Die Memoiren des Josh K. Phisher

Jetzt wieder mit Gratis-Kommentaren!

Eine kleine Spamanalyse

Posted by princo - 23.09.2006


Hier, wie angekündigt, eine kleine Auswertung des Kommentarspams der letzten 15 Tage.

Sämtlicher Spam wurde zwar dank Akismet abgefangen, trotzdem lohnt es sich, einen genaueren Blick darauf zu werfen.

Gleich die erste Auswertung (welche Artikel werden bespammt) brachte eine Überraschung:

artikel.pngDas Spamming konzentriert sich auf gerade mal vier Artikel in diesem Blog. Davon werden zwei besonders stark bespammt.

Interessant ist, daß diese beiden Artikel auch die exakt gleiche Anzahl (137) von Spams erhalten haben. Die Grünfärbung bedeutet, daß es sich um Trackback-Spam handelt. Es wurden im Schnitt jeweils 15 Spams/Tag auf diese beiden Artikel abgesetzt. Die Einlieferung erfolgte gleichmäßig über den ganzen Tag hinweg. Der Spam hatte gleichartigen Inhalt
Die beiden anderen Artikel wurden mit normalen Kommentarspam bedacht (Blau dargestellt). Der Spam hatte gleichartigen Inhalt.

Es scheint keinerlei „Erfolgskontrolle“ stattzufinden, die Einlieferung findet statt, obwohl vorhergehende Einlieferungen erfolglos waren.

Ich habe jetzt mal vorübergehend die Trackbacks für die Artikel „ESC 2006 Semifinale: Lordi Video“ und „Auf gar keinen Fall dieses Video ansehen!“ abgeschaltet.

Für den Severina-Artikel habe ich sowohl die Kommentar-, als auch die Trackback-Funktion gesperrt.

Beim Artikel „Man kann es sich auch schwer machen“ sind derzeit nur noch Trackbacks möglich.

Das Ganze beobachte ich jetzt mal 14 Tage lang, der Spam müsste jetzt erheblich weniger werden (derzeitiger Stand 1.309). Es sei denn, die Spammer konzentrieren sich auf andere Artikel 😦

Bei der Auswertung der einliefernden IP-Adressen gab es folgendes Ergebnis:

  1. Über die Adresse 66.230.167.245 kommt konstant Spam rein.
  2. Weitere Kandidaten sind
    203.113.13.3-5
    85.255.118.203-205
    85.255.118.130
    85.255.118.132
    Bemerkenswert daran ist, daß es sich dabei offensichtlich nicht um DialUps handelt.
  3. Der Rest kam wahrscheinlich über ein Bot-Netz rein (ich habe das nicht weiter geprüft).

Leider kann ich diese Adressen nicht sperren, da sich Akismet bereits vorher bemerkbar macht 😦

Interessant auch ein Blick auf die verwendeten Mail-Adressen. Anders als von Mail-Spam gewohnt, werden Adressen nicht unbedingt wild durcheinander gewürfelt.

So wurde die Adresse main(at)yandex.com 11 mal im Beobachtungszeitraum verwendet.
Die Adresse aalsk(at)gmail.com acht mal.
Die Adresse 928dkdl(at)gmail.com sieben mal.
Andere Adressen wurde bis zu viermal verwendet.

Lustig wird es bei den verwendeten Namen:
cialis, furosemide, phentermine, lesbian, tadalafil, tramadol, valium, viagra, vicodin, xanax
werden ausschließlich im Klartext verwendet. Im Gegensatz zum Mailspam fehlen die üblichen Wortverschleierungen wie V1a@6ra völlig. Es gibt für Viagra übrigens 1.300.925.111.156.286.160.896 verschiedene Schreibweisen.

Vorsichtiges Fazit:
Mein Blog wird wahrscheinlich nur von einer, maximal zwei Personen(gruppen) zugespammt. Dafür werden sowohl Bot-Netze, als auch dedizierte Server verwendet. Der simple Aufbau der Spameinträge stellt an ein Filtersystem derzeit keine hohen Anforderungen.

Erweitertes Fazit:
Momentan funktioniert Akismet ganz gut, aber wenn sich die Kommentar-Spammer der gleichen Techniken bedienen, wie die Mail-Spammer, wird es mit reiner Filtertechnik sehr schwer werden. Besonders, weil Kommentare und Trackbacks von wirklich jeder Adresse aus kommen können. Anders als bei Mails kann man sich nicht auf die Verifikation eines Smarthosts verlassen.
Es steht leider zu befürchten, daß Kommentarspam in Zukunft ein noch viel größeres Problem werden wird. So kann man mit einem einzigen erfolgreichen Eintrag u.U. viel mehr Leute erreichen, als mit einer Mail.

Advertisements

3 Antworten to “Eine kleine Spamanalyse”

  1. Bei dieser Art von Werbekommentaren geht es nicht darum, möglichst viele Leser direkt zu erreichen. Die Kommentare sollen gar nicht von Menschen gelesen werden, sondern von Maschinen. Suchmaschinenoptimierung nennt man sowas in Spämmerkreisen.

  2. princo said

    Das mag auch wirklich die Absicht sein, doch werden hier Links in den Kommentaren automatisch um rel=“nofollow“ ergänzt (was ich nicht beeinflussen kann, das ist bei allen wordpress.com Blogs der Fall).

    Daher würde SEO-Spam doch gar keine Wirkung entfalten können, selbst wenn er mal durchkäme.

  3. 2.594

    Zweitausendfünfhundertvierundneunzig (2.594) Spamkommentare und Spam-Trackbacks hat Aksimet bis heute aus meinem Blog seit meinem Software-Update vom 4. August herausgefiltert. Das sind pro Tag mehr als 32 Spam-Einträge.
    Dazu kommen noch eine Hand vo…

Sorry, the comment form is closed at this time.

 
%d Bloggern gefällt das: