Knapp 48 Stunden

Nach nicht ganz zwei Tagen schlagen hier die ersten Spammer ein. Alle 20 Minuten an die 10 Spams. Je Spam-Kommentar eine e-Mail von WordPress. Neue e-Mails werden mit einem Piepsen von meinem Server signalisiert. So wie der Disconnect-Ton in McMail, falls das noch jemand kennt. Wer es nicht kennt: $ beep -f 800 -l 50 -n -f 400 -l 50 -n -f 200 -l 50. Außerdem gibt es eine SMS auf mein Horch-Otto. An Schlaf ist also nicht mehr zu denken.

Eine Analyse meiner Logs zeigt, dass die Spammer

  • Erst die Artikelseite laden und dann den Kommentar absenden. Interessanterweise von zwei verschiedenen IPs.
  • Nur Quark posten: kein sinnvoller Text, sämtliche URLs und e-Mail Adressen enthalten nicht-existente Domains.

Meine Schlussfolgerungen daraus:

  • Auch Comment-Spammer benutzen Bot-Netze oder IP-Farmen. Ich vermute ersteres, die IPs waren zu stark verteilt. Die Zombie-Rechner kommunizieren miteinander. Von einem kam der GET Request von einem anderen die POST.
  • Alle Methoden die auf versteckten Feldern in Formularen beruhen, fallen damit weg. Auch das Umbenennen der wp-comments.php macht wenig Sinn.
  • Man könnte prüfen, ob GET und POST von der gleichen IP kommen. Ziemlich viel Aufwand für mich, ziemlich wenig Aufwand für Spammer, diese Prüfung zu bestehen
  • Sinnvoll wäre eine Prüfung auf existente Domain-Namen in e-Mailadresse und URLs. Andererseits: Wegwerfdomains kosten nichts und sie können für jedes Blog recycled werden (Surbl könnte helfen).
  • Mein DOS-Script kann ich einpacken, wenn keine greifbare URL von den Spammern gepostet wird :-/

Meine Schlussfolgerung: man kann einen Automatismus nur begrenzt mit einem anderen aushebeln. Spam-Blocker für Kommentare basieren auf einer gewollten Inkompatibilität der Schnittstelle. Einzig Captcha-Plugins greifen an der Mensch/Maschine-Schnittstelle ein und sind damit eine wirksame und derzeit dauerhafte Waffe.

Ich habe den WP AuthImage Hack installiert. Mir ist bewusst, das ich blinde und sehbehinderte Menschen vom Kommentieren ausschließe. Ich kann dieser Zielgruppe derzeit nur anbieten Kommentare per Mail abzugeben.

Eine Antwort auf „Knapp 48 Stunden“

  1. Notfalls könntest du ja noch die „Nurtext- Variante“ vom Captcha einsetzen, falls die bei dir funktioniert (was bei mir irgendwie aber nicht der Fall ist, da stimmt angeblich das einkopierte jeweils nicht überein).

Kommentare sind geschlossen.