« Biljetterna far upp i det blå | Startsidan | Dålig journalistik »

17 augusti 2004

Systematisk spamning

Blacklist är bra.
Det stoppar en hel del.
När jag kikar i loggarna så
börjar jag se ett mönster.

Någon har försökt att spamma bloggen med reklam för någon sida som heter greatnow.com, orkar inte ens kolla vad sidan handlar om. Men något som är intressant är tillvägagångssättet. Några försök per gång och från olika ip-nummer. Det tyder på någon form av systematisk hantering av spammandet. Det är ip-nummer från Peru, Turkiet, USA, Mexico och Norge. Jag tog bara några ip-nummer på måfå och kollade. Jag tror inte att exempelvis det norska företaget på något sätt är inblandad i denna hantering, förutom att någon simulerar deras ip-nummer eller tjuvkör via deras server. Jag är inte så tekniskt bevandrad att jag kan avgöra vilkendera det handlar om.

MT-Blacklist comment denial: greatnow.com.
2004.08.07 21:21:14 212.70.169.62
2004.08.07 22:58:11 202.196.101.241
2004.08.08 00:01:47 200.62.136.145
2004.08.08 00:08:11 216.157.225.36
2004.08.08 00:17:58 219.238.6.194
2004.08.08 00:38:24 200.34.1.91
2004.08.08 01:49:43 200.48.218.179
2004.08.08 03:38:51 64.110.74.244
2004.08.08 03:46:50 64.110.74.244
2004.08.08 05:06:35 200.62.146.126
2004.08.08 06:21:56 211.190.16.2
2004.08.08 06:30:04 153.110.132.10
2004.08.08 08:16:32 210.3.7.150
2004.08.08 09:42:25 212.31.54.169
2004.08.09 19:07:30 202.125.129.138
2004.08.09 19:38:34 168.37.253.30
2004.08.09 20:20:54 148.244.150.53
2004.08.09 20:36:41 61.57.30.20
2004.08.09 23:09:19 217.17.18.17
2004.08.10 01:34:30 200.62.146.126
2004.08.10 01:52:51 217.17.18.17
2004.08.10 02:42:24 212.15.27.6
2004.08.10 02:51:23 203.129.224.118
2004.08.10 03:47:23 212.31.54.169
2004.08.10 04:20:19 212.15.27.6
2004.08.10 05:13:29 200.14.206.166
2004.08.10 05:40:44 200.14.206.166
2004.08.10 05:42:35 61.57.30.20
2004.08.10 05:43:48 200.75.44.204
2004.08.10 17:48:18 212.15.27.6
2004.08.10 18:21:35 211.239.74.36
2004.08.10 19:19:43 153.110.132.10
2004.08.10 20:27:46 200.68.61.170
2004.08.10 20:47:17 205.173.135.114
2004.08.10 22:32:12 211.239.74.36
2004.08.10 22:35:31 200.48.218.179
2004.08.10 23:41:39 153.110.132.10
2004.08.11 04:06:57 200.68.61.170
2004.08.11 05:49:46 200.57.151.145
2004.08.11 05:56:51 211.239.74.36
2004.08.11 06:31:12 217.17.18.17
2004.08.11 06:55:48 200.48.218.178
2004.08.11 07:24:23 200.48.218.178

MT-Blacklist comment denial: owns1.com. Detta måste vara samma person/företag som ligger bakom detta, som ovan. Det är samma mönster, olika ip-nummer (men samma ip-nummer som i fallet ovan) som försöker lägga in reklam för owns1.com.

2004.08.10 18:43:28 141.158.65.245
2004.08.10 20:11:05 153.110.132.10
2004.08.10 21:03:53 212.15.27.6
2004.08.10 23:44:57 200.48.218.179
2004.08.11 00:44:49 211.239.74.36
2004.08.11 00:55:34 217.17.18.17
2004.08.11 01:43:31 200.48.218.179
2004.08.11 07:26:51 200.57.151.145
2004.08.11 08:37:21 212.31.54.169
2004.08.11 12:17:17 200.57.151.145
2004.08.11 13:21:30 217.17.18.17

Här har någon försökt spamma bloggen ett par gånger per sekund. Någon form av programvara eller script måste ha använts. Väldigt snarlik IP-range som nedan.

2004.08.11 04:14:06 213.91.207.89
MT-Blacklist comment denial: soma.com
2004.08.11 04:14:06 213.91.207.89
MT-Blacklist comment denial: soma.com
2004.08.11 04:14:07 213.91.207.89
MT-Blacklist comment denial: soma.com
2004.08.11 04:14:07 213.91.207.89
MT-Blacklist comment denial: online-flexeril.com
2004.08.11 04:14:08 213.91.207.89
MT-Blacklist comment denial: top-skelaxin.com
2004.08.11 04:14:08 213.91.207.89
MT-Blacklist comment denial: i-wellbutrin.com
2004.08.11 04:14:11 213.91.207.89
MT-Blacklist comment denial: soma.com
2004.08.11 04:14:11 213.91.207.89
MT-Blacklist comment denial: one-propecia.com
2004.08.11 04:14:13 213.91.207.89
MT-Blacklist comment denial: e-fioricet.com
2004.08.12 19:28:59 213.91.207.89
MT-Blacklist comment denial: tredgf.com
2004.08.12 19:31:02 213.91.207.89
MT-Blacklist comment denial: tredgf.com

Här har någon med bara några sekunders mellanrum försökt att spamma bloggen från samma ip-nummer. Det måste finnas någon form av programvara framtaget för detta förfarande. För inte hinner ens den flinkaste tangentbordsartist hinna knappa in olika urlar inom loppet av någon sekund. Att det handlar om spam om pokersajter går inte att ta miste om.

2004.08.02 11:44:06 213.91.217.78
MT-Blacklist comment denial: free-texas-hold-em.biz
2004.08.02 11:44:08 213.91.217.78
MT-Blacklist comment denial: seven-card-stud.us
2004.08.02 11:44:08 213.91.217.78
MT-Blacklist comment denial: i-play-poker-online.us
2004.08.02 11:44:10 213.91.217.78
MT-Blacklist comment denial: free-texasholdem.us
2004.08.02 11:44:11 213.91.217.78
MT-Blacklist comment denial: free-texashold-em.us
2004.08.02 11:44:12 213.91.217.78
MT-Blacklist comment denial: play-texas-hold-em.us
2004.08.02 11:44:13 213.91.217.78
MT-Blacklist comment denial: play-texas-holdem.us
2004.08.02 11:44:14 213.91.217.78
MT-Blacklist comment denial: online-texasholdem.us
2004.08.02 11:44:15 213.91.217.78
MT-Blacklist comment denial: texasholdem-online.us
2004.08.02 11:44:16 213.91.217.78
MT-Blacklist comment denial: play-7-card-stud-poker.us
2004.08.02 11:44:17 213.91.217.78
MT-Blacklist comment denial: free-texas-holdem-poker.us
2004.08.02 11:44:18 213.91.217.78
MT-Blacklist comment denial: free-texas-hold-em.biz
2004.08.02 11:44:19 213.91.217.78
MT-Blacklist comment denial: i-play-poker-online.biz
2004.08.02 11:44:20 213.91.217.78
MT-Blacklist comment denial: seven-card-stud.biz
2004.08.02 11:44:21 213.91.217.78
MT-Blacklist comment denial: play-7-card-stud-poker.com
2004.08.02 11:44:22 213.91.217.78
MT-Blacklist comment denial: i-play-poker-online.com
2004.08.02 11:44:23 213.91.217.78
MT-Blacklist comment denial: i-texas-hold-em.info
2004.08.02 11:44:24 213.91.217.78
MT-Blacklist comment denial: i-texas-holdem.info
2004.08.02 11:44:25 213.91.217.78
MT-Blacklist comment denial: poker-texas-hold-em.info
2004.08.02 11:44:26 213.91.217.78
MT-Blacklist comment denial: poker-texas-hold-em.us
2004.08.02 11:44:27 213.91.217.78
MT-Blacklist comment denial: poker-texas-holdem.us
2004.08.02 11:44:28 213.91.217.78
MT-Blacklist comment denial: i-texas-holdem.us
2004.08.02 11:44:29 213.91.217.78
MT-Blacklist comment denial: i-texas-hold-em.us
2004.08.02 11:44:31 213.91.217.78
MT-Blacklist comment denial: i-texas-holdem.biz
2004.08.02 11:44:32 213.91.217.78
MT-Blacklist comment denial: i-texas-hold-em.biz
2004.08.02 11:44:34 213.91.217.78
MT-Blacklist comment denial: poker-texas-hold-em.biz

Alla ip-nummer ovan inom 213.91.128.0 - 213.91.255.255 kommer från Bulgarien.

Det finns många fler försök att spamma i loggen, men de som stoppats där visar jag inte för de listas med reguljära uttryck. Fast dessa kan spammarna å andra sidan kolla in själva på masterblacklistan. :) Hur som haver, dessa reguljära uttryck fångar in mycket skit på en gång. Hur ska man hantera detta fenomen? Spam via e-mail är i många länder förbjudet. Hur kategoriseras sådant här spam? Är det lagligt? Vem orkar sitta och göra formella abuseanmälningar?

Min teori om att det är samma inlägg som spammas stämmer. Alltså finns det en viss systematik i det hela. Det går att stänga av kommentarsfunktionen i just dessa inlägg, i alla fall i MT.

// Annica Tiger

Annica Tiger augusti 17, 2004 6:41 EM