Hallo liebe Ayomer

ich habe ein gewaltiges Problem mit einem meiner Gästebücher:

http://www.clubbing25.ch/index.php?p=guestbook&area=1

wie kann ich solche Einträge verhindern ??

Habe die IP 24 Stunden gesperrt, hat mir aber leidern keinen Erfolg gebracht....
Weiss jemand weiter, bin am verzweifeln. Habe den Hostingaccount bei Novatrend und dort habe die AWStats zur auswertung, kann jedoch keinen Besucher oder Bot identifizieren.

Kann mir jemand helfen......

Der FAQ-Artikel dazu:
http://www.ayom.com/faq/seltsame-eintraege...buch-a-231.html

Entweder ganze Netzblöcke aussperren (mit der Annahme, dass die Gästebuch-Spammer aus ausländischen Netzen kommen und von dort keine Besucher kommen) oder die Nutzer einen Code, der in einer Grafik auf der Seite angezeigt wird, eintippen lassen (siehe http://www.ayom.com/topic-7340.html ).

Und wo sind diese Netzblöcke ersichtlich ?

Ich habe dieses Thread gestern Abend schon gelesen. Doch bei Novatrend habe ich nur AWStats und dort weiss ich nicht genau auf was ich auchten und schauen muss.....

Hast du mir vielleicht einen kleinen Tip oder kann man diese Adressen auch anderst herausfinden ?

Eine IP besteht aus 4 Blöcken.

Wenn nun der Kandidat einmal mit der IP 192.168.1.5, dann mit 192.168.1.48 und das nächte mal mit 192.168.1.235 kommt, kann es Sinn machen, das Netz 192.168.1.* zu sperren.

@ Ansgar Berhorn:

Danke dir, das habe ich auch alles verstanden und ist mir bekannt. Doch wenn z.B. ein Gästebucheintrag um 23.53 stattfand, finde ich keine Adresse, die um diese Zeit zugegriffen hat.
Und wo soll ich bei AWStats suchen ? Letzte Besucher, letzte Spider oder was ?

Ciao Remo,

In deinem Fall hilft nur eine gründlich Analyse der Logfiles. Darin kannst du die jeweils vom Spammer benutzte IP Adresse herausholen. Anschliessend mit Traceroute (oder im DOS-Fenster mit "tracert" schauen woher der Spammer kommt. Mit grosser Wahrscheinlichkeit wirst du auf dem vorletzten Hop auf seinen Provider stossen.

Dann auf die Website des Providers gehen und nach der E-Mail Adresse suchen und dann dem Provider eine Message senden, in der du den Fall erklärst.

Falls du Glück hast, dann wird der Provider aktiv und das Spammen hört auf.
Ich hatte einmal einen ähnlichen Fall (siehe hier:#60023)

Viel Glück auf der Jagd
René

Könntest du mir ev. erklären wo ich die Server Log Files finde, oder wo sie üblich zu finden sind ?

Was für einen Server hast du? Unde welchen HTTPD? Oder bist du bei einem Hoster?

ich habe einen Webhosting Account bei Novatrend

OK.

Habe die Server Log Files gefunden.....

z.B. habe ich am 18. Dezember 2005 um genau 05:37 einen solchen Spam Eintrag und in den Logfiles ist um diese Zeit folgendes eingetragen

Kann mir jemand sagen wie das zu intepretieren ist ? Das sind ja 3 IP Adressen ?

Ja.
Die IPs kommen aus verschienen Ecken der USA (überpüft mit dnsstuff.com / Whois).
"Post" beim zweiten bedeutet, dass das ein Sende-Vorgang ist. In den anderen beiden Fällen wurde eine Seite angefordert.


Ich geh den ersten Eintrag mal durch:
- 68.112.83.117
ist die IP des Anfragers.

- [18/Dec/2005:05:37:33 +0100]
Zeitpunkt

-"GET /index.php?p=guestbook&area=1 HTTP/1.1"
Anfragender (GET) hat über das Protokoll (HTTP/1.1) die Adresse "/index.php?p=guestbook&area=1" angefragt.

-200
Status ok (weil 200).

-29702
Bytes die ausgeliefert wurden.

-"http://clubbing25.ch"
Die Domain?

-"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
Gelieferte Browserkennung.

Jetzt habe ich ein Durcheinander

3 IP Adressen und nur einen Eintrag ? Wie geht das ?

So wie das aussieht kamen die Einträge koordiniert von unterschiedlichen Adressen.
Vermutlich steckt jemand dahinter, der gekaperte/gehackte Rechner (Spambots) dazu nutzt, die Einträge zu machen.

Durch IP-Blocken kommt man da nicht hinterher. Entweder man ist schnell genug im manuellen Säubern oder erschwert es den Spammern irgendwie genug, dass die das Interesse verlieren.
Vermutlich reicht schon wie Metaman erwähnte, kein Standard-Skript zu verwenden oder eines so zu verwenden, dass es nicht mehr als Standard-Gästebuch zu erkennen ist.

Über Google finde ich 880 Einträge, wo die gleiche Schnittstelle in Gästebüchern verwendet wird:
http://www.google.de/search?hl=de&q=inurl%...3Fp%3Dguestbook

Für ein vollzuspammendes Gästebuch lohnt sich solche eine Attacke mit verschiedenen IPs nicht, für 880 schon.

Vermutlich ist der Krieg schon zur Hälfte gewonnen, wenn es nicht "index.php?p=guestbook", sondern "index.php?p=Tante-Petunia" heisst.
Skripten ist es egal wie sie angeredet werden. ;-)

Da habt ihr ja noch gross gearbeitet gestern Nacht.
Die Analyse und der Kommentar von Ansgar sind 1. Klasse!

Wenn du es mit Zombies und Spambots zu tun hast, dann nützt auch ein Mail an den (die) Provider nichts. Aber Ansgar hat ja den Lösungsansatz schon skizziert, nämlich das Gästebuchskript eben nicht Gästebuch sondern Tante_Emma_Laden nennen (oder noch besser ein Wort aus einem Dialekt so à la Chuchichäschtli). Das findet kein Spambot und im Menü auf der Seite kannst du es ja immer noch Gästebuch nennen.

Cheers, René

Hi

Viele der bekannten Gästebuch Scripte haben jetzt auch eine Verifizierung, sodass beim erstellen eines Beitrags eine Grafik mit einer Nummer oder einem Wort gezeigt wird, welches man dann abtippen muss. So wird verhindert, dass dies automatisch eingetragen wird.

Leider habe ich auf clubbing25.ch nicht gesehen, welches Gästebuch Script du verwendest, aber ich würde mal auf der Seite des Entwicklers nachschauen...

cu
Lexus

PS: Bei Novatrend kann man das Access Logfile doch ganz einfach im Kontrollpanel herunterladen, oder hast du ein anderes Logfile benötigt?