jedoch nicht ausschließen, dass vllt. 5-10 Einträge von normalen Usern sind. >99% aller IP’s sollten aber von Bots sein. Teilweise Server und teilweise kompromitierte PC’s, wie ich vermute. Und dank wechselnder IP’s und Zwangstrennung wären diese <1% an fehlerhaften Einträge wohl verkraftbar. Viel Spaß damit: http://www.happytec.at/upload_files/bots/2009-02-28.txt

    MfG Christian

  17. Ja, gestern ging es wirklich extrem ab. Hatte selbst gute 50 Kommentare hier. Da ich hier ja selbst mitlogge kann ich dir sagen, dass es kein zuverlässiges Muster gibt, an dem man Bots erkennt. Die, die hier aufschlagen wechseln den Useragent, die URLs die aufgerufen werden, die Source IPs, kommen mal mit Referrer und mal ohne … zum Kotzen :evil:.

Kommentare sind geschlossen.