Grad mal eben wieder ein wenig im Feedreader aufgeräumt. Was soll ich denn auch mit “Technik”-Blogs anfangen, die einfach nur Pressemitteilungen aus openPR und pressebox per Copy&Paste verteilen?! Wenn ich Pressemitteilungen lesen will, dann schau ich mir die direkt dort an aber müll mir damit garantiert nicht den Feedreader zu. Dabei sah das Blog mal vielversprechend aus. Weg damit…

Popularity: 1% [?]

Dieses Bild bot sich mir eben auf meinem Dashboard. Und ich stelle fest: in nicht mal ansatzweise 1001 Nächten (und zugehörigen Tagen) hat sich hier eine ganze Menge an Beiträgen und Kommentaren angesammelt. Und natürlich auch massig Spam, der aber durch die Bank weg schon das Zeitliche gesegnet hat.

Trotz allem: In nicht mal einem Jahr (der 1. Geburtstag ist erst am 7.2.) waren hier eine ganze Menge Leute schon recht fleißig. Ich mit meinen 500 Beiträgen (dieser hier ist Nummer 501) und Ihr mit Euren Kommentaren. Nett, gefällt mir.

Nun, das reicht für heute, weitere Zahlenspiele gibt es frühestens zum 1. Jahrestag. Es sei denn, bis dahin ergibt sich eine weitere runde Zahl. Allerdings glaub ich nicht daran…

Popularity: 1% [?]

Ich habe gerade mit Erstaunen festgestellt, wie viele Links noch auf meine “alte” Domain verweisen. Stammleser werden sich erinnern: Mein Blog lief lange Zeit auf meinem PC hier zu Hause und war nur unter einer DynDNS-URL erreichbar: tagg.selfip.com.

Ich hatte zwar kurz nach dem Start meines neuen Blogs (Kennt eigentlich jemand hier noch mein altes? Das startete immerhin 2002!) die nun verwendete Domain registriert, aber aus den unterschiedlichsten Gründen den Umzug dorthin immer wieder aufgeschoben. In der Zwischenzeit landete mein Blog dann schon auf diversen Blogrolls und wurde aufgrund einiger Artikel auch recht gut verlinkt. Den Durchbruch gab es dann, als ich meine Variation des Fresh Themes veröffentlichte. Und wie ich soeben bei Technorati feststellte: Nach wie vor verweisen immer noch 432 Links von 222 Blogs auf meine alte URL! Wow! Zum Vergleich: Auf www.xsized.de verweisen aktuell 337 Links von 184 Blogs.

Neugierig geworden war ich einfach nur, weil nach wie vor eine ganze Menge Besucher von der alten URL aus auf mein Blog geleitet werden. Beobachte das täglich in meinen Statistiken und deshalb musste ich jetzt einfach mal nachschauen.

Jetzt könnte ich mir natürlich die Mühe machen und alle Blogger, die meine alte URL in der Blogroll haben, auf meine aktuelle Adresse hinweisen. Aber erstens käme ich mir da vor wie ein dummer Spammer und zweitens ist mir das auch zu viel Aufwand für solch eine Nebensächlichkeit. Aber vielleicht liest ja der eine oder andere diesen Beitrag und passt dann doch mal irgendwann seine Blogroll an. Und wenn nicht: Halb so wild, dafür hab ich ja die Weiterleitung eingerichtet.

Popularity: 1% [?]

Gestern haben wir bemerkt, dass einer unserer Webserver mehr als träge auf Anfragen reagierte und zum Teil nicht mehr antwortete. Eine Analyse der Logs zeigte mir irgendwann: der Server wurde mit tausenden von Anfragen auf mein altes Weblog bombardiert. Es handelte sich dabei um HTTP-POSTs auf die Dateien wp-comments-post.php und wp-trackback.php.
Mein altes Blog habe ich irgendwann einmal umgestellt, Kommentare, sofern noch welche ankamen, landeten in der Moderationsschleife. Und diese war gestern abend ca. 260.000 Einträge groß!

Da ein Restart des Serverdienstes nur für ca. 2min Entspannung brachte, habe ich weiter analysiert. Die Anfragen kamen von extrem vielen unterschiedlichen IP-Adressen, insofern kam eine Sperrung dieser Adressen nicht in Frage. Deshalb hab ich es zunächst leicht angesäuert mit einer kleinen Gemeinheit versucht und Anfragen auf die beiden Dateien in der .htaccess per 301-Redirect auf den Host 127.0.0.1 umgeleitet. Ergebnis: Keins. Des Spam-Tool schickt offenbar seine POSTs ab, ohne sich um eine Antwort zu kümmern. Wurde der HTTP-Request abgeschickt, war es das, das Tool interessiert sich nicht dafür, ob und wie der Webserver darauf antwortet. Demzufolge brachte auch eine Umbenennung der beiden Dateien garnichts. Die Anfragen kamen weiterhin zu tausenden hinein und blockierten den Server.

Letzten Endes half dann nur noch eine einzige Maßnahme: Wir haben auf der Firewall einen Filter eingerichtet, der für die URL meines alten Blogs Zugriffe auf wp-comments-post.php und wp-trackback.php blockiert. Seitdem herrscht Ruhe, zumindest hinter der Firewall.

Diese Maßnahme konnte ich ergreifen, weil mir reichlich egal ist, ob in dem alten Blog noch Kommentare und Trackbacks eingehen. Es ist einfach nur noch da, aber nicht mehr wirklich aktiv. Für aktive Blogs ist diese Maßnahme so nicht denkbar, Kommentare oder Trackbacks wären nicht mehr möglich. Hier hilft dann nur ein etwas tieferer Eingriff: die Dateien wp-comments-post.php und wp-trackback.php müssen umbenannt werden und Aufrufe dieser beiden Dateien im WordPress-Code entsprechend angepasst werden. Wenn ich etwas Zeit habe, werde ich diese Anpassungen vornehmen und die geänderten Dateien dann hier zum Download anbieten. Dann dürfte zumindest für einige Zeit Ruhe sein – bis die Spammer ihre Tools entsprechend angepasst haben.

Für mich handelt es sich hier um eine vollkommen neue Qualität von Kommentarspam, in diesem Umfang hab ich es bisher noch nie erlebt und damit stehe ich nicht allein da. In der Größenordnung, wie hier dem Server die Requests um die Ohren gehauen werden – da wird wohl so ziemlich jedes System über kurz oder lang das Handtuch werfen. Den Spammern ist das vollkommen egal, es interessiert sie nicht, ob die Zieldateien überhaupt vorhanden sind oder ob es Umleitung gibt etc., ihre Bot-Netzwerke ballern die HTTP-Requests einfach hinaus und fertig. Es ist den Spammern auch vollkommen egal, ob die Einträge überhaupt in irgendeiner Form auf den betroffenen Blogs auftauchen. Bei der Masse, die hier ins Netz geblasen wird, wird sicher das eine oder andere “tote” System dabei sein, welches die zigtausend Einträge einfach veröffentlicht und somit die gewünschten Backlinks produziert. Insofern scheint mir im Augenblick die oben beschriebene Maßnahme der einzig gangbare Weg zu sein, um die Webserver zu entlasten und diesen Spam wirkungsvoll zu filtern.

Sollte dieser Trend so anhalten, dann ist es für mich ohnehin auch nur noch eine Frage der Zeit bis die ersten Provider beginnen, Requests auf diese Dateien zu filtern, um ihre Server zu schützen.

Popularity: 2% [?]