everflux

Wieder einmal mußte ich feststellen, dass es „da draußen“ ziemlich asoziale Bot(betreiber) gibt. Heute hat id-search.org einen meiner Server ziemlich in die Knie gezwungen, um ein PhpBB Forum abzusaugen.
Dabei kamen bis zu zehn Anfragen pro Sekunde auf dem Server runter – robots.txt wurde „natürlich“ total ignoriert.
500 MB (reines HTML!) wurde auf diese Weise in kürzester Zeit abgesaugt.
Immerhin hat sich der bot identifiziert. Ich empfehle anderen möglicherweise Betroffenen den IP Block 74.52.0.0/15 und  66.90.64.0/18 zu sperrren. Der User-Agent ist
Mozilla/5.0 (compatible; IDBot/1.0; +http://www.id-search.org/bot.html

Man möchte garnicht wissen, wie es nach Version 1.0 mit dem Ding weiter geht.

Um dem Aufkommen von SPAM endlich machtvoll gegenüber zu treten hatte ich Greylisting als Heiligen Gral eingeordnet, hatte es mich doch in den letzten Monaten unglaublich gut vor den ganzen Spam – äh – Verbraucherinformationsmails geschützt.
Die Idee dabei ist ziemlich simpel: Die meisten Spammer verwenden Botnetze um ihren Müll abzukippen. Klappt die Zustellung einer Mail nicht, so wird in der Regel auch abgebrochen.
Und wenn es nochmal versucht wird, dann von einem anderen gehackten Rechner des Botnet, aber in der Regel nicht nochmal von dem selben Spam-Droid, da dafür eine Menge Daten gespeichert und verwaltet werden müssen, was die mögliche Spam-Menge doch stark eingrenzt.
Doch seit einigen Tagen läuft bei mir relativ viel Pump-and-Dump Aktienspam bzw. Stockspam auf. Ein Blick in die Header sieht dann meistens so aus:

Delivered-To: [email protected]
X-Greylist: delayed 600 seconds by postgrey-1.27 at keltix; Thu, 31 May 2007 12:59:23 CEST
Received: from mail.detalita.lt (mail.detalita.lt [195.14.166.35])
	by keltix.sforce.org (Postfix) with SMTP id 8D65FA30A1
	for <[email protected]>; Thu, 31 May 2007 12:59:23 +0200 (CEST)
Received: from [159.119.156.127] (helo=vpczo)
	by mail.detalita.lt with smtp (Exim 4.62 (FreeBSD))
	id 1IiQ6-H9; Thu, 31 May 2007 14:02:18 +0300
Message-ID: <002f0$7f9c779f@vpczo>

Auffällig dabei ist, dass das delay in der Regel bei 600 Sekunden liegt – mindestens ein Botnet ist also mit einem anti-greylisting ausgestattet.
Offenbar haben viele 10 Minuten eingestellt und am default Wert auch nichts geändert, und das macht sich so ein Spammer zu Nutze.
Jetzt könnte ich natürlich anfangen mit dem delay zu experimentieren – jedoch wird dann die Erstzustellung einer E-Mail ganz schön verzögert, 10 Minuten als Minimum finde ich ja noch tragbar. Darüber hinaus… puh.

Die Monokultur ist weiterhin der beste Angriffsvektor für Parasiten und Schädlinge.

Seit einigen Tagen rollt eine der größten Spam-Lawinen die ich seit langem gesehen habe. Neben dem üblichen pump-and-dump Aktienspam ist jedoch etwas dabei, was mich hellhörig macht.
Es geht um laester-check.com – als Absender habe ich www.immeraktuell.com und ein Mädchen erklärt mir ausführlich wie schlimm das doch mit dem Lästern ist. Das einzige was gegen die Lästerei hilft – ganz klar – ist das Läster Check Tool für ICQ.
Jeder halbwegs mit Hirn ausgestattete Mensch wird sofort merken, daß das Tool eigentlich garnicht funktionieren kann, denn angeblich bekomme ich meinen Download-Link wenn ich per ICQ das Tool an einen Haufen weiterer User empfohlen habe. Dabei wird suggeriert die Macher könnten ICQ Nachrichten lesen und auf die Empfehlung hin überprüfen.
Wie auch it guerilla in seinem Blogeintrag schreibt, kann das Tool entweder garnicht funktionieren, oder ist ein Trojaner der ICQ Nachrichten an die laester-check Jungs übermittelt. Zwecks oeberprüfung.

Der einzige Sinn kann eigentlich nur in den beiden Punkten bestehen den Usern Software unterzujubeln ( -> Trojaner zum Spammen und co) und verifizierte ICQ Nummern zu sammeln. (Möge der Spam im ICQ Netzwerk nie versiegen)

Hier noch der Spamtext für alle die mitlesen wollen:

Hey ...  :)  

Schau mal was ich hier witziges gefunden habe:

www.laester-check.com

Ist super klasse und funktioniert auf alle möglichen Begriffe. Bin schon den ganzen tag am rumprobieren 
 :)  Es ist echt so krass wie manche Leute über uns abziehen  :(  aber jetzt weiß ich auch, von wem das alles kommt und das wird ein Ende haben.

Musst du echt mal testen und mir mal bescheid geben ob es auch bei dir funktioniert. :P musste allerdings den Link an 16 weiter schicken ... oder ich hab mich verzählt ... hmmm 

Okay dann bis demnächst und meld dich mal.

Ciao Steffi


Wenn Sie sich abmelden möchten benutzen Sie bitte folgenden Link: http://www.immeraktuell.com/u?id=suckr oder senden Sie eine leere E-Mail an den Empfänger: [email protected]

Vermutlich genauso oft, wie sich Menschen den Kopf zerbrechen, wie sie ihre Webseite bei Google möglichst gut platzieren, stellt sich manchen die Frage: Verdammt, wie kriege ich diese Daten bei Google wieder raus?
Vor allem wenn es um persönliche Informationen geht, kann es da schon manchmal richtig stressig werden.
Besonders ärgerlich: Selbst wenn man den Seitenbetreiber erreicht hat, oder sonstwie veranlassen konnte, daß die unerwünschten Inhalte auf der eigentlichen Seite verschwunden sind, hat Google diese manchmal noch Wochen oder Monate lang in den Suchergebnissen oder gar im Google-Cache.

Genau in dieser Sitution kann aber nun Abhilfe geschaffen werden. Wenn die ursprünglichen Webseiten entfernt worden sind (also ein 404 oder 410 Fehler gemeldet wird, bzw. die Seiten per robots.txt nun gesperrt sind) kann auch jemand anderes als der Webseitenbetreiber bei Google um die Entfernung aus der Google Suchmaschine bitten: Dazu geht man auf das Webpage removal tool von Google und loggt sich dort mit einem Google Account ein. Anschließen kann man die URLs für Google markieren. Google prüft dann natürlich ob die Seiten wirklich auch vom Webmaster gelöscht wurden, ehe die Daten aus Google entfernt werden, sonst könnte ja jeder andere Seiten kicken. Sicherlich nicht im Sinne des Erfinders.

Der Kölner Joyes hat die Namen seiner Aktionspizzen geändert. Grund war wohl die Beschwerde einiger Kunden, die sich aufgrund ihres Glaubens beleidigt fühlten.
Problematisch dabei: Bei einer telefonischen Bestellung ruft der Telefon-Agent bei Joeys in den Hintergrund: Ey wie hieß denn die Kalkutta vorher, ich hab noch die alten Namen im System.
Gut, daß der Master-Agent die Namen noch weiß.
War ja klar, daß bei so einem Hinweis die Bestellung entsprechend getestet werden mußte.

Original Text:
Achtung: Geänderte Pizza-Namen!
Liebe Joye’s Kunden,
wir haben die Namen unserer Aktionspizzen auf unserer Internetseite kurzfristig geändert. Zunächst waren sie nach indischen Gottheiten benannt.
Die Pizza mit pikanter Redcurry-Kokossauce heißt nun Kalkuatta, mit köstlicher Erdnusssauce verwöhnt Sie die Pizza Madras und fruchtiges Mango-Chutney bietet die Pizza Bangalore.
Joey’s Pizza bittet um Enthschudligung, sollten wir jemanden in seinen seinen religiösen Gefühlen verletzt haben.
Ihr Joye’s Team.

Und was ist mit Tippfehlern? Da entschuldigt sich natürlich keiner für.

Wer kennt das nicht, gerade PDF Dateien werden schnell richtig groß, E-Mails blähen binär-attachments sowieso um ca. ein drittel auf.
Da macht sich das Packen von Anhängen richtig bezahlt. Doch generiert man sein PDF z.B. mit OpenOffice dann ist das packen jedoch ein extra Arbeitsschritt. Extra Arbeitsschritte tendieren dazu wegrationalisiert zu werden.
Also werden dann doch unnötig große Dateien durch die Gegend geschickt. Damit macht die Thunderbird Erweiterung Autozip jetzt schluß.
Einfach definieren was gezippt werden soll und ohne Zutun wird automatisch Speicherplatz und natürlich Zeit gespart.

Wer ebenfalls ein Nokia N95 in der „Sand“ farbigen Ausführung hat, und sich informieren möchte, ob ein Softwareupdate verfügbar ist, ohne das Gerät zu öffenen und den Akku zu etnehmen, der kann diesen Nokia N95 product code verwenden: 0534841
Weitere Product Codes sind wohl:
0536062, 0536074, 0534852 für die verschiedenen Farben und Sprachen. Der Gerätetyp des Nokia N95 ist übrigens RM-159.

Aufgrund der ganzen Kinderkrankheiten, die ich bereits selber an dem Gerät feststellen konnte, habe ich heute den Nokia Kundendienst kontaktiert. Es kann einfach nicht sein, dass das Gerät einfriert weil ich ein Gespräch beende. (Und sich dann lediglich über Akku-raus-Akku-rein wieder booten läßt).

Ich denke ich werde noch des öfteren nach Software Updates für das Nokia N95 suchen müssen.

oebrigens, wer ein Nokia Branding N95  kann hier auch ggf. über das „ndern des N95 product code das Branding entfernen. Alles natürlich auf eigene Gefahr – man kann durch das „ndern des Product-Code ggf. sein Nokia N95 zerstören!

Normalerweise beteillige ich mich ja nicht an den Allüren, die irgendwelche Stars haben. Bei Atze sind die Quoten aber offenbar so gestaltet, daß er etwas Aufsehen braucht.
Dabei gibt es Atze Schröder ja garnicht – er ist eine Kunstfigur, verkörpert durch einen Schauspieler, der sich „Komiker“ oder so als Berufsbezeichnung genommen hat, und in Emdsetten eine Kneipe betreibt.
Vermutlich konnte er das übliche Theken-Geseier nicht mehr aushalten, und hat sich quasi als Psychotherapie und zum Verarbeiten des Geprolles Atze Schröder einfallen lassen. Psychohygiene eben.
Nun gibt es aber Streß. Der echte Name solle nicht mehr genannt werden dürfen – offenbar findet hier die Migration zu einer neuen Persönlichkeit statt. (Ich würde ja nie annehmen, es geht hier nur um die profane Kohle, nein ich vermute tiefere Beweggründe)
Nach einigen Abmahnungen und Klagen gegen Zeitungen ist jetzt die Wikimedia drann. Mal wieder. Seit dem Tron-Vorfall ist ja auch schon fast zu lange her.

Manche Menschen haben damals schon gelernt, daß es durch solche Maßnahmen bestimmt nicht ruhiger wird – aber eben nicht alle. Ich kenne zwar den „echten Namen“ von Atze Schröder nicht, aber ich bin sicher, daß der Markeninhaber der Wortmarke „Atze Schröder“, Hubertus Albers aus Emsdetten, kennt den sicher. Vielleicht hätte Hubertus gut daran getan Atze dahingehend zu beraten, nicht noch mehr rumzuprollen, denn das hier ist keine TV-Show.

Ich bin ein Spammer. Nein, natürlich nicht – aber es sieht zumindest so aus.
Seit gestern kommen etwa 50-100 Bounce-Mails und „Verification needed“ mails an, da jemand meine Domain als Absender für Viagra-Spam verwendet.
Eine komische Woche ist das.

Es gibt im Netz echt üble Genossen.
Dazu gehört z.B. spidermich.de… eine Stunde hat 80.86.83.49 über 2mbit traffik verursacht und dabei webseiten vom Server abgesaugt.
Natürlich geht es nur darum Google-Werbung an den Mann zu bringen. Von sowas wie guter Nachbarschaft hält man dabei nicht viel, denn sonst würde man sich an die etablierten Robot-Guidelines halten. (robots.txt beachten, nicht mehr als ein Request pro (virtual)Host pro Sekunde)
Bereits einer dieser Sorte führt zu massiven Problemen, da niemand es sich leisten möchte, seine Infrastruktur entsprechend zu dimensionieren um gefräßige Robots füttern zu können. Man stelle sich vor, es gäbe noch mehr Menschen die „haste mal nen Euro google-werbung-spamseiten“ bots loslassen…
Besonders frappierend: Auf der Seite kann man auch ohne Google Werbung buchen. Während des Buchungsvorganges wird einem die eigene IP angezeigt und gedroht: „Bei Mißbrauch erfolgt Anzeige!“. Aha.
Natürlich fehlt im Impressum eine Telefonnummer – „Support nur per E-mail“. Das OLG Köln ist der Auffassung, daß eine Telefonnummer eine erforderliche Angabe gemäß geltender Gesetze.
Aber wer erwartet schon, daß sich ein solcher Anbieter gesetzeskonform verhalten würde?
Nicht, dass der Betreiber nicht auch andere Seiten hätten, wo er in der Lage ist eine Telefonnummer anzugeben. So finden sich SEO Projekte, Reiseprojekte und ein Gold&Diamantenversand „direkt vom Hersteller“ mit dem selben Inhaber laut Impressum. Wenn man da nicht vertrauensvoll bestellen kann – wo dann…

Update: Heute Nachmittag kam es zu einem zweiten großen „Zugriff“ – diesmal von der IP 81.88.40.161, bei Kontent gehostet. Vermutlich handelt es sich hier um den selben Bot, zumindest legen dies die Art der Zugriffe sehr nahe. Langsam muß man über andere Maßnahmen nachdenken.

Update: Ersterer Server ist wohl ein shared Server – der Provider (ein ein-mann-reseller, mediamv) hat eben angerufen und sich gefreut. Denn mr. spidermich.de hat sich heute morgen schon beschwert, warum alles so langsam ist, und der ganze Server ist wohl seit einer Woche nicht so fit – was auch andere Kunden betrifft. Kein Wunder. Da werden bestimmt noch andere Seiten abgesaugt…