Referrer-Spam V: Die Parasiten und die .htacces-Datei
Auf dem nebenstehenden Bild sind 2 Minuten meiner access.log von heute Nachmittag zu bestaunen. Es war mal offensichtlich wieder an Zeit, meine Blacklist zu erweitern… was ich dann auch tat.
Seit einer Weile filtere ich Zugriffe auf meine Website nach Referrer, um so jene Spambots auszusperren, die mit einem gefälschten Herkunftsverweis das Netz abgrasen um in – bei mir nicht vorhandenen – sogenannten Referrer-Statistiken zu erscheinen. Zum einen Versuchen die Betreiber zwielichtiger Websites damit Besucher anzulocken, zum anderen versuchen Sie, im Google-Ranking zu steigen. Wenn sie nicht gerade zu zweifelhaften Online-Apotheken locken, in denen Potenzmittelchen noch zweifelhafterer Provenienz angeboten werden, sollen sie häufig auf Klickfarmen locken: Das sind dann Seiten, die wie eine billige Yahoo-Kopie aussehen und Webverzeichnis sein wollen. Von dort kommt man wiederum ausschließlich zu obskuren Websites der üblichen Verdächtigen: Online-Casinos, Pseudoapotheken, Kredithaie etc pp. Alles, womit sich mit arglosen Surfern Geld verdienen läßt. Warum diese Verzeichnisse beworben werden, ist auch klar: hier bringt jeder Klick dem Betreiber Geld.
Nun könnten uns anderen die Geschäfte dieser halbseidenen Netzparasiten egal sein – wären da nicht ihre Spam-Angriffe. Und nichts anderes als ein Angriff ist es, wenn mein Server zig Hits pro Minute für Spammer verschenken muss. Und da dabei Traffic in nicht unerheblichen Maß produziert wird, kann man auch durchaus von Diebstal sprechen.
Daher ist es im Interesse eines jeden Opfers dieser Parasiten, gewisse Maßnahmen zu ergreifen. Das ist zwar leicht, weil über eine zentrale Datei steuerbar, birgt aber natürlich auch das Risiko, echte Besucher auszusperren:
- Filtere ich nach der IP, sperre ich in der Regel Proxy-Server aus, die zwar von den Spammern mißbraucht werden, aber ja durchaus auch von normalen Surfern verwendet werden – also den gern gesehenen Gästen meiner Seite. Außerdem finden die Parasiten ständig neue Proxies, die sie für ihre Zwecke mißbrauchen können.
- Filtere ich hingegen nach den Referrern, besteht das Risiko, dass mich Besucher nicht erreichen, die einen Link zu mir anklicken, der sich auf einer Seite befindet, deren Namen ein Wort aus meiner schwarzen Liste enthält. Hier gilt es also, vorsichtig auszuwählen.
Wie man Spammer über die IP aussperrt, ist beispielsweise hier dokumentiert. Der selbe Autor erklärt auch, wie man sie über den Referrer ausperrt – allerdings ist seine Lösung umständlich, weil Deine schwarze Liste schnell wachsen wird. Effizienter ist da die Verwendung der mod_security rules, wie es hier beschrieben ist. Wenn Du rabiat sein willst, mach es wie Patrick ;)
Wer sich für das Thema „Spam“ insgesamt interessiert, findet bei der Spamhuntress einen guten Einstiegspunkt. Auch Spamhaus ist eine interessante Adresse.
Update (17.10.05): gerade kam eine Google-Suche nach „‚Last referrers‘ archives“ von dsl-201-145-200-253.prod-infinitum.com.mx hier rein. Dieser Provider wird von mindestens einem Spammer benutzt, es ist also davon auszugehen, dass auf diesen Beitrag in Kürze eine Spam-Welle zukommen wird (die vier anderen Beiträge zum Thema sind auch Lieblingsziele der Spammer in meinem Blog). Oder sollte da wirklich ein Spammer von Hand nach dem „Erfolg“ seines Netz-Mißbrauchs gesucht haben?
Es ist übrigens keine falsche Idee, selbst nach solchen Listen zu suchen, um die Liste der unerwünschten Worte im Referrer zu verfeinern. Wer glaubt, es reiche die Namen von Potenzmittelchen einzutragen, irrt gewaltig.
[Siehe auch folgende Beiträge in diesem Blog:
- Referrer-Spam
- Referrer-Spam II: Online-Poker, “Instant-Credit”, Xanax, Valium, Viagra, Amoxillin, Cialis etc…
- Referrer-Spam III: slife.com und imnetz.ch führen mit Xanax, Valium, Ambien und Lorazepam…
- Referrer-Spam IV – der Parasit von “Norwegion cruises”
- alternativ das Ergebnis der Blog-internen Suche]