Referer Spam in Webalizer Statistiken

[Sandro Feuillet]

hilfe, die spamen mich zu.
Ich habe sehr viele Spam-Referer, welche meine Referer Statistik extrem verfälschen.


Gibt es ein Mittel dagegen? Kann ich da was tun?

Habe die Wealizer Seiten nur einige Tage ungeschützt gehabt diesen Monat, und jetzt kommen Sie jeden tag und spamen mich voll...

 

[bull]

Habe keinen Webalizer, da ich selbstgebastelte Analysesoftware einsetze, aber ich gehe davon aus, daß beim Analysieren der Apaches access.log herauskommt, daß zum Logspamming (1) entweder ein ungültiger User-agent verwendet wurde und/oder (2) alle Spamversuche von derselbem IP oder IP-Bereich kommen. Es sollte dann kein Problem sein, einen entsprechenden Ignorierfilter zu basteln.
Grundsätzlich kann man bei von Statistiksoftware erstellten Berichten bei den Usern sowieso immer ~5% abziehen.


Toll übrigens, daß die Spammer jetzt hier ihre Backlinks bekommen.

 

[SloMo]

QUOTE (bull @ Mo 31.1.2005, 12:36) Toll übrigens, daß die Spammer jetzt hier ihre Backlinks bekommen.

Pssssssst! Sonst werden die Links noch per nofollow kaputt gemacht!

 

[Sandro Feuillet]

QUOTE (SloMo @ Mo 31.1.2005, 13:07)
QUOTE (bull @ Mo 31.1.2005, 12:36) Toll übrigens, daß die Spammer jetzt hier ihre Backlinks bekommen.

Pssssssst! Sonst werden die Links noch per nofollow kaputt gemacht!

hm, habe die links entfernt... nofollow bringt ja eh nix

gruss sandro

 

[Sandro Feuillet]

QUOTE (bull @ Mo 31.1.2005, 12:36)Habe keinen Webalizer, da ich selbstgebastelte Analysesoftware einsetze, aber ich gehe davon aus, daß beim Analysieren der Apaches access.log herauskommt, daß zum Logspamming (1) entweder ein ungültiger User-agent verwendet wurde und/oder (2) alle Spamversuche von derselbem IP oder IP-Bereich kommen. Es sollte dann kein Problem sein, einen entsprechenden Ignorierfilter zu basteln.

also, hatte jetzt mal zeit die logfiles zu analysieren. hier einige zufällige spam einträge:


CODE
80.58.4.107 - - [02/Feb/2005:00:09:25 +0100] "GET / HTTP/1.1" 200 17442 "http://www.pbite.com/" "Mozilla/4.0 (compatible; MSIE 4.5; Mac_PowerPC)"
193.188.105.16 - - [02/Feb/2005:00:10:36 +0100] "GET / HTTP/1.1" 200 17442 "http://www.phind.net/" "Mozilla/4.0 (compatible; MSIE 5.0; Windows 2000) Opera 5.12 [en]"
193.188.105.16 - - [02/Feb/2005:00:10:52 +0100] "GET / HTTP/1.1" 200 17442 "http://www.snomer.com/" "Mozilla/4.0 (compatible; MSIE 4.5; Mac_PowerPC)"
148.244.150.58 - - [02/Feb/2005:00:11:02 +0100] "GET / HTTP/1.1" 200 17442 "http://www.thispot.com/" "Mozilla/4.0 (compatible; MSIE 5.0; Windows 98) Opera 6.0 [en]"
193.188.105.16 - - [02/Feb/2005:00:11:19 +0100] "GET / HTTP/1.1" 200 17442 "http://www.vitazine.com/" "Mozilla/2.0 (compatible; MSIE 3.01; Windows 95)"
82.194.62.17 - - [02/Feb/2005:00:35:33 +0100] "GET / HTTP/1.1" 200 17442 "http://www.cureage.com/" "Mozilla/4.0 (compatible; MSIE 5.0; Windows 98) Opera 6.0 [en]"
193.188.105.17 - - [02/Feb/2005:00:35:45 +0100] "GET / HTTP/1.1" 200 17442 "http://www.findish.com/" "Mozilla/4.0 (compatible; MSIE 5.0; Windows 98) Opera 6.0 [en]"
82.194.62.17 - - [02/Feb/2005:00:36:22 +0100] "GET / HTTP/1.1" 200 17442 "http://www.goelf.com/" "Mozilla/4.0 (compatible; MSIE 4.01; Windows 98; Messages.co.uk)"
82.194.62.17 - - [02/Feb/2005:00:37:15 +0100] "GET / HTTP/1.1" 200 17442 "http://www.gofolks.com/" "Mozilla/4.0 (compatible; MSIE 5.0; CS 2000; Windows 95; DigExt)"




hat da jemand einen vorschlag für ein htacces file? ich kann keine gemeinsamkeiten erkennen...

und die terrorisieren mich richtig, habe nun absolut keine gültigen zahlen im logfile, und das obwohl die statistik garnicht öffentlich sichtbar ist, die haben also gar keine backlinks!!

 

[bull]

82.194.62.17 und 148.244.150.58 sind aus Bahrain.
Alles mit Wüste und Kamelen hab ich schon länger gesperrt. Die 148er kenn ich, war auch bei mir und wird ab jetzt in den Logs ignoriert. Vielleicht waren/sind das auch offenen Proxies, was soll's -- wo kein Markt für die Seite, da gibts halt nen 403.

Die andere ist Telefonica Spanien, gut bekannt als Spammerparadies.

Was man mit dem Webalizer machen muß weiß ich allerdings nicht.

Wenn Du mal richtigen Terror sehen willst: www.architektur.uni-siegen.de/logs/awstats.pl?month=01&year=2005&output=refererpages&config=www.architektur.uni-siegen.de

 

[Roger Bobst]

interessant, dieselben ips sind auch in unseren logs drin.

Scheinen befallene Rechner zu sein: so kommen immer auf die gleiche Tour:

grep -nri 193.188.105.16 *
[error] [client 193.188.105.16] script not found or unable to stat: /srv/www/cgi-bin/formmail.cgi
[error] [client 193.188.105.16] File does not exist: /srv/www/vhosts/directory.pas.com/cgi, 
[24/Jan/2005:05:59:08 +0100] "POST /cgi-bin/formmail.cgi HTTP/1.1" 404 1172 
[24/Jan/2005:18:23:26 +0100] "POST /cgi/form.cgi HTTP/1.1" 404 1172 
[QUOTE]
Das bringt mich auf folgende Idee: Man könnte doch eigentlich einfach Fehler definieren, die zur sofortigen Verbannung vom Server führen. Weil dieses Formmail.cgi ist ja ein bekanntes loch, wer also darauf weill, kann nur "böse" Absichten haben.
Kenn jemand so ein "Auto-Ban-Apache-Modul" ? (ok ist schon etwas offtopic)

Gruss
Roger

 

[bull]

http://www.google.de/search?q=site%3Awww.w...e-DEfficial

gibt entsprechenden PHP-Code, der ursprünglich dafür gedacht war, Roboter, welche robots.txt nicht beachten, zu sperren, und das funktioniert auch perfekt.

Man schreibe nun in die .htaccess entsprechend rein:

RewriteCond %{REQUEST_URI} Formmail\.cgi [NC]
RewriteRule ^.*$ http://myhost.net/bot-trap.php [L]

 

[Sandro Feuillet]

Habe jetzt mal die rewrite-rules von hier eingebaut.
Werde das Ergebnis hier posten.

Gruss Sandro