» Home

Referrer-Spam IV – der Parasit von „Norwegion cruises“

Seit 19h01 geht das heute so:

207.58.178.163 – – [25/Aug/2005:19:12:26 +0200] „GET http://www.haimb.de/jc/wp/category/argerliches/ HTTP/1.0“ 200 16199 „http://norwegion-cruises3.penfind.com“ „Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)“
207.58.178.163 – – [25/Aug/2005:19:12:51 +0200] „GET http://www.haimb.de/jc/wp/category/argerliches/ HTTP/1.0“ 200 16199 „http://norwegion-cruises3.penfind.com“ „Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)“
207.58.178.163 – – [25/Aug/2005:19:13:03 +0200] „GET http://www.haimb.de/jc/wp/category/argerliches/ HTTP/1.0“ 200 16199 „http://norwegioncruises.up.to“ „Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)“
207.58.178.163 – – [25/Aug/2005:19:13:52 +0200] „GET http://www.haimb.de/jc/wp/category/argerliches/ HTTP/1.0“ 200 16199 „http://norwegion-cruises3.penfind.com“ „Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)“
207.58.178.163 – – [25/Aug/2005:19:14:03 +0200] „GET http://www.haimb.de/jc/wp/category/argerliches/ HTTP/1.0“ 200 16199 „http://norwegioncruises.up.to“ „Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)“

In den vergangenen vier Stunden hat dieser Spammer mit seinen gefälschten Referrern so viele Hits erzeugt:

norwegioncruises.up.to 244
norwegion-cruises3.penfind.com 236
norwegion-cruises4.penfind.com 228
norwegion-cruises.penfind.com 221

Dieser Parasit scheint ein lausiger Anfänger zu sein. Nicht nur, weil die Leute, denen er Geld aus der Tasche ziehen will, wohl eher nach „Norwegian“ suchen würden, sondern weil schon die IP direkt zu seinem Webhosting(!)-Provider führt, der gegen 22 Uhr immerhin 140kb an Logfiles von mir bekommen hat:

Current Registrar: DIRECT INFORMATION PVT. LTD., DBA DIRECTI.COM
IP Address: 207.58.178.163 (ARIN & RIPE IP search)

Dort hat der Parasit seine per Spam beworbene „Suchmaschine“ untergebracht:

Registration Service Provided By: HIGH QUALITY HOST COMPANY
Contact: +1.2706378553
Domain Name: PROHOSIM.COM
Registrant:
jonn
jonn (tempjob@mail.ru)
Morskaya 10
Tuapse.
null,352800
RU
Tel. +000.000000000

Nun, ich bin gespannt, wie schnell abuse@directi.com reagiert… und wieviel Traffic der Russe allein mich gekostet hat, bis dahin… Vollkommen sinnlos verbratener Traffic, weil er in keiner meiner öffentlich sichtbaren Statistiken auftaucht, keiner seiner Hits auf mein Blog also einen Einfluss auf sein Ranking bei Google haben kann.

Mir ist es ja egal, wie die Leute versuchen, ihr Geld zu verdienen – aber muss es unbedingt auf Kosten Dritter sein?

Update (26.08.05 – 1h40): Weil ich mich mit der .htaccess nicht wirklich gut auskenne und der Kerl seinen Bot immernoch am Laufen hat, fragte ich Mela um Rat. Nun ruft der Spammer zwar weiter meine Seite auf, bekommt aber regelmäßig einen „Error 403“ =)
Ich weiss gar nicht, warum ich mir die Steuerungsmöglichkeiten dieser Datei bislang nicht angesehen habe – mächtig ohne schwer zu verstehen zu sein.

Update (22.09.05): Nach knapp vier Wochen hat der Parasit nun die IP gewechselt und ist mit 207.58.131.6 (der Provider ist weiterhin servint.com) unterwegs, um seinen Referrer-Spam abzusetzen.

Jedem, der Root-Zugriff auf seinen Server hat, sei die folgende Zeile für das Firewall-Script ans Herz gelegt (ein kundenfreundlicher Provider wird – bei entsprechender Sachlage – sicher auch hilfsbereit sein und sie selbst einfügen):

iptables -A to-int -p tcp -d www.deinedomain.de. -s
000.000.000.000 --dport http -j DROP

Wobei „000.000.000.000“ durch die IP des Spammers zu ersetzen ist und natürlich auch ein ‚REJECT‘ denkbar wäre.