« Biljetterna far upp i det blå | Startsidan | Dålig journalistik »
augusti 17, 2004
Systematisk spamning
Blacklist är bra.
Det stoppar en hel del.
När jag kikar i loggarna så
börjar jag se ett mönster.
Någon har försökt att spamma bloggen med reklam för någon sida som heter greatnow.com, orkar inte ens kolla vad sidan handlar om. Men något som är intressant är tillvägagångssättet. Några försök per gång och från olika ip-nummer. Det tyder på någon form av systematisk hantering av spammandet. Det är ip-nummer från Peru, Turkiet, USA, Mexico och Norge. Jag tog bara några ip-nummer på måfå och kollade. Jag tror inte att exempelvis det norska företaget på något sätt är inblandad i denna hantering, förutom att någon simulerar deras ip-nummer eller tjuvkör via deras server. Jag är inte så tekniskt bevandrad att jag kan avgöra vilkendera det handlar om.
MT-Blacklist comment denial: greatnow.com.
2004.08.07 21:21:14 212.70.169.62
2004.08.07 22:58:11 202.196.101.241
2004.08.08 00:01:47 200.62.136.145
2004.08.08 00:08:11 216.157.225.36
2004.08.08 00:17:58 219.238.6.194
2004.08.08 00:38:24 200.34.1.91
2004.08.08 01:49:43 200.48.218.179
2004.08.08 03:38:51 64.110.74.244
2004.08.08 03:46:50 64.110.74.244
2004.08.08 05:06:35 200.62.146.126
2004.08.08 06:21:56 211.190.16.2
2004.08.08 06:30:04 153.110.132.10
2004.08.08 08:16:32 210.3.7.150
2004.08.08 09:42:25 212.31.54.169
2004.08.09 19:07:30 202.125.129.138
2004.08.09 19:38:34 168.37.253.30
2004.08.09 20:20:54 148.244.150.53
2004.08.09 20:36:41 61.57.30.20
2004.08.09 23:09:19 217.17.18.17
2004.08.10 01:34:30 200.62.146.126
2004.08.10 01:52:51 217.17.18.17
2004.08.10 02:42:24 212.15.27.6
2004.08.10 02:51:23 203.129.224.118
2004.08.10 03:47:23 212.31.54.169
2004.08.10 04:20:19 212.15.27.6
2004.08.10 05:13:29 200.14.206.166
2004.08.10 05:40:44 200.14.206.166
2004.08.10 05:42:35 61.57.30.20
2004.08.10 05:43:48 200.75.44.204
2004.08.10 17:48:18 212.15.27.6
2004.08.10 18:21:35 211.239.74.36
2004.08.10 19:19:43 153.110.132.10
2004.08.10 20:27:46 200.68.61.170
2004.08.10 20:47:17 205.173.135.114
2004.08.10 22:32:12 211.239.74.36
2004.08.10 22:35:31 200.48.218.179
2004.08.10 23:41:39 153.110.132.10
2004.08.11 04:06:57 200.68.61.170
2004.08.11 05:49:46 200.57.151.145
2004.08.11 05:56:51 211.239.74.36
2004.08.11 06:31:12 217.17.18.17
2004.08.11 06:55:48 200.48.218.178
2004.08.11 07:24:23 200.48.218.178
MT-Blacklist comment denial: owns1.com. Detta måste vara samma person/företag som ligger bakom detta, som ovan. Det är samma mönster, olika ip-nummer (men samma ip-nummer som i fallet ovan) som försöker lägga in reklam för owns1.com.
2004.08.10 18:43:28 141.158.65.245
2004.08.10 20:11:05 153.110.132.10
2004.08.10 21:03:53 212.15.27.6
2004.08.10 23:44:57 200.48.218.179
2004.08.11 00:44:49 211.239.74.36
2004.08.11 00:55:34 217.17.18.17
2004.08.11 01:43:31 200.48.218.179
2004.08.11 07:26:51 200.57.151.145
2004.08.11 08:37:21 212.31.54.169
2004.08.11 12:17:17 200.57.151.145
2004.08.11 13:21:30 217.17.18.17
Här har någon försökt spamma bloggen ett par gånger per sekund. Någon form av programvara eller script måste ha använts. Väldigt snarlik IP-range som nedan.
2004.08.11 04:14:06 213.91.207.89
MT-Blacklist comment denial: soma.com
2004.08.11 04:14:06 213.91.207.89
MT-Blacklist comment denial: soma.com
2004.08.11 04:14:07 213.91.207.89
MT-Blacklist comment denial: soma.com
2004.08.11 04:14:07 213.91.207.89
MT-Blacklist comment denial: online-flexeril.com
2004.08.11 04:14:08 213.91.207.89
MT-Blacklist comment denial: top-skelaxin.com
2004.08.11 04:14:08 213.91.207.89
MT-Blacklist comment denial: i-wellbutrin.com
2004.08.11 04:14:11 213.91.207.89
MT-Blacklist comment denial: soma.com
2004.08.11 04:14:11 213.91.207.89
MT-Blacklist comment denial: one-propecia.com
2004.08.11 04:14:13 213.91.207.89
MT-Blacklist comment denial: e-fioricet.com
2004.08.12 19:28:59 213.91.207.89
MT-Blacklist comment denial: tredgf.com
2004.08.12 19:31:02 213.91.207.89
MT-Blacklist comment denial: tredgf.com
Här har någon med bara några sekunders mellanrum försökt att spamma bloggen från samma ip-nummer. Det måste finnas någon form av programvara framtaget för detta förfarande. För inte hinner ens den flinkaste tangentbordsartist hinna knappa in olika urlar inom loppet av någon sekund. Att det handlar om spam om pokersajter går inte att ta miste om.
2004.08.02 11:44:06 213.91.217.78
MT-Blacklist comment denial: free-texas-hold-em.biz
2004.08.02 11:44:08 213.91.217.78
MT-Blacklist comment denial: seven-card-stud.us
2004.08.02 11:44:08 213.91.217.78
MT-Blacklist comment denial: i-play-poker-online.us
2004.08.02 11:44:10 213.91.217.78
MT-Blacklist comment denial: free-texasholdem.us
2004.08.02 11:44:11 213.91.217.78
MT-Blacklist comment denial: free-texashold-em.us
2004.08.02 11:44:12 213.91.217.78
MT-Blacklist comment denial: play-texas-hold-em.us
2004.08.02 11:44:13 213.91.217.78
MT-Blacklist comment denial: play-texas-holdem.us
2004.08.02 11:44:14 213.91.217.78
MT-Blacklist comment denial: online-texasholdem.us
2004.08.02 11:44:15 213.91.217.78
MT-Blacklist comment denial: texasholdem-online.us
2004.08.02 11:44:16 213.91.217.78
MT-Blacklist comment denial: play-7-card-stud-poker.us
2004.08.02 11:44:17 213.91.217.78
MT-Blacklist comment denial: free-texas-holdem-poker.us
2004.08.02 11:44:18 213.91.217.78
MT-Blacklist comment denial: free-texas-hold-em.biz
2004.08.02 11:44:19 213.91.217.78
MT-Blacklist comment denial: i-play-poker-online.biz
2004.08.02 11:44:20 213.91.217.78
MT-Blacklist comment denial: seven-card-stud.biz
2004.08.02 11:44:21 213.91.217.78
MT-Blacklist comment denial: play-7-card-stud-poker.com
2004.08.02 11:44:22 213.91.217.78
MT-Blacklist comment denial: i-play-poker-online.com
2004.08.02 11:44:23 213.91.217.78
MT-Blacklist comment denial: i-texas-hold-em.info
2004.08.02 11:44:24 213.91.217.78
MT-Blacklist comment denial: i-texas-holdem.info
2004.08.02 11:44:25 213.91.217.78
MT-Blacklist comment denial: poker-texas-hold-em.info
2004.08.02 11:44:26 213.91.217.78
MT-Blacklist comment denial: poker-texas-hold-em.us
2004.08.02 11:44:27 213.91.217.78
MT-Blacklist comment denial: poker-texas-holdem.us
2004.08.02 11:44:28 213.91.217.78
MT-Blacklist comment denial: i-texas-holdem.us
2004.08.02 11:44:29 213.91.217.78
MT-Blacklist comment denial: i-texas-hold-em.us
2004.08.02 11:44:31 213.91.217.78
MT-Blacklist comment denial: i-texas-holdem.biz
2004.08.02 11:44:32 213.91.217.78
MT-Blacklist comment denial: i-texas-hold-em.biz
2004.08.02 11:44:34 213.91.217.78
MT-Blacklist comment denial: poker-texas-hold-em.biz
Alla ip-nummer ovan inom 213.91.128.0 - 213.91.255.255 kommer från Bulgarien.
Det finns många fler försök att spamma i loggen, men de som stoppats där visar jag inte för de listas med reguljära uttryck. Fast dessa kan spammarna å andra sidan kolla in själva på masterblacklistan. :) Hur som haver, dessa reguljära uttryck fångar in mycket skit på en gång. Hur ska man hantera detta fenomen? Spam via e-mail är i många länder förbjudet. Hur kategoriseras sådant här spam? Är det lagligt? Vem orkar sitta och göra formella abuseanmälningar?
Min teori om att det är samma inlägg som spammas stämmer. Alltså finns det en viss systematik i det hela. Det går att stänga av kommentarsfunktionen i just dessa inlägg, i alla fall i MT.
// Annica Tiger
Postat av Annica Tiger augusti 17, 2004 06:41 EM
Kommentarer
Jag såg att den pluggen fanns. ÖÄr den bra?
Jag ska dock börja med att stänga de inlägg jag har sett nu är de mest använda, det gäller c.a 20 stycken.
Annica
Postat av: Annica Tiger augusti 18, 2004 05:38 FM
Jag fick krupp och laddade hem en plugin till MT förenklar handhavandet av kommateringsfunktionen. Med hjälp av den kan man öppna eller stänga alla kommentarer som är äldre än ett visst antal dagar. Eftersom det är flest äldre inlägg som drabbas så har jag beslutat att stänga alla som är äldre än tre månader, även om det bär mig emot, för att slippa besväret som det innebär att ta hand om all spam. Om någon vill kommentera äldre inlägg får de mejla mig istället (denna information har jag dock inte lagt ut på sidan ännu).
Postat av: steffanie augusti 17, 2004 09:27 EM