TrackBack SPAM Bots abwehren

Grischa

Schlagwörter

Statistiken

308 Artikel
1278 Kommentare
9947 Besucher diesen Monat
114 visitor(s) today
1 Besucher online

Links

RSS 2.0 Feed
Grischa bei twitter
Grischa bei Facebook
XING
Flickr
GEOCACHING
GEOURL
Diese Seite ist geo-codiert
Technorati
 
amazon wishlist

paypal donate

Creative Commons License - Some Rights Reserved

Saturday, 28. July 2007

TrackBack SPAM Bots abwehren

Mittlerweile geht es auch bei mir los, dass regelmäßig Bots SPAM TrackBacks hinterlassen. Dass diese SPAM online geht, kann man bei Serendipity ziemlich leicht verhindern, indem man das Spam Plugin geeignet einstellt. Bei mir werden TrackBacks auf Artikel mit einem bestimmten Alter nur noch moderiert zugelassen. Mein hartnäckigster SPAM Bot versucht es immer wieder mit dem Eintrag 1, der dann definitiv alt genug ist.

Nervig ist dabei allerdings, dass man diese Kommentare noch moderieren muss. Sie erscheinen weiterhin in der Administrationsoberfläche der Kommentare und man muss sie manuell löschen. Dabei hatte ich schon oft die Befürchtung, aus Versehen auch normale und erwünschte Trackbacks gelöscht zu haben.

Wie es viel eleganter geht, beschreibt Isotopp recht ausführlich. Er manipiliert die .htaccess Datei des Serververzeichnisses sehr clever, so dass erkannte Spammer erst gar nicht die comment.php aufrufen können, die für den Eintrag eines TrackBacks zuständing ist. Dadurch gelangen die SPAM TrackBacks gar nicht erst in die Datenbank.

Mir war bisher bekannt, dass man einzelne IP Adressen von der ganzen Site oder von einzelnen Dateien mittels der <Files> Direktive in der .htacces Datei ausschließen kann. Mit dieser Methode kann man bereits sehr erfolgreich Spammer Requests verhindern. Der Nachteil ist dabei, dass man neu gefundene IPs immer nachtragen muss, was recht mühsam werden kann. Da ist die Methode von Isotopp schon deutlich cleverer: Bots werden anhand der User Agent Angabe identifiziert. Nach Überprüfen meiner Logdateien stelle ich auch fest, dass Spammer Bots gerne die IP Adresse wechseln, aber eher selten den Namen, den sie als User Agent mitliefern.

Isotopp beschreibt bei sich einen Bot, der sich mit "TrackBack/1.02" meldet. Diesen habe ich auch in meinen Logfiles, zusätzlich noch zwei weitere, die sich als "TrackBack Checker" und einfach ohne Namen melden. Isotopps Methode nimmt nun diese Namen und benutzt sie in einer <FilesMatch> Anweisung:

<FilesMatch "comment\.php">
  SetEnvIfNoCase User_Agent TrackBack spammer=yes
  deny from env=spammer
</FilesMatch>

FilesMatch interpretiert im Gegensatz zu Files den Ausdruck für den Filenamen immer als regulären Ausdruck, deshalb muss man hier den Punkt escapen. Man könnte in dem Fall aber auch problemlos die Files Direktive benutzen. Die Anweisung SetEnvIfNoCase (die mir neu war) setzt eine beliebige Variable, wenn eine bestimmte Eigenschaft zutrifft. Isotopps Code bedeutet also: "Wenn der User Agent das Wort 'TrackBack' enthält, dann setze die Variable spammer auf yes. Die nächste Zeile bewirkt dann, dass der aktuelle Request abgewiesen wird, wenn vorher die Variable spammer gesetzt wurde, wobei es laut Isotopp unerheblich ist, welchen Wert diese Variable bekommen hat. Sie muss einfach nur gesetzt worden sein.

Geniale Idee! Damit kann man nun - unabhängig davon von wem oder wo sie gerade eingesetzt werden - alle SPAM Bots ausschalten, die die Software namens "TrackBack/1.02" und spätere Versionen benutzen. Auch mein "TrackBack Checker" sollte so außen vor bleiben. Meinen Dauer-SpamBot, der sich immer ohne User Agent Angabe meldet, traue ich mich noch nicht auf diese Weise auszuschalten, da werde ich wohl vorerst auf das Aussperren per IP Adresse zurück greifen.

Die Methode ist auch deshalb so charmant, weil man hier beliebige Server Variablen abtesten kann und sie bei beliebiger Blog Software funktioniert.. Bei anderer Software muss man nur den Namen der Datei austauschen, die gesperrt werden soll.

Eine weitere Beschreibung zu diesem Thema gibt es auch im Artikel "Böser Bot, guter Bot" von Jan Schmager, der dann mehr auf SetEnvIf eingegeht, bzw. die Alternative BrowserMatch. Nebenbei: Um SetEnvIf und BrowserMatch benutzen zu können, muss der Apache Server das Modul mod_setenvif geladen haben.

Nach dem Lesen beider Artikel sieht mein Teil in der .htaccess, der für die Botabwehr zuständig ist, nun also wie folgt aus:

# BEGIN ANTI SPAM
<Files comment.php>
 # knappe 403 Error-Message
 ErrorDocument 403 "403 Forbidden
 
 # Bots, deren Namen mit TrackBack beginnen, markieren
 BrowserMatch ^TrackBack is_trackback_spammer
 # Bots, die keinen Namen angeben, markieren
 BrowserMatch ^$ is_trackback_spammer
 
 # Aussperren
 Order Allow,Deny
 Allow from all
 deny from env=is_trackback_spammer
</Files>
# END ANTI SPAM

Dann habe ich einfach mal ein paar Tage abgewartet und danach die Logfile überprüft. Beide Bots mit User Agent Angaben ("TrackBack/1.02" und  "TrackBack checker") haben inzwischen mal vorbei geschaut:

"POST /comment.php?type=trackback&entry_id=22 HTTP/1.0" 403 13 "-" "TrackBack checker"
"POST /comment.php?type=trackback&entry_id=12 HTTP/1.0" 403 13 "-" "TrackBack/1.02"

Sie haben also einen 403 erhalten, und in meiner Adminoberfläche ist tatsächlich kein Trackback um diese Uhrzeit eingetroffen. Klappt! :-) Jetzt kam nur noch der Bot ohne User Agent Angabe durch, den habe ich nach diesem Erfolg nun auch mal ausgesperrt. Die Regel dafür ist dann "BrowserMatch ^$ is_trackback_spammer". In einem regulärem Ausdruck bedeutet das ^ Zeilenanfang und $ Zeilenende, in diesem Fall also Anfang bzw. Ende der User Agent Angabe. Der Ausdruck ^$ identifiziert also alle User Agents, die zwischen Anfang und Ende nichts haben, sprich: Die keinen User Agent liefern. Wieder einen Tag gewartet und meine Logfiles kontrolliert:

"POST /comment.php?type=trackback&entry_id=1 HTTP/1.1" 403 25 "-" "-"

Auch der fleißigste Bot bei mir bekommt nun ein 403! Seit dem ich diese beiden BrowserMatches in meiner .htaccess enthalten habe, habe ich nicht einen einzigen SPAM TrackBack mehr erhalten! Somit kann man sich nun auch das Verbieten über IP Adressen Listen sparen. Super Erfolg! Ich bin zuerst übrigens auf das "-" reingefallen und dachte, er sendet ein "-" als User Agent. Im Logfile beschreibt das aber einfach eine leere Angabe.

Schön wäre es natürlich noch, wenn diese Technik gleich in das AntiSpam Spam Plugin von Serendipity eingebaut wäre, damit man nicht immer direkt an der .htaccess Datei editieren muss, was man wohl sicher nur den wenigsten Blogbesitzern zumuten kann. Serendipity bearbeitet diese Datei ja sowieso schon. Hmm... Mal darüber nachdenken.. :-)

Danke Isotopp für diese Idee! :-)

Als nächstes mache ich mir evtl. mal Gedanken zu den Bots, die hier zwar nicht als SPAMmer auftreten, aber trotzdem unnötig Bandbreite verursachen. Davon entdecke ich in letzter Zeit immer öfters Einträge in meinen Logfiles...

in Blogging | 16 Comments | 11 Trackbacks
Defined tags for this entry: ,
Related entries by tags:
10823 hits
Select language: English, German
Tweet This!Tweet This!
Trackbacks
Trackback specific URI for this entry
*

Nur ein Blog

07/29/2007 09:48PM

Spambekämpfung ein paar Lichtpunkte
Nachdem auch &quot;Nur ein Blog&quot; unter Spam und Co. zu leiden hat, habe ich in den letzten Tagen Folgendes interessant gefunden:Grischa hat einen langen Artikel über die Möglichkeit der Abwehr von Trackback SPAM Bots mittels .htaccess geschrieben, de
*

/home/matt ..

07/30/2007 08:00AM

Block bad IPs via HTaccess?
Ein interessanter Ansatz um Spambots vom eigenen Blog fernzuhalten beschreibt Grischa in seinem Artikel TrackBack SPAM Bots abwehren. Die Idee die dahinter steckt ist simpel, aber doch genial. Und in der aktuellen Beta Version von s9y gibt es die Option
*

Grischa

07/30/2007 01:37PM

Trackback IP Validierung
Nach meinem Artikel TrackBack SPAM Bots abwehren enstand auf Roberts Blog eine interessante Diskussion über die Methoden zur Trackback SpamBot Abwehrung. Robert schrieb mir, dass er die unfassbare Menge von knapp 3 Millionen Spam Trackbacks in seinem Log
*

SchnuttenS ..

08/10/2007 01:27PM

&#8220;Trackback-SPAM&#8221; beliebt&#8230;?
Diesen Eindruck erlange ich jedenfalls, wenn ich mir meine Statistik anschaue. Der Beitrag &#8220;Kampf dem Trackback-SPAM&#8221; ist mit großem Abstand der meist gelesene Artikel hier im Blog. Wie kommt das? Nun, zum einen wahrscheinlich durch die ...
*

Kausch ..

08/12/2007 10:00PM

Spammer en masse!
Sorry, aber zur Zeit schlagen wieder massig Spammer hier auf. Sie suchen immer noch nach den alten Einträgen aus WordPress. Wahrscheinlich liegt es wirklich daran, dass WordPress eine der am meist verwendeten Blogsoftwares ist. Deshalb scheint es für Spam
*

Grischa

08/21/2007 01:50PM

Kleiner Server Umzug
Letzte Nacht war mein Blog eine l&auml;ngere Zeit nicht zu erreichen, beim Aufruf bekam man nur ein &quot;Zugriff verweigert&quot;. Daf&uuml;r erst einmal: Entschuldigung. Und woran lag es?Ich hatte in letzter Zeit geh&auml;uft beobachtet, dass mein Blog
*

Blog TXT

09/13/2007 05:07PM

Good by Spam
Kaum bin ich mal für ein paar Tage in Düsseldorf und schon kommen die Spam-Triaden und zwingen den Server in die Knie, genau dann wenn ich eh keine Zeit und auch keinen richtigen Zugriff habe. Ein zwangsläufiger Ausweicher auf einen Tagesserver war die ei
*

Grischa

09/16/2007 11:56PM

Neuer Trackback SPAM Bot
Nur kurz: Bei mir tritt seit heute ein neuer Track Back SPAM Bot auf, der als User Agent Eintrag &quot;USERAGENT&quot; angibt. Wie man Trackback Bots anhand ihrer User Agent Angabe von seinem Blog ausschlie&szlig;t, habe ich im Artikel&nbsp; &quot;TrackBa
*

BlogTopf.de

08/10/2008 02:04PM

Wordpress Spamschutz mit geringer Kommentarl&#228;nge
Der Angriff von manuellem oder automatisiertem Spam in Blogs ist nur schwer einzudämmen. Spam-Plugins für Wordpress wie Akismet oder Codeschnipsel um Trackback-Spambots abzuwehren helfen dabei den Blog sauber zu halten für Besucher un...
*

derMicha

10/19/2008 10:25PM

Trackback-Spam los werden
Auch mein kleiner Miniblog wurde nun schon seit einiger Zeit von Spammern per Trackback-Anfragen genervt. Wie so oft hat ein kurzer Plausch mit Grischa sehr geholfen. Seine Hinweise hier und dort waren sehr hilfreich. Danke! In den letzten Wochen sind da
*

blog.huebe ..

06/30/2009 03:26PM

Trackback-Spam – massiver Anstieg zu verzeichnen | Kim Huebel - Online
In den vergangenen Tagen wird mein Blog regelrecht bombardiert mit Trackbacks – manchmal habe ich schon fast das Gefühl, man möchte mein Blog testen, ob es irgendwann einem Denial of Service (DoS)[..]
Comments
Display comments as (Linear | Threaded)
*

Robert Lender

Homepage

07/28/2007 09:58AM

Danke für den Beitrag. Ich werde ihn 1. in Kürze im fragmentarischen...S9y Manual verlinken und 2. mir erlauben ebenfalls einen Beitrag zu schreiben (nicht so ausführlich, so viel weiß ich nicht) und natürlich ebenfalls auf deinen Artikel veweisen.
Reply
#1
*

Grischa

Homepage

07/28/2007 02:06PM

Hi Robert. Klar, gerne! Und nebenbei: Ich habe immer noch keinen SPAM Trackback erhalten, ohne irgendein Akismet oder ähnliches aktiviert zu haben. Scheint also wirklich eine sehr effektive Methode zu sein, die das Blog auch nicht all zu sehr mit Traffic belastet.
Reply
#2
*

Robert Lender

Homepage

07/29/2007 03:59PM

Ich werde das ganze jetzt auch live probieren. Wäre fein, wenn du mit Garvin und Co darüber reden könntest ob dieser Mechanismus Teil der Spamabwehr von S9y werden könnte.
Reply
#3
*

Grischa

Homepage

07/29/2007 04:44PM

Ja. Wie geschrieben: Ich bin schon am Grübeln darüber, wie man das am sinnvollsten integriert. :-) Werde mal mit Garvin quatschen, was er davon hält, der hat immer ein ziemlich gutes Gespür dafür, was Probleme bereiten könnte, und was man gut einbauen kann. Wie es im Prinzip implementiert werden müsste, ist mir eigentlich schon klar..
Reply
#4
*

Robert Lender

Homepage

07/29/2007 05:05PM

Danke, hoffe das Beste.
Reply
#4.1
*

Martina

08/04/2007 12:33AM

Ich hatte heute Garvin eine PN zu dem Problem geschrieben. Mal sehen, was und wie er antwortet. Ich weiß nämlich, dass ein Tag zuvor einem schweizer Bekannten (auf einem anderen Hoster) genau das selbe wie mir passiert ist. Mehr dazu auf Bedarf drüben bei Robert, sonst haben wir zuviel Cross-Postings.. ;-)
Reply
#4.2
*

Martina

Homepage

08/13/2007 11:02AM

Super! Nun landen alle auf der 403!!! ich danke dir für den letzten Hinweis bei mir.
Reply
#5
*

Grischa

Homepage

08/13/2007 01:29PM

Sehr gern geschehen. :-) Ich muss wohl am besten mal die .htacces oben um die Zeile erweitern, die ich unten nur beschreibe. Sonst wird das offenbar immer übersehen.
Reply
#5.1
*

Martina

Homepage

08/15/2007 11:06AM

Grischa, die htaccess funktioniert einwandfrei, nur scheint es die Spammer inzwischen zu ärgern, denn sie beschossen meinen Blog gestern nacht mit einem Dauerfeuer... im Schnitt mit 39 Trackback-Requests pro Sekunde (!!!!!!!!!), der Höhepunkt der Welle war zwischen 01:00 und 13:00 Uhr gestern. Immer von einer IP ausgehend, die es logischerweise eigentlich gar nicht gibt.. Dieser Idiot bekam immer die 303 zu sehen, aber dies schien ihn zu ärgern, weshalb er seine "Bemühungen" verstärkte. Die Italiener schauen inzwischen nicht mehr vorbei, die sind als Range komplett ausgesperrt. Meine Logs kann ich zur Zeit aufgrund dieser massigen Einträge nicht mehr auswerten.... :-(
Reply
#5.1.1
*

Martina

Homepage

08/15/2007 11:07AM

ich meine natürlich "403" und nicht "303"
Reply
#5.1.1.1
*

Peter

Homepage

07/22/2008 04:51PM

Vielen Dank Grischa. Dies hilft mir hoffentlich den eingehenden Trackback-Spam der letzten Tage zu minimieren. Müsste dann nur noch mein Problem der ausgehenden beheben, da das serendipity_event_trackback plugin bei mir irgendwie nicht funktiniert und die Kommunikation mit WP einfach nicht will. Hättest Du dazu evtl. noch einen Tipp?
Reply
#6
*

Grischa

Homepage

07/22/2008 08:48PM

Hi Peter, kann es sein, dass Du eine ältere Version von S9Y fährst? Ich hatte mal einiges an der Kommunikation zwischen WP und S9Y verbessert, meines Wissens funktioniert das inzwischen. Hatte hier auch mehrere Artikel dazu geschrieben, musst mal suchen..
Reply
#6.1
*

Peter

Homepage

07/22/2008 10:46PM

Hallo Grischa, vielen Dank für deine Antwort. Du hast richtig vermutet, fahre aktuell noch 1.1. Werde dann mal updaten. Mal schaun, ob es daran liegt... btw: Wollte mal alle S9y Artikel bei dir durchblättern, aber nach Seite 2 erhalte ich eine Fehlermeldung. Die Seite ist nicht aufzurufen: http://blog.brockha.us/index.php?/plugin/tag/Serendipity/P3.html
Reply
#6.1.1
*

Grischa

Homepage

10/19/2008 10:37PM

An der Seitenproblematik beim Tag Plugin hat sich wohl zwischendurch was getan. Hatte ich lange nicht mehr getestet, gerade erst wieder: Klappt inzwischen! :-)
Reply
#6.1.1.1
*

Grischa

Homepage

07/27/2008 08:32PM

Zu dem Seitenproblem: Mist, da scheint aktuell ein Problem im Tag Plugin vorhanden zu sein. :-/ Habe leider gerade keine Zeit, mich darum zu kümmern. Zur s9y Version: Ja, wenn Du 1.1 hast, dann ist da noch gar nichts gemacht. Da ging ja nicht mal Pingback (die bevorzugte Methode für WP). Wenn Du auf die aktuelle 1.3 gewechselt hast, dann sollten alle Probleme mit Trackbacks auf WP behoben sein.
Reply
#7
*

Uwe

Homepage

08/27/2008 05:46PM

Hi Grischa, wenn ich das so lese, hast du es ähnlich aufgebaut wie http://www.spider-trap.de/ Dieses kleine Tool hat einen ähnlichen Ansatz und sperrt selbst gefakte MSN- oder Yahoo-Bots. Es sperrt alle Bots, die sich nicht an die Standard for Robot Exclusion halten und auf das in der robots.txt gesperrte Verzeichnis zugreifen und in die Falle tappen. Ob die Methode auch auf Trackbacks anwendbar ist, kann ich nicht beurteilen. Vielleicht kann man sich aber mit den Codern zusammentun und voneinander profitieren!? Ciao, Uwe
Reply
#8
Add Comment
Twitter/Identica/Pavatar/Gravatar/Favatar/Wavatars author images supported.
E-Mail addresses will not be displayed and will only be used for E-Mail notifications.

To prevent automated Bots from commentspamming, please enter the string you see in the image below in the appropriate input box. Your comment will only be submitted if the strings match. Please ensure that your browser supports and accepts cookies, or your comment cannot be verified correctly.
CAPTCHA

Enclosing asterisks marks text as bold (*word*), underscore are made via _word_.
Standard emoticons like :-) and ;-) are converted to images.
 
   
 

Kommentare

Goldpreise about Migos way down
Fri, 23.07.2010 10:01
*Sehr interessante Seite, habe gerade ein bisschen gestöbert und werde sie weiterempfehlen!
Emil about Blogs auf AllInkl mit Problemen
Thu, 22.07.2010 12:37
*Also all-inkl kann ebenfalls nur empfehlen. Das aufgezeiget Problem kann auch bei andern Hostern passieren. Gerade [...]
soundrobot about ARCHOS Support Forum
Tue, 20.07.2010 23:43
*VORSICHT BEI ARCHOS! Die Archos-Odyssee - unfassbar ! Was mir mit der Firma "Archos" geschehen ist, muss ich [...]
Erik about Stromanbieter Wechsel
Fri, 16.07.2010 16:34
*Kann dir nur zustimmen. Erst Stromfesser ausfindig machen und beseitigen. Dann den Anbieter wechseln. Leider wisse [...]
Martin Norker about Blogs auf AllInkl mit Problemen
Fri, 16.07.2010 11:24
*Hatte damals das gleiche Problem aber dass war auch das einzige mal dass ich überhaupt Probleme mit dem Povider ha [...]

Trackbacks Tweetbacks

www.faq4mobiles.de about Logitech Maus MX Revolution
Wed, 09.06.2010 09:44
* Stichwortwolke anzeigen Lesezeichen Lesezeichen Twitter facebook Mister Wong YiGG.de Google del.icio.us Digg Stum [...]
Wii MotionPlus Erweiterung @ about Die Wii MotionPlus Erweiterung
Mon, 24.05.2010 15:40
*Eines der beliebtesten Konsolen ist die Wii von Nintendo. Sie hat sich bis Ende 2007 25 Millionen mal verkauft und [...]
blog.gilly.ws about Die neue XBox 360 Falcon einfach erkennen
Sun, 25.04.2010 02:19
*So nun endlich die Auflösung. Ich habe mir gestern eine Xbox 360 gekauft.Warum? GTA IV!!!!! Warum ich nicht bis Se [...]
tweetbackcheck