| | W. Popken im Fenster
Selbstportrait 08/2004 | | | | |
07.09.2008
Bookcrossing
In der letzten Woche habe ich mich noch gewundert, was die merkwürdigen Inserate sollen, die jemand mit völlig unsinnigem Inhalt aufgegeben hat. Zwei Stunden später klärte sich der Spuk auf. Die Testphase war offenbar beendet.
Ab sofort wurde die Pferdezeitung zunächst regelmäßig alle 11 min beschossen; das sind mindestens fünf Inserate pro Stunde, also mindestens 120 am Tag - schon ganz schön! Nach 10 h wurde die Frequenz erhöht, und zwar im Wechsel alle 4 min und alle 8 min, also 10 Inserate pro Stunde, macht 240 am Tag.
Als ich mir die Sache genauer anschaute, verstand ich auch, worum es hier ging. Die Adressen waren immer wieder neu, aber stets nach demselben Muster gestrickt, etwa so:
| Name : Bzdfliet
Straße: TwSJsNFxhvAG
PLZ : GSgHXsVrlRTBecRHFm
Stadt : fkSdDYoQtOVcA
EMail : itvfqard@htaqdvoo.com
Tel : YBRDghuk
Mobil : ERiuhhSzOEUW
Fax : diChwwzqSThWzc
Firma : wwbFaAYNxo
Url : http://www.bookcrossing.com/mybookshelf/Buy-Magnesium | | |
Man sieht, daß alle Felder brav ausgefüllt sind, die E-Mail ist formal korrekt, aber ungültig, wie man schnell nachprüfen kann, und auch die URL ist formal korrekt, jedoch nicht ungültig, sondern eine Werbung. Dazu wird eine Community ausgenutzt, bei der jedermann ein Konto anlegen und Bücher einstellen kann, die er mit Bekannten und Unbekannten tauschen möchte:  » Bookcrossing. Da diese Seite jetzt immer noch existiert, hat man dort vom Missbrauch anscheinend noch nichts gemerkt.
Drogen
Ich habe keine Ahnung, wofür man Magnesium braucht, warum man das kaufen wollen sollte, warum man für dieses Produkt auf diese Art und Weise Werbung machen muß, aber genau darauf läuft die Kleinanzeige, die diese fiktive Adresse angelegt hat, hinaus:
| <a href= http://www.bookcrossing.com/mybookshelf/Buy-Magnesium >Magnesium</a>
[url=http://www.bookcrossing.com/mybookshelf/Buy-Magnesium]Magnesium [/url]
<a href= http://www.bookcrossing.com/mybookshelf/Buy-Melatonin >Melatonin</a>
[url=http://www.bookcrossing.com/mybookshelf/Buy-Melatonin]Melatonin [/url]
<a href= http://www.bookcrossing.com/mybookshelf/Buy-Meridia >Meridia</a>
[url=http://www.bookcrossing.com/mybookshelf/Buy-Meridia]Meridia [/url]
<a href= http://www.bookcrossing.com/mybookshelf/Buy-Metformin >Metformin</a>
[url=http://www.bookcrossing.com/mybookshelf/Buy-Metformin]Metformin [/url]
<a href= http://www.bookcrossing.com/mybookshelf/Buy-Methadone >Methadone</a>
[url=http://www.bookcrossing.com/mybookshelf/Buy-Methadone]Methadone [/url]
<a href= http://www.bookcrossing.com/mybookshelf/Buy-Methamphetamine >Methamphetamine</a>
[url=http://www.bookcrossing.com/mybookshelf/Buy-Methamphetamine]Methamphetamine [/url]
<a href= http://www.bookcrossing.com/mybookshelf/Buy-Methocarbamol >Methocarbamol</a>
[url=http://www.bookcrossing.com/mybookshelf/Buy-Methocarbamol]Methocarbamol [/url]
<a href= http://www.bookcrossing.com/mybookshelf/Buy-Metronidazole >Metronidazole</a>
[url=http://www.bookcrossing.com/mybookshelf/Buy-Metronidazole]Metronidazole [/url]
<a href= http://www.bookcrossing.com/mybookshelf/Buy-Mobic >Mobic</a>
[url=http://www.bookcrossing.com/mybookshelf/Buy-Mobic]Mobic [/url]
<a href= http://www.bookcrossing.com/mybookshelf/Buy-Morphine >Morphine</a>
[url=http://www.bookcrossing.com/mybookshelf/Buy-Morphine]Morphine [/url]
<a href= http://www.bookcrossing.com/mybookshelf/Buy-Naprosyn >Naprosyn</a>
[url=http://www.bookcrossing.com/mybookshelf/Buy-Naprosyn]Naprosyn [/url]
<a href= http://www.bookcrossing.com/mybookshelf/Buy-Naproxen >Naproxen</a>
[url=http://www.bookcrossing.com/mybookshelf/Buy-Naproxen]Naproxen [/url]
<a href= http://www.bookcrossing.com/mybookshelf/Buy-Neurontin >Neurontin</a>
[url=http://www.bookcrossing.com/mybookshelf/Buy-Neurontin]Neurontin [/url]
<a href= http://www.bookcrossing.com/mybookshelf/Buy-Nexium >Nexium</a>
[url=http://www.bookcrossing.com/mybookshelf/Buy-Nexium]Nexium [/url]
<a href= http://www.bookcrossing.com/mybookshelf/Buy-Niacin >Niacin</a>
[url=http://www.bookcrossing.com/mybookshelf/Buy-Niacin]Niacin [/url] | | |
Wie man sieht, gibt es nicht nur Magnesium zu kaufen. In der ersten Zeile wird getestet, ob die übliche HTML-Syntax greift, in der zweiten wird derselbe Link mithilfe des BB-Code lanciert. Ich schließe daraus: Es gibt eine Menge Zeug, das manche Leute dringend brauchen und an das sie sonst nicht so leicht kommen.
IP-Block
Dieser Dauerbeschuss ging nun etwas zu weit; das konnte ich nicht mehr durch Einzelbehandlung in den Griff bekommen. Die Frage war, wie man hier am besten vorgehen könnte. Meine erste Idee war, die mißbrauchte Seite "Bookcrossing" als Test zu nehmen. Aber schnell stellte ich fest, daß ich mich damit auf einen Wettlauf wie zwischen Hase und Igel einlassen würde, denn der Spammer nutzte noch weitere Adressen und könnte beliebig viele davon auf Vorrat haben. Nach zwei oder drei Versuchen kam ich zu dem Schluss, daß diese Methode mich in seine Abhängigkeit bringen würde. Das machte gar keinen Spaß.
Also suchte ich nach etwas anderem, was mir hier eleganter helfen könnte. Wie in der letzten Woche schon erwähnt, schickt mir der "Aufpasser" in meiner Software eine E-Mail, wenn er den Eindruck hat, daß es sich um Spam handeln könnte. Ich bekomme dann nicht nur sämtliche Eingaben, die zu diesem Vorgang gehören, sondern auch noch sämtliche Systemvariablen, die mir weitere Aufschlüsse über den Gesamtzusammenhang geben können. Darunter sind auch Daten, die nichts mit der Pferdezeitung zu tun haben, sondern mit dem Auslöser, etwa seine IP-Adresse. Bingo!
Die IP-Adresse war immer gleich, also bestätigte sich der Verdacht, daß nicht nur das Strickmuster identisch war, sondern auch die auslösende Maschine. Natürlich bemühte ich Google in Bezug auf diese Adresse und siehe da: der Typ hatte sich schon reichlich im Internet verewigt - Google findet "ungefähr" 16.700 Seiten dieser IP-Adresse. Die erste E-Mail kam hier am 26. August an, mittlerweile sind es über 700!
Also blockte ich diese kurzerhand:
| if (sp($_SERVER[REMOTE_ADDR], '200.63.42.113')) return ; | | |
Aber das reichte noch nicht. Bald kamen wieder die betreffenden Spams, aber ich wusste ja nun, wo ich nachzuschauen hatte: der Typ sendete auch noch von einer anderen Maschine, die aber im selben Block lag. Also änderte ich meine Bedingung geringfügig ab:
| if (sp($_SERVER[REMOTE_ADDR], '200.63.42.')) return ; | | |
Auch das reichte noch nicht: auch der Adressblock 90.157.115.xxx wurde benutzt; in diesem Fall habe ich gleich den gesamten Bereich gesperrt. Und siehe da: das war's. Aus die Maus. Soll er woanders sein Unwesen treiben.
Leserbriefe
Ein weiteres Phänomen hängt vermutlich damit zusammen, aber ich habe es noch nicht untersucht, weil der Schaden sehr gering ist; es werden keine Datensätze angelegt, sondern nur eine E-Mail an mich ausgelöst, nämlich dann, wenn man einen Leserbrief schreibt. Ein solcher Leserbrief sieht etwa so aus:
| Subject: Suzanne Doyle
From: tllajqnm@iddbhjfz.im
X-Virus-Flag: NO
X-Virus-Scanned: by VSGate 0.16
X-Spam-Flag: NO
X-Spam-Status: No, hits=-4.2 required=5.0
X-Spam-Level:
X-Spam-Scanned: by VSGate 0.16
X-Blacklist-Flag: NO
X-Blacklist-Listed-in:
X-BlacklistScanned: by VSGate 0.16
X-AntiVirus: checked (incoming) by AntiVir MailGuard (Version: 8.0.0.42; AVE: 8.1.1.28; VDF: 7.0.6.124)
runaway locum nonreturnable diatryma rooseveltian simonist
preceptorate logotype
<a href= http://lsipffmcfrq.com >qofgkni ifgcnx</a>
http://hurdwnl.com
<a href= http://rhbtcrhfgpd.com >mhvltgr qrnt</a>
http://yqrbemkotn.com
<a href= http://fhfldpwi.com >bpflog iydlaq</a>
http://chxfucs.com
<a href= http://fyixdjdximza.com >eiupdmr tmdfdrel</a>
http://yjuimftkqehh.com | | |
Wie man sieht, ist diese E-Mail auf dem Server und auf meiner lokalen Maschine auf Viren, Spam und Blacklist getestet und für sauber befunden worden. Tatsächlich kann man sich wieder keinen Reim darauf machen. Ob das ebenfalls Versuche sind, in das System einzubrechen und die Mechanismen kennenzulernen? Solche Sachen bekomme ich schon seit mehreren Wochen - mal sehen, vielleicht werde ich bald schlau daraus.
| | | Chefredakteur und Herausgeber | | | | |
| |
Magazin: jeden Montag neu 
›RSS 
› Menü 
› Hilfe-FAQ 
› Login 
› Newsletter 
› Bücher 
› Notizen 
› Presse 
› Termine 
› Leserbrief 
Menü Archiv 
› Lobback 
› Gesamttext 
› Lesezeichen 
Magazin
› voriges Editorial 
› Übersicht Editorials 
› nächstes Editorial 
› Home 
› Drucken 
› als Startseite
› Pferdemarkt
› Anzeigenmarkt
› Heute neu
Bildmaterial 
Informationen 
Besucheraktionen 
Hilfe + Antworten 
Geschäftliches 
›Impressum
0049(0)5744-5115-74 
0049(0)5744-5115-75 
0049(0)151-2327 3955
ISIS Messe & Pferdeverlag · Hauptstr. 13 · 32609 Hüllhorst
