Ulrich: Spammer auf sich selbst umleiten

Moin,

Im wesentlichen geht es um 2 Server aus HongKong, die ca. alle halbe Stunde versuchen mein Gästebuch zu spammen. Erfolglos, dennoch nervig.
Es sind nur zwei bisher, da ich das Gästebuch nicht von Suchmaschienes indizieren lasse.
So sind die beiden auch einfach zu handhaben, da sie seit Wochen feste IPs haben.

Anfangs habe ich sie über einen einfachen "Deny from" ausgesperrt, aber nun hatte ich eine andere Idee:

  
#Spammer auf sich selbst umleiten  
RewriteCond %{REMOTE_ADDR} ^58.65.239.foo$ [OR]  
RewriteCond %{REMOTE_ADDR} ^58.65.239.bar$  
RewriteRule ^.* http://%{REMOTE_ADDR} [R,L]  

Dadurch spare ich zumindest etwas Traffic, weil die 403er-Fehlerseite schon ein paar KB hat.

Haltet Ihr das für eine empfehlenswerte Vorgehensweise?
Angenommen, das würden "alle" machen. Würden sich die Spammer dann nicht u. U. selbst ins DOS schiessen, wenn die Bots schnell genug spammen?

mit freundlichen Grüßen
Ulrich

--
Teiltransparente Bereiche
selfcode: sh:| br:> ie:% mo:) va:) de:] zu:) fl:( ss:| ls:[
um-fritz.de
  1. Haltet Ihr das für eine empfehlenswerte Vorgehensweise?
    Angenommen, das würden "alle" machen. Würden sich die Spammer dann nicht u. U. selbst ins DOS schiessen, wenn die Bots schnell genug spammen?

    Nabend,
    meine Meinung dazu (leider völlig unfundiert) wäre, dass die Bots damit dein "Gegenschlag" erfolgreich ist, ja die Umleitung via Header umgehend verarbeiten und folgen müssten. Ich denke aber nicht dass sie dies direkt tun, eher tragen sie die neue URL in eine Liste potentieller neuer Spam-Opfer ein, stellen dann aber schnell fest dass es diese URL nicht gibt und werden sicher nicht mehr häufig darauf zugreiffen.
    Auch auf deine Ursprüngliche Seite werden die Bots nur selten zugreiffen (es gibt da ja nix zu tun), das ist meilenweit von einem DOS entfernt.

    mit freundlichen Grüßen
    Ulrich

    Schönen Gruß,
    Andreas

  2. Moin!

    […] Spammer auf sich selbst umleiten […]

    Haltet Ihr das für eine empfehlenswerte Vorgehensweise?
    Angenommen, das würden "alle" machen. Würden sich die Spammer dann nicht u. U. selbst ins DOS schiessen, wenn die Bots schnell genug spammen?

    Als Spambot-Betreiber würde ich auf meinen Rechnern keinen Webserver laufen lassen (wofür auch?). Also sollten die Redirects im Sande verlaufen. Aber den Traffic der 403er sparst du natürlich schon.

    Viele Grüße,
    Robert

    1. Aber den Traffic der 403er sparst du natürlich schon.

      Hmm...

      "301 Moved Permanently"
      <-> "403 Forbidden"

      "The document has moved <a href="http://123.123.123.123/dummy/">here</a>."
      <-> "You don't have permission to access /dummy/ on this server."

      Und den Zusätzlichen Header beim Redirect sollte man auch beachten. Traffik sparen kann man also sicher nicht.

      Gruß,
      Andreas

  3. Moin!

    #Spammer auf sich selbst umleiten
    RewriteCond %{REMOTE_ADDR} ^58.65.239.foo$ [OR]
    RewriteCond %{REMOTE_ADDR} ^58.65.239.bar$
    RewriteRule ^.* http://%{REMOTE_ADDR} [R,L]

    
    > Dadurch spare ich zumindest etwas Traffic, weil die 403er-Fehlerseite schon ein paar KB hat.  
      
    Das dürfte dann allerdings auch der einzige Effekt sein, den du da verursachst. Ich würde es als eher unwahrscheinlich ansehen, dass dein Redirect irgendeinen weitergehenden Effekt hat.  
      
     - Sven Rautenberg
    
    -- 
    "Love your nation - respect the others."
    
    1. Moin!

      Das dürfte dann allerdings auch der einzige Effekt sein, den du da verursachst. Ich würde es als eher unwahrscheinlich ansehen, dass dein Redirect irgendeinen weitergehenden Effekt hat.

      Genau. Wenn auf der anderen Seite gar kein httpd läuft, ist das ne Luftnummer ;-)

      Viele Grüße,
      Hotte

      1. Moin,

        Genau. Wenn auf der anderen Seite gar kein httpd läuft, ist das ne Luftnummer ;-)

        Doch, tut es. Die IPs mal testweise im Browser aufgerufen, und es erschien eine Apache-erfolgreich-installiert-Startseite. Das hat mich ja erst auf die Idee gebracht den Bot auf diese Adressen zurückzuschicken.

        mit freundlichen Grüßen
        Ulrich

        --
        Teiltransparente Bereiche
        selfcode: sh:| br:> ie:% mo:) va:) de:] zu:) fl:( ss:| ls:[
        um-fritz.de
  4. Hi,

    RewriteCond %{REMOTE_ADDR} ^58.65.239.foo$ [OR]
    RewriteCond %{REMOTE_ADDR} ^58.65.239.bar$

    sind die IPs echt? Ich frage, weil diese zumindest in den letzten 20.000 Spam-Notierungen meines Gästebuchs nicht vorkommen.

    freundliche Grüße
    Ingo

    1. Moin Ingo,

      sind die IPs echt? Ich frage, weil diese zumindest in den letzten 20.000 Spam-Notierungen meines Gästebuchs nicht vorkommen.

      Ja, bis auf die letzten 3 Ziffern sind die echt.

      mit freundlichen Grüßen
      Ulrich

      --
      Teiltransparente Bereiche
      selfcode: sh:| br:> ie:% mo:) va:) de:] zu:) fl:( ss:| ls:[
      um-fritz.de
  5. Ich kann nichts zum eigentlichen Problem sagen.

    RewriteCond %{REMOTE_ADDR} ^58.65.239.foo$ [OR]
    RewriteCond %{REMOTE_ADDR} ^58.65.239.bar$
    RewriteRule ^.* http://%{REMOTE_ADDR} [R,L]

    Bei mir ist es ausserdem noch 58.65.238.* eine extrem aktive Nummer. Hier kannst du ermitteln wie aktiuve die Nummer ist und ob noch welche dazu gehören.

    Struppi.

    1. Hi,

      Bei mir ist es ausserdem noch 58.65.238.* eine extrem aktive Nummer.

      Ja, den kenne ich auch sehr gut... allein im letzten Monat 666 Spam-Versuche.
      wobei das einer der intelligentesten Spambots ist, der meine aufgestellten Fallen erkennt und sie frei lässt, aber testweise im nächsten Versuch doch noch mit ausfüllt.
      Und er zeichnet sich durch gelegentliche Testeinträge aus wie:

      Name: tester
      betreff: jeTirXnYAGRctDYNdpf
      Text: test of aposter

      Extra für den habe ich sicherheitshalber noch eine zusätzliche Inhaltsprüfung auf unsinnige Betreffs eingebaut. ;-)

      freundliche Grüße
      Ingo

      1. Bei mir ist es ausserdem noch 58.65.238.* eine extrem aktive Nummer.
        Ja, den kenne ich auch sehr gut... allein im letzten Monat 666 Spam-Versuche.
        wobei das einer der intelligentesten Spambots ist, der meine aufgestellten Fallen erkennt und sie frei lässt, aber testweise im nächsten Versuch doch noch mit ausfüllt.
        Und er zeichnet sich durch gelegentliche Testeinträge aus wie:

        Name: tester
        betreff: jeTirXnYAGRctDYNdpf
        Text: test of aposter

        Extra für den habe ich sicherheitshalber noch eine zusätzliche Inhaltsprüfung auf unsinnige Betreffs eingebaut. ;-)

        Das ist vermutlich sinnvoll, ich hab einfach den ganzen Bereich gesperrt, genau wie 87.99. und noch ein paar andere - allerdings muss ich auch nicht mit Nutzern aus Honkong, Lettland oder Mexiko rechnen.

        Struppi.

    2. Hallo Struppi!

      Bei mir ist es ausserdem noch 58.65.238.*

      Der war, mit nur 3 wechselnden letzten Zahlengruppen, seit August 2007 [1] »nur« 46 mal bei mir (meistens Versuche, das Gästebuch zu spammen - im September und Oktober).

      [1] Erst ab da erstelle ich aus den 1&1-Wochenlogs Monatslogs für meine Monatsauswertungen

      Viele Grüße aus Frankfurt/Main,
      Patrick

      --

      _ - jenseits vom delirium - _
      [link:hatehtehpehdoppelpunktslashslashwehwehwehpunktatomicminuseggspunktcomslash]
      Nichts ist unmöglich? Doch!
      Heute schon gegökt?
  6. #Spammer auf sich selbst umleiten

    RewriteRule ^.* http://%{REMOTE_ADDR} [R,L]

    Haltet Ihr das für eine empfehlenswerte Vorgehensweise?

    Nein, nur für eine nutzlose.

    Angenommen, das würden "alle" machen. Würden sich die Spammer dann nicht u. U. selbst ins DOS schiessen, wenn die Bots schnell genug spammen?

    Wer sagt denn, dass die so dusselig sind und brav deiner Weiterleitung folgen? Täte ich als Spammer nicht unbedingt, hält mich nur von meiner Spammerei ab. Wer sagt denn außerdem, dass der Bot überhaupt auf eine Antwort wartet? Könnte ja sein, dass er einfach nur seinen Müll in dein Formular POSTet - dazu muss man das Formular nicht bzw. nur einmalig vorher abrufen.

    Dadurch spare ich zumindest etwas Traffic, weil die 403er-Fehlerseite schon ein paar KB hat.

    Die kannst du auch sparen, indem du die betreffenden Fehlerseiten so aufbaust, dass bei den Spammern nur ein kurzer Hinweis ausgegeben wird. Das könnte dann sogar noch kürzer sein als als die Standardmeldung, die der Apache bei einer Weiterleitung ausgibt (gemäß HTTP-Standard ausgeben sollte).

    Du hättest obendrein die Möglichkeit, den Spammer länger als 0,5 Sekunden festzuhalten und damit eine nachweisbar nutzbringende Abwehrmaßnahme - denn solange ein Spambot beschäftigt ist (und sei es mit dem Warten auf eine Antwort), kann er nicht weiterspammen.
    Falls er also tatsächlich auf eine Antwort wartet, schicke die ihn in der Fehlerseite für ein Weilchen in eine sleep()-Schleife. Aber das Verhalten beobachten, nicht, dass er dir den Webserver dichtmacht, weil du für jede Anfrage eine Viertelstunden-Teergrube einplanst und der Spammer innerhalb weniger Minuten tausende Serverprozesse aufmacht.