743 kommentarspam på én time
kommentarer Mandag 16. Juli 2007, kl. 04:14:15
Selv om sidene nå tydeligvis er «offer» for noen som liker å kommentarspamme er det ikke så farlig. Movable Type gjør en grei jobb med å stoppe de før de publisert og de blir derfor ikke vist til noen andre enn meg. Jeg er dog «lei» av å måtte rydde opp i databasen og litt snoking har vist meg at ~ 98% av disse ikke sender rett refererinformasjon.
Derfor har jeg gjort følgende endringer på sidene
- Skal du kommentere så må du sende refererinformasjon og den må være rett.
- Skal du kommentere så må du gå til kommentarkoden fra en av artiklene på disse sidene.
Det kan være jeg bruker dette som en midlertidig løsning frem til de groveste «angrepene» har sluttet, men fungerer det fremover så kan det også være jeg lar endringene ligge. Fra jeg begynte å skrive dette innlegget til nå, er 7 IP-Adresser fanget opp av systemet.
Slik har jeg gjort det.
Først har jeg skrevet en kodesnutt i PHP. Den ser ut omtrent som dette og gjør ikke så mye annet enn å oppdatere Movable Type sin database (denne koden fungerer kun mot MySQL og er altså ikke et ekte Movable Type hack). Dersom noen blir pekt til denne filen blir altså IP-Adressen lagt inn- eller oppdatert i Movable Type sin database over forbudte IP-Adresser.
Deretter har jeg lagt til noen små endringer i min .htaccess. Disse linjene ser ut omtrent som dette; men er selvfølgelig endret noe for ikke å peke mot rett filer på denne serveren og generere for mange falske positiver.
# Direct commentspammers: Die!
RewriteCond %{HTTP_REFERER} !^http://[foo.bar]/[arkivsidene]/$ [NC]
RewriteCond %{HTTP_REFERER} !^http://[foo.bar]/[comment.cgi]$ [NC]
RewriteRule ^[comment.cgi]$ [ipbanlist.php] [L]
Alt som står i [klammer] må selvfølgelig endres for å passe deg- og ditt dersom du velger å bruke et tilsvarende oppsett, men du bør nok tenke deg om to ganger etter som dette er relativt strengt, og kanskje ikke den beste løsningen. Disse linjene i .htaccess sjekker om referer er rett, og de godtar ikke en gang at referer ikke er satt- eller at den er tom. Dette er gjort med vilje etter som flerparten av spammerne ikke har satt den i det hele tatt.
Der oppe var 7 IP-Adresser fanget, og nå har oppsettet fanget 5 til. Jeg har ikke sjekket for «falske positive» enda, men jeg regner med at jeg får høre det dersom du har hatt noe relevant å si.
Kommentarer og trackbacks
Kommentarer
Av Cavey, #c478
Nesten alle spam-forsøk hos meg bruker desverre riktig referer. Når de begynner å bli litt vel husvarme hos meg, pleier jeg å rename scriptfilen.
743 på en time var jo ekstremt! Tør ikke tenke på hvor mye du har på en hel dag… Håper du vinner spamkrigen! Og at denne posten kommer igjennom med «RefControl»-firefox-addonen min :)
Av Kyrre Baker, #c479
Ja. Dette er (var) helt ekstremt. Jeg pleier å ha typisk én eller to i døgnet, men nå ble det litt i overkant mye. Løsningen jeg beskriver over har dog fungert over all forventning.
Av Kyrre Baker, #c480
En aldri så liten «oppdatering». Alt i alt har dette «hacket» nå loggført- og sperret 33 ip-adresser, og antallet spam er nå normalisert igjen. Jeg skriver litt videre på saken og gjør at ip-adressene blir fjernet fra systemet etter en uke, men etter som det er såpass vellykket så lar jeg det ligge og bruker det nok i fremtiden også.
Legg til en kommentar
Trackback URL: http://kyrrebaker.com/mt/tb.r5454109.cgi/328
Alle kommentarer og tilbaketråkk kan bli moderert før visning. Send derfor skjemaet kun en gang. Du kan bruke Textile når du skriver. Enkel HTML er også greit for formatering. Dersom du aldri ser posten din er det en grunn til dette, og poster du anonymt vil kommentaren uten unntak bli slettet.