Startseite aufrufen
« Zurück
Vor »

Kommentar schreiben | Drucken

217.107.222.75 spammt Statistiken voll

-- 25.August 2005 (#29)


Ich habe einen penetranten Schmarotzer in meinen Statistiken entdeckt. Dieser Bot hat ausschließlich meine Statistik-Datei aufgerufen, die ich veröffentlicht habe. Nachdem ich diesen Robot auch in mehreren Statistiken von anderen Websites entdeckt habe, gehe ich davon aus, dass der Robot gezielt auf der Suche Statistik-Dateien wildert und damit bewirken möchte, beim nächsten Update der Statistikdatei als Referer aufzutauchen. Es handelt sich hier also um einen Bot, der auf Referer-Spamming setzt. Die einzelnen Backlinks, die der Bot dadurch erzeugt, sind zwar so gut wie nichts Wert, aber in der Masse dürfte ein stattlicher PageRank™ und ein gutes Ranking dabei rumkommen.
Nun ja, die Idee ist nicht schlecht: Wenn öffentliche Statistiken gefunden werden, dann ist das ein gewichtiges Indiz dafür, dass von dieser Seite regelmäßige Zugriffsstatistiken ins Netz gestellt werden. Mit dem Ansurfen verewigt man sich dadurch im nächsten Log. Da manche Statistiken in ihren Logs allerdings nur eine Top 10, 50, 100 (oder was auch immer) von Referer anzeigt, ruft man die Statisikdatei mehrfach auf.

Mehrfach – In meinem Fall heißt das, dass allein dieser Bot mit seinem Referer-Spam gut 50% meines Traffics im Monat August verursacht hat. Damit ist der Spambot auf Platz 1 was den Traffic angeht und auf Platz 7 der IPs, die die meisten Hits verursacht haben. Der Robot hat sich mit folgendem Zugriffsverhalten in meinen Logs verewigt:

Hits: 1753 (0.74%)
Files: 1753 (0.91%)
KBytes: 4.472.521 (54.15%)
Visits: 343 (14.87%)
IP: 217.107.222.75
URL: /uploads/dirk/blog/antikoerperchen-stastistik-06012005/statistik.php


Sein UA ist:

Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0; MRA 4.1 (build 00975))


Und als Referer sendet er folgende Adressen:

http://phentermine.mc.bashkiria.ru/1/
http://mc.balashov.su/viagra.html/
http://hydrocodone-buy.at.tut.by/
http://bontril.at.tut.by/
http://hydrocodone.mc.belgorod.su/buy-hydrocodone/
http://online-adipex.at.tut.by/
http://seks.bir.ru/xanax.html/
etc.(?)


Die Seiten sehen alle mehr oder weniger gleich aus (Screenshot, Quelltext) und tarnen sich vordergründig als eine Art von Suchmaschine. Im Hintergrund scheint diese Seite den Leuten allerdings starke dubiose Medikamente andrehen zu wollen (Phentermine ist beispielweise ein Pharmazeutikum gegen Fettleibigkeit und Adipex ist ein ebenfalls ein Medikament um schlank zu werden, es wirkt ähnlich wie Ampethamine und ist süchtig machend. Beide Medikamente beruhen darauf, die Ausschüttung von Neurotransmittern im Gehirn zu stören). Die Seiten sehen aus, als seien sie russischer Abstammung, erhärtet wird dies dadurch, dass der Bot zum Arbatek Network aus Moskau gehört. Unter den Suchergebnissen befindet sich manchmal noch eine lange Liste von Schlüsselwörtern – auch hier setzt man offenbar auf Spamming.

Glücklicherweise hat der Bot eine statische IP, nämlich 217.107.222.75. Es ist also ein Leichtes, diesem Referer-Spammer den Hahn abzudrehen und ich hoffe, dass nicht noch mehr dieser Robots mit unterschiedlicher IP durch das Internet streifen.

Ich habe ihn einfach per .htaccess ausgesperrt:

Deny from 217.107.222.75


Anhang:
Nessus-Scan auf 217.107.222.75 (V2.2.5, alle Plugins)

Geschrieben von
Michael Rosch (anonym)
-- 07.September 2007 (#18)

Du solltest die Adressen bei g**gle als Spam melden und versuchen den Inhaber der Websites über denic herauszufinden. Traffic kostet in der Regel Geld - gibt es keine Möglichkeiten gegen solche Leute gerichtlich vorzugehen?

Geschrieben von
Dirk (anonym)
-- 08.September 2005 (#2)

Mit dem einfachen blockieren der IP kam ich nun nicht mehr zurande, da der Spambot die IP wechselt. Okay, also habe ich meine .htaccess erweitert, um den Referer-Spam zu blockieren:

Deny from 217.107.222.75
Deny from 69.72.217.226

SetEnvIfNoCase Referer "^(http://)?(www\.)?.*(-|.)hydrocodone(-|.).*$" spammer
SetEnvIfNoCase Referer "^(http://)?(www\.)?.*(-|.)adipex(-|.).*$" spammer
SetEnvIfNoCase Referer "^(http://)?(www\.)?.*(-|.)phentermine(-|.).*$" spammer
SetEnvIfNoCase Referer "^(http://)?(www\.)?.*(-|.)mc.balashov(-|.).*$" spammer
SetEnvIfNoCase Referer "^(http://)?(www\.)?.*(-|.)bontril.at(-|.).*$" spammer
SetEnvIfNoCase Referer "^(http://)?(www\.)?.*(-|.)online-adipex(-|.).*$" spammer
SetEnvIfNoCase Referer "^(http://)?(www\.)?.*(-|.)seks.bir(-|.).*$" spammer
SetEnvIfNoCase Referer "^(http://)?(www\.)?.*(-|.)buy-viagra(-|.).*$" spammer
SetEnvIfNoCase Referer "^(http://)?(www\.)?.*(-|.)effexor(-|.).*$" spammer
SetEnvIfNoCase Referer "^(http://)?(www\.)?.*(-|.)cialis(-|.).*$" spammer
SetEnvIfNoCase Referer "^(http://)?(www\.)?.*(-|.)viagra(-|.).*$" spammer
SetEnvIfNoCase Referer "^(http://)?(www\.)?.*(-|.)ambien(-|.).*$" spammer

deny from env=spammer


Geschrieben von
Dirk (anonym)
-- 07.September 2005 (#1)

Jetzt spammt der Bot auch unter der IP 69.72.217.226 und hat folgende Adressen hinterlassen:

http://phentermine.3wr.net
http://adipex.3wr.net
http://adipex.cjb.hu
http://hydrocodone.3wr.net
http://phentermine.3wr.net
http://buy-viagra.cjb.hu
http://phentermine.3wr.net
http://phentermine-.cjb.hu
http://hydrocodone-.cjb.hu
http://hydrocodone.test-zone.com
http://phentermine.free-phpbb.com


Geschrieben von
Panthera-IT (anonym)
-- 09.Februar 2008 (#31)

Es scheint nicht nach russische abstammung, sondern ist auch tatsächlich.

Es werden zur Zeit einfach zuviel illegale geschäfte über russland geführt, auch die Ganze emails mit Top-Vergütung bei Geldweitergabe von europäischen Kunden oder änliches.

Michael Rosch erstens Denic hat damit nichts zu tun, da es für "de" Domains zuständig ist, und zweitens, ich glaube dass ihnen die Google zimlich egal ist, da die mehrere hunderte oder tausende Domains haben, und wenn ein oder zwei ausfahlen, ist nicht schlimm.

IP zu ändern ist auch kein Problem, was die eventuell auch ab und zu machen.

P.S. united-domains.de fragt die Domains ab.

Das Hinzufügen von Kommentaren wurden deaktiviert.