Gestern haben wir bemerkt, dass einer unserer Webserver mehr als träge auf Anfragen reagierte und zum Teil nicht mehr antwortete. Eine Analyse der Logs zeigte mir irgendwann: der Server wurde mit tausenden von Anfragen auf mein altes Weblog bombardiert. Es handelte sich dabei um HTTP-POSTs auf die Dateien wp-comments-post.php und wp-trackback.php.
Mein altes Blog habe ich irgendwann einmal umgestellt, Kommentare, sofern noch welche ankamen, landeten in der Moderationsschleife. Und diese war gestern abend ca. 260.000 Einträge groß!

Da ein Restart des Serverdienstes nur für ca. 2min Entspannung brachte, habe ich weiter analysiert. Die Anfragen kamen von extrem vielen unterschiedlichen IP-Adressen, insofern kam eine Sperrung dieser Adressen nicht in Frage. Deshalb hab ich es zunächst leicht angesäuert mit einer kleinen Gemeinheit versucht und Anfragen auf die beiden Dateien in der .htaccess per 301-Redirect auf den Host 127.0.0.1 umgeleitet. Ergebnis: Keins. Des Spam-Tool schickt offenbar seine POSTs ab, ohne sich um eine Antwort zu kümmern. Wurde der HTTP-Request abgeschickt, war es das, das Tool interessiert sich nicht dafür, ob und wie der Webserver darauf antwortet. Demzufolge brachte auch eine Umbenennung der beiden Dateien garnichts. Die Anfragen kamen weiterhin zu tausenden hinein und blockierten den Server.

Letzten Endes half dann nur noch eine einzige Maßnahme: Wir haben auf der Firewall einen Filter eingerichtet, der für die URL meines alten Blogs Zugriffe auf wp-comments-post.php und wp-trackback.php blockiert. Seitdem herrscht Ruhe, zumindest hinter der Firewall.

Diese Maßnahme konnte ich ergreifen, weil mir reichlich egal ist, ob in dem alten Blog noch Kommentare und Trackbacks eingehen. Es ist einfach nur noch da, aber nicht mehr wirklich aktiv. Für aktive Blogs ist diese Maßnahme so nicht denkbar, Kommentare oder Trackbacks wären nicht mehr möglich. Hier hilft dann nur ein etwas tieferer Eingriff: die Dateien wp-comments-post.php und wp-trackback.php müssen umbenannt werden und Aufrufe dieser beiden Dateien im WordPress-Code entsprechend angepasst werden. Wenn ich etwas Zeit habe, werde ich diese Anpassungen vornehmen und die geänderten Dateien dann hier zum Download anbieten. Dann dürfte zumindest für einige Zeit Ruhe sein – bis die Spammer ihre Tools entsprechend angepasst haben.

Für mich handelt es sich hier um eine vollkommen neue Qualität von Kommentarspam, in diesem Umfang hab ich es bisher noch nie erlebt und damit stehe ich nicht allein da. In der Größenordnung, wie hier dem Server die Requests um die Ohren gehauen werden – da wird wohl so ziemlich jedes System über kurz oder lang das Handtuch werfen. Den Spammern ist das vollkommen egal, es interessiert sie nicht, ob die Zieldateien überhaupt vorhanden sind oder ob es Umleitung gibt etc., ihre Bot-Netzwerke ballern die HTTP-Requests einfach hinaus und fertig. Es ist den Spammern auch vollkommen egal, ob die Einträge überhaupt in irgendeiner Form auf den betroffenen Blogs auftauchen. Bei der Masse, die hier ins Netz geblasen wird, wird sicher das eine oder andere „tote“ System dabei sein, welches die zigtausend Einträge einfach veröffentlicht und somit die gewünschten Backlinks produziert. Insofern scheint mir im Augenblick die oben beschriebene Maßnahme der einzig gangbare Weg zu sein, um die Webserver zu entlasten und diesen Spam wirkungsvoll zu filtern.

Sollte dieser Trend so anhalten, dann ist es für mich ohnehin auch nur noch eine Frage der Zeit bis die ersten Provider beginnen, Requests auf diese Dateien zu filtern, um ihre Server zu schützen.

Aus meiner Mailbox:

Hallo …

Wir von (firmenname) betreiben mit der (linkIRGENDWAS) schon seit 2004 deutschsprachiges Social Bookmarking auf höchstem Niveau – und das kostenlos: (link zu linkIRGENDWAS)

In der (linkIRGENDWAS) können Sie Ihre Bookmarks taggen und/oder kategorisieren – ganz nach Belieben. Außerdem haben Sie als Mitglied eine eigene Linkliste, die sie individuell gestalten können. Diese kann man über eine Subdomain erreichen kann. Beispiel: (schon wieder ein Link)

Eine Suchmaschine, die alle Bookmarks der (linkIRGENDWAS) durchsucht hilft Ihnen, Ihre eigenen Bookmarks wieder zu finden oder auch andere interessante Websites zu entdecken. Ganz im Stile des Web 2.0 können Sie Ihre Suchen personalisieren, indem Sie Ergebnisse nach Wunsch selbst sortieren. Ein Suchkorb bietet Ihnen die Möglichkeit, ausgewählte Ergebnisse zwischenzuspeichern.

Wir, das (linkIRGENDWAS)-Team würden uns freuen, wenn Sie sich in der (linkIRGENDWAS) umschauen. Registrieren können Sie sich kostenlos unter (linkIRGENDWAS)

Wenn Ihnen gefällt, was Sie sehen, unterstützen Sie uns doch bitte, indem Sie uns in Ihrem Blog erwähnen. Suchen Sie sich dazu bitte einen Banner aus unserer Auswahl unter (noch ein Link) aus und/oder schreiben Sie einen Artikel über die (linkIRGENDWAS).

Falls Sie Fragen dazu haben, können Sie diese mir gerne stellen. Entweder als Antwort auf diese E-Mail oder telefonisch unter (eine Telefonnummer)

Ahja, Ihr erlaubt mir also, für Euch Werbung zu machen, indem Ihr mir Banner zur Auswahl bereitstellt?! Das ist doch mal etwas frisches nach den ganzen Verlinkungsverboten. Und schreiben darf ich auch über Euch? Bitte, hiermit passiert.

Sorry, aber ich mag es nicht wenn sich jemand so reißerisch anpreist und zudem missfällt es mir einfach, wenn jemand von kostenloser Registrierung und kostenlosem Dienst spricht und dann auf seiner Seite kostenpflichtige Premiumdienste anbietet. Und soooo toll ist (linkIRGENDWAS) nun auch nicht, dass ich es unter „höchstes Niveau“ einordnen würde…

Wie bereits erwähnt: Man mag mich gern für zickig halten. Aber SO eine Selbstbeweiräucherung wie diese Mail wird mich sicher nicht dazu bewegen, lobende Worte für solch einen Anbieter zu finden. Da muss man sich schon mehr einfallen lassen.

Heute morgen hab ich erst einmal dafür gesorgt, dass die Blacklist von SORBS aus unserem Antispam-Gateway verschwindet. Hab mich schon seit Tagen gewundert, warum ich hier im Office keine Mails von CERT und Cisco mehr bekommen habe, konnte aber nichts feststellen. Was daran lag, dass unsere Antispam-Gateway alles von dort rejected hatte. Ohne Meldung darüber, dass es das getan hat.

Darauf aufmerksam wurde ich, weil ich gestern von einem Kunden aus keine Mails über Gmail Google Mail hier ins Office senden konnte. Kamen zurück mit der Meldung „This system is configured to reject mail from xxx.xxx.xxx.xxx. Connecting host [xxx.xxx.xxx.xxx] is listed by the lookup site ‚problems.dnsbl.sorbs.net.‘.“ Heut morgen dann die Feststellung: SORBS blacklistet unter anderem Cisco, CERT, Google, SUN, Sourceforge… Nee, so geht es nicht, so eine Blacklist ist für unseren Bedarf „ein klein wenig“ zu restriktiv. Zumal der Kollege ohnehin noch 3 andere Dienste konfiguriert hatte. Da kann man auf den einen gern verzichten.

Und plötzlich bekomme ich auch wieder Mails von anderen, die schon seit einiger Zeit vergeblich versucht hatten mich zu erreichen.

Dieses Wort schoss mir eben spontan durch den Kopf, als ich den Nachtrag zu diesem Blogbeitrag gelesen habe.

Geniale Idee! 😀 *ichmussmalebenfixwaserledigen*