Gästebuch Spam

Remo Böni

Remo Böni

Angesehenes Mitglied
Hallo liebe Ayomer
wink.gif


ich habe ein gewaltiges Problem mit einem meiner Gästebücher:

http://www.clubbing25.ch/index.php?p=guestbook&area=1

wie kann ich solche Einträge verhindern ??

Habe die IP 24 Stunden gesperrt, hat mir aber leidern keinen Erfolg gebracht....
Weiss jemand weiter, bin am verzweifeln. Habe den Hostingaccount bei Novatrend und dort habe die AWStats zur auswertung, kann jedoch keinen Besucher oder Bot identifizieren.

Kann mir jemand helfen......
 
Und wo sind diese Netzblöcke ersichtlich ?

Ich habe dieses Thread gestern Abend schon gelesen. Doch bei Novatrend habe ich nur AWStats und dort weiss ich nicht genau auf was ich auchten und schauen muss.....

Hast du mir vielleicht einen kleinen Tip oder kann man diese Adressen auch anderst herausfinden ?
 
QUOTE Ich habe dieses Thread gestern Abend schon gelesen. Doch bei Novatrend habe ich nur AWStats und dort weiss ich nicht genau auf was ich auchten und schauen muss.....

Eine IP besteht aus 4 Blöcken.

Wenn nun der Kandidat einmal mit der IP 192.168.1.5, dann mit 192.168.1.48 und das nächte mal mit 192.168.1.235 kommt, kann es Sinn machen, das Netz 192.168.1.* zu sperren.
 
@ Ansgar Berhorn:

Danke dir, das habe ich auch alles verstanden und ist mir bekannt. Doch wenn z.B. ein Gästebucheintrag um 23.53 stattfand, finde ich keine Adresse, die um diese Zeit zugegriffen hat.
Und wo soll ich bei AWStats suchen ? Letzte Besucher, letzte Spider oder was ?
 
Ciao Remo,

In deinem Fall hilft nur eine gründlich Analyse der Logfiles. Darin kannst du die jeweils vom Spammer benutzte IP Adresse herausholen. Anschliessend mit Traceroute (oder im DOS-Fenster mit "tracert" schauen woher der Spammer kommt. Mit grosser Wahrscheinlichkeit wirst du auf dem vorletzten Hop auf seinen Provider stossen.

Dann auf die Website des Providers gehen und nach der E-Mail Adresse suchen und dann dem Provider eine Message senden, in der du den Fall erklärst.

Falls du Glück hast, dann wird der Provider aktiv und das Spammen hört auf.
Ich hatte einmal einen ähnlichen Fall (siehe hier:#60023)

Viel Glück auf der Jagd
René

 
Könntest du mir ev. erklären wo ich die Server Log Files finde, oder wo sie üblich zu finden sind ?
 
OK.

Habe die Server Log Files gefunden.....

z.B. habe ich am 18. Dezember 2005 um genau 05:37 einen solchen Spam Eintrag und in den Logfiles ist um diese Zeit folgendes eingetragen

CODE
68.112.83.117 - - [18/Dec/2005:05:37:33 +0100] "GET /index.php?p=guestbook&area=1 HTTP/1.1" 200 29702 "http://clubbing25.ch" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

66.92.15.59 - - [18/Dec/2005:05:37:35 +0100] "POST /index.php?p=guestbook&action=new&area=1 HTTP/1.1" 200 1932 "http://www.clubbing25.ch/index.php?p=guestbook&area=1" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

71.139.224.252 - - [18/Dec/2005:05:37:37 +0100] "GET /index.php?p=guestbook&area=1 HTTP/1.1" 200 29923 "http://www.clubbing25.ch/index.php?p=guestbook&area=1" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"


Kann mir jemand sagen wie das zu intepretieren ist ? Das sind ja 3 IP Adressen ?
 
QUOTE Das sind ja 3 IP Adressen ?

Ja.
Die IPs kommen aus verschienen Ecken der USA (überpüft mit dnsstuff.com / Whois).
"Post" beim zweiten bedeutet, dass das ein Sende-Vorgang ist. In den anderen beiden Fällen wurde eine Seite angefordert.


Ich geh den ersten Eintrag mal durch:
- 68.112.83.117
ist die IP des Anfragers.

- [18/Dec/2005:05:37:33 +0100]
Zeitpunkt

-"GET /index.php?p=guestbook&area=1 HTTP/1.1"
Anfragender (GET) hat über das Protokoll (HTTP/1.1) die Adresse "/index.php?p=guestbook&area=1" angefragt.

-200
Status ok (weil 200).

-29702
Bytes die ausgeliefert wurden.

-"http://clubbing25.ch"
Die Domain?

-"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
Gelieferte Browserkennung.
 
So wie das aussieht kamen die Einträge koordiniert von unterschiedlichen Adressen.
Vermutlich steckt jemand dahinter, der gekaperte/gehackte Rechner (Spambots) dazu nutzt, die Einträge zu machen.

Durch IP-Blocken kommt man da nicht hinterher. Entweder man ist schnell genug im manuellen Säubern oder erschwert es den Spammern irgendwie genug, dass die das Interesse verlieren.
Vermutlich reicht schon wie Metaman erwähnte, kein Standard-Skript zu verwenden oder eines so zu verwenden, dass es nicht mehr als Standard-Gästebuch zu erkennen ist.

Über Google finde ich 880 Einträge, wo die gleiche Schnittstelle in Gästebüchern verwendet wird:
http://www.google.de/search?hl=de&q=inurl%...3Fp%3Dguestbook

Für ein vollzuspammendes Gästebuch lohnt sich solche eine Attacke mit verschiedenen IPs nicht, für 880 schon.

Vermutlich ist der Krieg schon zur Hälfte gewonnen, wenn es nicht "index.php?p=guestbook", sondern "index.php?p=Tante-Petunia" heisst.
Skripten ist es egal wie sie angeredet werden. ;-)
 
Da habt ihr ja noch gross gearbeitet gestern Nacht.
Die Analyse und der Kommentar von Ansgar sind 1. Klasse!

Wenn du es mit Zombies und Spambots zu tun hast, dann nützt auch ein Mail an den (die) Provider nichts. Aber Ansgar hat ja den Lösungsansatz schon skizziert, nämlich das Gästebuchskript eben nicht Gästebuch sondern Tante_Emma_Laden nennen (oder noch besser ein Wort aus einem Dialekt so à la Chuchichäschtli). Das findet kein Spambot und im Menü auf der Seite kannst du es ja immer noch Gästebuch nennen.

Cheers, René
 
Hi

Viele der bekannten Gästebuch Scripte haben jetzt auch eine Verifizierung, sodass beim erstellen eines Beitrags eine Grafik mit einer Nummer oder einem Wort gezeigt wird, welches man dann abtippen muss. So wird verhindert, dass dies automatisch eingetragen wird.

Leider habe ich auf clubbing25.ch nicht gesehen, welches Gästebuch Script du verwendest, aber ich würde mal auf der Seite des Entwicklers nachschauen...

cu
Lexus

PS: Bei Novatrend kann man das Access Logfile doch ganz einfach im Kontrollpanel herunterladen, oder hast du ein anderes Logfile benötigt?
 
Sie müssen sich einloggen oder registrieren, um hier antworten zu können.
Zurück
Oben