everflux

Auf einer Webseite habe ich einen crawler von ayell.org gesichtet. Der Ayell  Bot wird wohl dazu da sein, die Ayell Suchmaschine mit Daten zu befüllen. Die Qualität der Ayell Suchmaschine ist dabei jedoch in meinen Augen absolut unbrauchbar – selbst gemessen an opensource suchmaschinen von Enthusiasten.

Ayell Euronet Crawler

Ein Blick hinter die Kulissen – wer hat ayell.org registriert, und was kann man daraus für mögliche Rückschlüsse ziehen? Weiterlesen »

Fast-Flux Botnets sind derzeit angesagt: Um Viagra, „Günstige Software“ und andere Artikel über Spam zu bewerben muss auch ein „Onlineshop“ irgendwo gehostet werden.
Damit den Spam Versendern nicht der Webserver abgeschaltet wird, oder unter der Last zusammenbricht, bedienen sich immer mehr Spam-Betreiber bei Botnetzen. So werden sogar auf privaten Rechnern hinter DSL Accounts die Inhalte gehostet: Ein „passive Botnet“. Weiterlesen »

Ein neuer Bot wühlt sich durch das Blog – er identifiziert sich als

"WIRE/0.20 (Linux; x86_64; Tiqqer Webcrawler Project (klaus(dot)greff(at)fraunhofer(dot)itwm(dot)de))"

und kam dabei von der IP 131.246.191.181 – sie gehört in der Tat zum Institut Techno- und Wirtschaftsmathematik des Frauenhofer Instituts Kaiserslautern, wie es die E-Mail Adresse andeutet. Weiterlesen »

Eine IP hats in den letzten Tagen auf sich: 209.85.238.11 – kein reverse DNS Eintrag, deswegen kann er in den Statistiken auch nicht mit irgendwas assoziiert oder zusammengefaßt werden.

Doch wer mag dahinter stecken? Ein Crawler? Ein Blick in die Zugriffslogs gibt natürlich etwas Aufschluß:

209.85.238.11 – – [17/Nov/2008:12:45:49 +0100] „GET /feed/ HTTP/1.1“ 200 4856 „-“ „Feedfetcher-Google; (+http://www.google.com/feedfetcher.html;

Auch eine Google Suche nach der entsprechenden IP erweckt den Anschein, dass darüber Google sucht („your ip: 209.85.238.11“ in den Suchergebnissen ist recht eindeutig). Letzte Sicherheit schafft dann eine Abfrage wem das zugehörige Subnetz zugeteilt ist:

NetRange:   209.85.128.0 – 209.85.255.255
CIDR:       209.85.128.0/17
NetName:    GOOGLE

Schade, dass Google hier nicht entsprechend der eigenen Hinweise handelt, die zum Verifizieren des Google Bots dienen. Und allem Anschein nach, ist es zum einen nicht nur der Feedfetcher – zum anderen, warum sollte das einen Unterschied machen?

Ach ich glaub ich mail da mal hin.

Wer hinter 194.116.229.5, 194.116.229.6, 194.116.229.7 einfach nur Zahlen vermutet, hat damit nicht unrecht. Dabei handelt es sich um IP Adressen von Suhan Consulting, einem Provider in Kiev.

Das besondere: von diesen IPs hagelt es Blog-Spam, E-Mail Harvesting und was man sich noch an bösen Dingen vorstellen kann. Und zwar so viel, dass ich eine Abuse E-Mail geschrieben habe.

Reaktion? Statt nur der 194.116.229.6 gesellten sich weitere IPs dazu. Vielleicht wird es langsam Zeit umzudenken und IP Bereiche zu whitelisten, die man zuläßt, statt einzelne (Bereiche) zu sperren.

In regelmäßigen Abständen ging die Load eines Servers durch die Decke – völlig unerklärlich. Bis ich dem WebAlta Crawler genannten Bot auf die Schliche kam:

85.17.173.7 – – [08/Jun/2008:12:09:35 +0200] „GET seite.html HTTP/1.1“ 200 42207 „-“ „WebAlta Crawler/1.3.34 (http://www.webalta.net/ru/about_webmaster.html) (Windows; U; Windows NT 5.1; ru-RU)“ 0 host

Weiterlesen »