Seit einigen Tagen beobachte ich hier vermehrt Scans meines Blogs von den IP-Adressen 208.66.195.2 und 208.66.195.8, gelegentlich auch von 208.66.195.5 aus. An und für sich nichts ungewöhnliches, allein die Ausdauer und die Anzahl der Zugriffe machten mich ein wenig stutzig. Von den beiden ersten Adressen aus erfolgten jeweils täglich bis zu 800 Zugriffe, mindestens jedoch 500 über den ganzen Tag verteilt. Grund für mich, dieser Sache mal ein wenig auf den Grund zu gehen.

Langwierige Recherchen waren auch gar nicht nötig, ARIN spuckte aus, wem diese Adressen gehören: einer Digital Infinity Ltd mit Sitz in Moskau. Mit diesen Informationen bewaffnet war nun auch recht zügig herauszufinden, was es mit diesen Scans auf sich hat und was dahinter steckt: Psycheclone – ein Bot, der Webseiten nach Mailadressen durchsucht. Aha!

Mein erster Gedanke war: den füttere ich mit Müll bis zum überlaufen. Der 2. Gedanke: Klasse, dann blockiert mir dieses Mistteil hier nur noch mehr den Server und klaut Performance. Also bleibt nur eine Möglichkeit: aussperren. Da davon auszugehen ist, dass ein solcher Bot sich ganz sicher nicht an irgendwelche Einträge in der robots.txt hält und unter Garantie alles ignoriert was irgendwie geeignet sein könnte, ihn auf „friedliche“ Art und Weise auszusperren, bleibt nur der harte Weg über die .htaccess.

Wie sich zeigt, scannt Psycheclone nicht nur von den 3 mir aufgefallenen Adressen aus, sondern nutzt offenbar diese 9 Adressen:

208.66.195.2
208.66.195.3
208.66.195.4
208.66.195.5
208.66.195.7
208.66.195.8
208.66.195.9
208.66.195.10
208.66.195.11
Da ich zu faul bin, diese Adressen alle einzeln zu sperren, blockiere ich ab sofort das komplette C-Netz 208.66.195.0. Die Wahrscheinlichkeit, dass sich aus diesem Netzbereich ein echter Besucher zu mir verirrt stufe ich als derart gering ein, dass es mir schlicht und ergreifend egal ist, wenn ich diesen im Fall der Fälle damit auch blockiere. Demzufolge habe ich nun meine .htaccess wie folgt ergänzt:

<limit GET POST>
order allow,deny
allow from all
deny from 208.66.195.0/24
</limit>

Damit sind nun sämtliche Zugriffe aus diesem Netz blockiert. Natürlich hätte ich an dieser Stelle auch einen redirect einbauen können, der sämtliche Zugriffe aus diesem Netz auf eine dynamische Seite leitet, die zufällige Zeichenkombinationen auswirft, die wie EMail-Adressen aussehen. Damit könnte ich die Datenbanken der Spammer gepflegt mit Schrott vollmüllen, was sicherlich eine Menge Spaß bereiten würde. Aber wie oben bereits geschrieben: Das blockiert unnötig meinen Server und klaut Bandbreite. Nix da, gibt es hier nicht. Eventuell werde ich dieses Spielchen spielen, wenn ich auf meinen richtigen Server umgezogen bin und dort genügend Kapazitäten frei sind. Vorerst sperre ich den Bot schlicht und ergreifend aus.