SpamBot bei Microsoft Corp ?

[RolfH]

Hello Supporters,

folgende Situation: Ich bekomme auf meinem Board (z. Zt. 2.0.21 ohne Captcha, Freischaltung durch den Admin) diverse Registrierungen durch SpamBots, zuletzt jetzt

Benutzername: viagra-kaufen
E-Mail: pharmacy-online@arcor.de
Wohnort: viagra kaufen viagra bestellen
Website: Edit: Spam URL entfernt by Dr.Death
Beruf: viagra ohne rezept viagra rezeptfrei
Interessen: viagra kaufen viagra bestellen viagra rezeptfrei kaufen

Unmittelbar nach dieser Registrierung kontrollierte ich im ACP den Online-Status und fand 19 fast gleichlautende Einträge mit derselben Uhrzeit und IP wie folgt

Gast 17.02.2007, 21:03 17.02.2007, 21:03 Foren durchsuchen 65.55.212.113

Offenbar durchsuchte ein Bot das Board, ohne weiteren Zugang zu finden (die Foren sind sichtbar, aber erst nach Freischaltung lesbar). Wahrscheinlich aber hat sich der Bot im gleichen Arbeitsgang als "viagra-kaufen" registriert.

Mit http://whois.sc/65.55.212.113 lande ich bei

livebot-65-55-212-113.search.live.com
OrgName: Microsoft Corp
OrgID: MSFT
Country: US
NetRange: 65.52.0.0 - 65.55.255.255

Meine Fragen: Wer oder was ist dieser livebot-65-55-212-113 und wie kann es sein, daß der zu Microsoft Corp gehört? Macht es Sinn, genau diese IP-Adresse zu sperren?

Besten Dank fürs Zulesen, aber vielleicht interessiert das andere ja auch...

Rolf

[cYbercOsmOnauT]

Hallo Rolf,

ich überlege gerade wie ich es am Einfachsten schreiben kann, ohne das es zu technisch und unverständlich wird.

Jeder Webzugriff ist normalerweise eine beidseitige Kommunikation. Dein PC fragt etwas an.. schickt im Datenpakt (im Kopf) mit wer das Paket (mit der Anfrage) bekommen soll und woher das Paket kommt. Damit der Server dann auch wieder weiß, wem er zu antworten hat.

Das ist der normale Weg.

Nun will jemand spammen. Er will einfach nur posten. Die Antwort, sprich die Ausgabe "Dein Posting wurde gespeichert blabla" oder irgendwelche möglichen Fehlermeldungen interessieren ihn gar nicht ausserdem will er seine Herkunft verschleiern. Der Spammer geht nun daher und "verbiegt" seinen Datenheader. Er tut so, als wenn die Pakete von Microsoft kämen. Dein Server antwortet dann auch zu Microsoft, die dann dieses Antwortpaket als "nicht bestellt" ignorieren.

Der Spammer sieht also gar nicht, ob sein Posting überhaupt gesetzt wurde. Das ist für Dich auch nicht relevant.

Hoffe das war verständlich und simpel genug erklärt. Die genaue Erklärung würde hier den Rahmen um ein mehrfaches sprengen.

Viele Grüße,
Tekin

[RolfH]

Lieber Tekin,

vielen Dank für deine Erläuterungen, die mir grundsätzlich klar sind. Meine Fragen waren aber darüber hinaus praktischer Natur:

Gibt es diesen livebot-65-55-212-113 tatsächlich mit fixer IP und macht es Sinn, genau diese IP-Adresse zu sperren? Hatte jemand genau den auch schon? Ist der beschriebene Viagra-Spammer mit diesem "livebot" (was ist das?) identisch? Und schließlich: Microsoft Corp ist doch keine Telefongesellschaft, die öffentlich IP-Adressen vergibt, oder doch?

Fragen über Fragen, die sich mir hoffentlich noch erhellen...

@ Dr. Death
Ich hielt die Angabe der URL für notwendig, um ein Nachvollziehen des Vorgangs zu ermöglichen. Selbstverständlich bin ich mit ihrer Löschung völlig einverstanden, wenn sie zur Aufklärung nichts beiträgt.

Mit Dank und besten Grüßen
Rolf

[cYbercOsmOnauT]

Lieber Tekin,

vielen Dank für deine Erläuterungen, die mir grundsätzlich klar sind. Meine Fragen waren aber darüber hinaus praktischer Natur:

Gibt es diesen livebot-65-55-212-113 tatsächlich mit fixer IP und macht es Sinn, genau diese IP-Adresse zu sperren? Hatte jemand genau den auch schon? Ist der beschriebene Viagra-Spammer mit diesem "livebot" (was ist das?) identisch? Und schließlich: Microsoft Corp ist doch keine Telefongesellschaft, die öffentlich IP-Adressen vergibt, oder doch?

Deine Frage zeigt mir leider eher, dass Du meine Erklärung nicht wirklich verstanden hast.

Microsoft vergibt keine IP-Adressen. Du musst Dir diesen Vorgang in etwa vorstellen wie ungewünschte Werbepost auf dem ein falscher Absender steht. Nur weil auf dem Brief steht "Heinz Erhardt aus Köln" heisst es noch lange nicht, dass auch Heinz der wahre Absender ist. Nun verstanden?

Bei solchen Attacken ist die Sperrung der IP sinnlos, weil sie jederzeit geändert werden kann. Wichtiger wäre eher die Sperrung von bestimmten Wörtern wie viagra udgl. Der normale Badwordfilter von phpBB lässt ja nur zu, dass solche Wörter ersetzt werden. Ich habe ein kleines Snippet entwickelt, mit dem man auch Wörter dort eingeben kann, die komplett verboten sind und wo Postings in denen diese Wörter vorkommen geblockt werden.

Wenn Interesse besteht, kann ich gerne dieses Snippet hier auf phpbb.de zur öffentlichen Verfügung stellen.

Grüße,
Tekin

[hackepeter13]

Hello Supporters,

folgende Situation: Ich bekomme auf meinem Board (z. Zt. 2.0.21 ohne Captcha, Freischaltung durch den Admin) diverse Registrierungen durch SpamBots, ...

Wie wäre es aber auch mal mit einem Update auf 2.0.22 und das Captcha aktivieren.

Gibt es diesen livebot-65-55-212-113 tatsächlich mit fixer IP und macht es Sinn, genau diese IP-Adresse zu sperren? Hatte jemand genau den auch schon? Ist der beschriebene Viagra-Spammer mit diesem "livebot" (was ist das?) identisch? Und schließlich: Microsoft Corp ist doch keine Telefongesellschaft, die öffentlich IP-Adressen vergibt, oder doch?

Livebot von MSN klingt eigentlich nach einem Bot von der MSN-Suchmaschine -> www.live.com