WWW-Spamfallen und der Suchbegriff "Gaestebuch"
Florian L. Klein
Nachdem schon wieder die Pornodialermafia an Adressen spammt, die am
04.03.2003 um 21:48:00 Uhr CET seitens 172.178.109.189 (== AOL-Dialup)
von meinem Site geerntet wurden, habe ich einen Zusammenhang gefunden,
der dem Spammer evtl. zum Verhängnis wird:
Der Harvester hat gemäß Referrer auf Google nach dem festen Begriff
"Gästebuch" sowie einem weiteren Begriff gesucht, der offenbar aus einem
alphabetisch sortierten Wörterbuch stammt. Die Harvestings dauern
insgesamt recht lange und liegen zeitlich um etliche Tage auseinander.
Geharvestet wird immer noch regelmäßig, mit steigender Tendenz.
Historie der AOL-IP-Adressen (alle Uhrzeiten CEST):
172.189.145.79: 09.07.2003 08:18:36 - 09:32:07
172.180.169.71: 08.07.2003 21:17:52
172.177.70.174: 06.07.2003 19:02:32 - 19:02:39
172.182.194.48: 02.07.2003 15:31:31 - 16:13:17
172.182.121.2: 02.07.2003 11:59:00 - 11:59:01
172.177.209.27: 25.06.2003 21:10:18 - 22:05:45
172.181.99.107: 23.06.2003 19:51:16
172.183.207.31: 16.06.2003 19:16:37 - 19:33:52
172.181.254.210: 11.06.2003 13:49:43
172.178.109.189: 04.03.2003 21:48:00 (CET)
--- Spam an sich
From canez...@rima-tde.net Wed Jul 9 17:02:13 2003
Return-Path: <canez...@rima-tde.net>
X-Original-To: [Spamtrap]
Received: from rima-tde.net (252.Red-217-127-136.pooles.rima-tde.net [217.127.136.252])
by mail.docsnyder.de (Postfix) with SMTP id 91ECC41A
for <[Spamtrap]>; Wed, 9 Jul 2003 17:02:05 +0200 (CEST)
From: "NeuesXvonXmir" <canez...@rima-tde.net>
To: "fXrXmeinXSchatz" <[Spamtrap]>
Subject: HabeXneueXHompage...
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_004C_01A36B75.A1AC1467"
Message-Id: <20_________...@mail.docsnyder.de>
Date: Wed, 9 Jul 2003 17:02:05 +0200 (CEST)
Content-Length: 1098
Lines: 11
This is a multi-part message in MIME format.
------=_NextPart_000_004C_01A36B75.A1AC1467
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
[dekodiert]
Hey, hier ist Candy!
Endlich ist sie fertig,meine neue Hompage.
Ich habe sie extra=20nach deinen Ideen gemacht.
Ist echt geil gewurden.Der Tip mit der Live-cam war spitze.
Und du darfst sie unter dem Link: Candy...@freenet.de [1]
als erster unverbindlich testen,bevor ich die Seite ins Netz stelle.
Ich warte auf dich...
[/]
------=_NextPart_000_004C_01A36B75.A1AC1467--
Der Link [1] zeigt tatsächlich auf
http://script9977.tripod.com.ar/candy.txt?sid=x
---
--- Adresse des hier genannten Spams:
$ decode_teergrube.pl [Spamtrap]
172.178.109.189
--- WWW-Logfiles (Zeilen im Original nicht umgebrochen):
172.178.109.189 - - [04/Mar/2003:21:48:00 +0100]
"GET /spl/forum/diverting/freight/\xc3\xbcberwuchernder HTTP/1.1"
200 34196 "http://www.google.de/search?num=100&hl=de&ie=UTF-8&oe=UTF-8
&as_qdr=m3&q=G%C3%A4stebuch+Jux&as_qdr=m3&btnG=Google-Suche
&meta=lr%3Dlang_dehttp://www.google.de/search?q=G%C3%A4stebuch+Jux
&num=100&hl=de&lr=lang_de&ie=UTF-8&oe=UTF-8&as_qdr=m3&start=500
&sa=N" "Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt)"
---
Man sieht am Referrer die Google-Suchbegriffe "Gästebuch" und "Jux".
Am 07.07.2003 hat derselbe Vollpatient Adressen bespammt, die von
172.177.70.174 geerntet wurden:
--- decode_teergrube.pl [Spamtrap1] [Spamtrap2]
172.177.70.174
172.177.70.174
---
--- WWW-Logfiles:
172.177.70.174 - - [06/Jul/2003:19:02:32 +0200]
"GET /spl/forum/vererbender/spezifischerem HTTP/1.1" 200 27731
"http://www.caloweb.de/html/search_result.php3?q=G%E4stebuch+emsig
&n=100&lr=lang_de&nes=0&hnes=0&s=1000"
"Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt)"
172.177.70.174 - - [06/Jul/2003:19:02:39 +0200]
"GET /spl/forum/geb\xfcrstetes/hineinzusteckende HTTP/1.1" 200 25766
"http://www.caloweb.de/html/search_result.php3?q=G%E4stebuch+emsig
&n=100&lr=lang_de&nes=0&hnes=0&s=1000"
"Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt)"
---
Diesmal nicht Google, sondern Caloweb.de. Suchbegriffe "Gästebuch" und
"emsig".
Weitere Harvests mit "Gästebuch+irgendwas":
---
217.68.180.23 - - [02/Mar/2003:22:25:01 +0100]
"GET /spl/forum/excitedly/replaying/zur\xc3\xbcckgerechnet HTTP/1.1"
200 36439 "http://www.google.de/search?q=G%C3%A4stebuch+raufen&num=100
&hl=de&lr=lang_de&ie=UTF-8&oe=UTF-8&as_qdr=m3&start=500&sa=N"
"Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt)"
172.178.109.189 - - [04/Mar/2003:21:48:00 +0100]
"GET /spl/forum/diverting/freight/\xc3\xbcberwuchernder HTTP/1.1"
200 34196 "http://www.google.de/search?num=100&hl=de&ie=UTF-8
&oe=UTF-8&as_qdr=m3&q=G%C3%A4stebuch+Jux&as_qdr=m3&btnG=Google-Suche
&meta=lr%3Dlang_dehttp://www.google.de/search?q=G%C3%A4stebuch+Jux
&num=100&hl=de&lr=lang_de&ie=UTF-8&oe=UTF-8&as_qdr=m3&start=500
&sa=N" "Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt)"
217.68.180.23 - - [07/Mar/2003:08:13:10 +0100]
"GET /spl/forum/diverting/freight/\xc3\xbcberwuchernder HTTP/1.1"
200 34203 "http://www.google.de/search?q=G%C3%A4stebuch+eckball
&num=100&hl=de&lr=lang_de&ie=UTF-8&oe=UTF-8&as_qdr=m3&start=300
&sa=N" "Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt)"
217.68.180.63 - - [15/Mar/2003:18:33:18 +0100]
"GET /spl/forum/w\xc3\xa4ssrigste HTTP/1.1" 200 39123
"http://www.google.de/search?num=100&hl=de&ie=UTF-8&oe=UTF-8&as_qdr=m3
&q=G%C3%A4stebuch+kanalschacht&as_qdr=m3&meta=lr%3Dlang_de"
"Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt)"
217.68.180.63 - - [16/Mar/2003:16:46:18 +0100]
"GET /spl/forum/gem\xc3\xa4ht/berichtetet/berlinisch HTTP/1.1"
200 39586 "http://www.google.de/search?q=G%C3%A4stebuch+karat&num=100
&hl=de&lr=lang_de&ie=UTF-8&oe=UTF-8&as_qdr=m3&start=500&sa=N"
"Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt)"
217.68.180.63 - - [18/Mar/2003:22:43:04 +0100]
"GET /spl/forum/kreidewei\xc3\x9fer/Zeitungsh\xc3\xa4ndlern/bespickender HTTP/1.1"
200 37653 "http://www.google.de/search?q=G%C3%A4stebuch+kavallerie
&num=100&hl=de&lr=&ie=UTF-8&oe=UTF-8&as_qdr=m3&start=200&sa=N"
"Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt)"
217.68.180.63 - - [21/Mar/2003:07:03:33 +0100]
"GET /spl/forum/gem\xc3\xa4ht/berichtetet/berlinisch HTTP/1.1"
200 39721 "http://www.google.de/search?num=100&hl=de&ie=UTF-8
&oe=UTF-8&as_qdr=m3&q=G%C3%A4stebuch+kennerin&as_qdr=m3&meta="
"Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt)"
217.225.185.188 - - [27/Mar/2003:13:30:27 +0100]
"GET /spl/forum/f\xc3\xa4lschbaren/Abgrund HTTP/1.1" 200 40073
"http://www.google.de/search?q=%40netscape.net+G%C3%A4stebuch&num=100
&hl=de&lr=lang_de&ie=UTF-8&oe=UTF-8&start=800&sa=N"
"Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt)"
217.68.180.63 - - [02/Apr/2003:18:38:41 +0200]
"GET /spl/forum/liebensw\xc3\xbcrdigeres/Wanderniere/weggelaufenem HTTP/1.1"
200 35320 "http://www.google.de/search?q=G%C3%A4stebuch+kl%C3%B6sse
&num=100&hl=de&lr=lang_de&ie=UTF-8&oe=UTF-8&as_qdr=m3&start=200
&sa=N" "Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt)"
217.68.180.63 - - [02/Apr/2003:18:41:57 +0200]
"GET /spl/forum/Kinderg\xc3\xa4rten/Eroberungsfeldz\xc3\xbcgen/einsieht HTTP/1.1"
200 33620 "http://www.google.de/search?num=100&hl=de&ie=UTF-8&oe=UTF-8
&as_qdr=m3&q=G%C3%A4stebuch+fackel&as_qdr=m3
&meta=lr%3Dlang_dehttp://www.google.de/search?q=G%C3%A4stebuch+fackel
&num=100&hl=de&lr=lang_de&ie=UTF-8&oe=UTF-8&as_qdr=m3&start=500
&sa=N" "Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt)"
217.68.180.63 - - [06/Apr/2003:13:17:59 +0200]
"GET /spl/forum/partitioniertet/andersherum/\xc3\x9cberbringers HTTP/1.1"
200 38062 "http://www.google.de/search?q=G%C3%A4stebuch+vollmilch
&num=100&hl=de&lr=lang_de&ie=UTF-8&oe=UTF-8&as_qdr=m3&start=300
&sa=N" "Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt)"
172.181.99.107 - - [23/Jun/2003:19:51:16 +0200]
"GET /spl/forum/verantwortlicheres/Industrieautomatisierung/enthaltsame HTTP/1.1"
200 37918 "http://www.google.de/search?q=G%C3%A4stebuch+grog&num=100
&hl=de&lr=&ie=UTF-8&oe=UTF-8&as_qdr=all&start=200&sa=N"
"Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt)"
---
217.68.180.23 bzw .63 gehören zum Netz der Leipziger Primacom und fielen
schon in zahlreichen Pornodialer-Spams auf, die an Adressen gingen, die
von dort geerntet wurden. Dabei wurden häufig im selben Spam-Lauf auch
Adressen bespammt, die von den genannten AOL-IPs aus abgegrast wurden,
weshalb ein Zusammenhang gut zu erkennen ist. Auch ist der User-Agent
in allen Fällen gleich.
Inzwischen hat der Spammer die Suchmaschine gewechselt und fragt bei
Caloweb.de nach demselben Muster - "Gästebuch" + Begriff aus dem
Wörterbuch:
---
172.181.254.210 - - [11/Jun/2003:13:49:43 +0200]
"GET /spl/forum/hums/lizard/foulness HTTP/1.1" 200 34468
"http://www.caloweb.de/html/search_result.php3?q=G%E4stebuch+echtheit
&n=100&lr=lang_de&nes=0&hnes=0&s=900"
"Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt)"
172.183.30.25 - - [15/Jun/2003:16:09:29 +0200]
"GET /spl/forum/hums/lizard/Hayden HTTP/1.1" 200 40136
"http://www.caloweb.de/html/search_result.php3?q=G%E4stebuch+einfall
&n=100&lr=lang_de&nes=0&hnes=0&s=2400"
"Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt)"
172.183.207.31 - - [16/Jun/2003:19:16:37 +0200]
"GET /spl/forum/modulo/abstattender HTTP/1.1" 200 43894
"http://www.caloweb.de/html/search_result.php3?q=G%E4stebuch+einbu\xdfe
&n=100&lr=lang_de&nes=0&hnes=0&s=400"
"Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt)"
172.183.207.31 - - [16/Jun/2003:19:16:44 +0200]
"GET /spl/forum/fairy/Celt/klingelte HTTP/1.1" 200 39266
"http://www.caloweb.de/html/search_result.php3?q=G%E4stebuch+einbu\xdfe
&n=100&lr=lang_de&nes=0&hnes=0&s=400"
"Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt)"
172.183.207.31 - - [16/Jun/2003:19:23:13 +0200]
"GET /spl/forum/hums/lizard/Hayden HTTP/1.1" 200 40136
"http://www.caloweb.de/html/search_result.php3?q=G%E4stebuch+einb\xfc\xdfen
&n=100&lr=lang_de&nes=0&hnes=0&s=100"
"Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt)"
172.183.207.31 - - [16/Jun/2003:19:33:52 +0200]
"GET /spl/forum/anklickt/Innenministerien HTTP/1.1" 200 42050
"http://www.caloweb.de/html/search_result.php3?q=G%E4stebuch+einarbeiten
&n=100&lr=lang_de&nes=0&hnes=0&s=1100"
"Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt)"
80.129.129.185 - - [20/Jun/2003:03:22:10 +0200]
"GET /spl/forum/judgment HTTP/1.1" 200 42506
"http://www.caloweb.de/html/search_result.php3?q=ch+g%E4stebuch+obst
&n=100&lr=lang_de&nes=0&hnes=0&s=500"
"Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt)"
80.129.129.185 - - [20/Jun/2003:03:23:25 +0200]
"GET /spl/forum/judgment HTTP/1.1" 200 42506
"http://www.caloweb.de/html/search_result.php3?q=ch+g%E4stebuch+obst
&n=100&lr=lang_de&nes=0&hnes=0&s=500"
"Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt)"
172.177.209.27 - - [25/Jun/2003:21:10:18 +0200]
"GET /spl/forum/hums/lizard/Hayden HTTP/1.1" 200 40136
"http://www.caloweb.de/html/search_result.php3?q=G%E4stebuch+einschreiten
&n=100&lr=lang_de&nes=0&hnes=0&s=700"
"Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt)"
172.177.209.27 - - [25/Jun/2003:22:05:45 +0200]
"GET /spl/forum/Behexen/Wirtschaftsgruppen HTTP/1.1" 200 49482
"http://www.caloweb.de/html/search_result.php3?q=G%E4stebuch+einschluss
&n=100&lr=lang_de&nes=0&hnes=0&s=300"
"Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt)"
172.182.121.2 - - [02/Jul/2003:11:59:00 +0200]
"GET /spl/forum/anklickt/Innenministerien HTTP/1.1" 200 42050
"http://www.caloweb.de/html/search_result.php3?q=G%E4stebuch+ekzem
&n=100&lr=lang_de&nes=0&hnes=0&s=500"
"Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt)"
172.182.121.2 - - [02/Jul/2003:11:59:01 +0200]
"GET /spl/forum/hums/lizard/Hayden HTTP/1.1" 200 40136
"http://www.caloweb.de/html/search_result.php3?q=G%E4stebuch+ekzem
&n=100&lr=lang_de&nes=0&hnes=0&s=500"
"Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt)"
172.182.194.48 - - [02/Jul/2003:15:31:31 +0200]
"GET /spl/forum/judgment/slowakisches HTTP/1.1" 200 40169
"http://www.caloweb.de/html/search_result.php3?q=G%E4stebuch+eleganz
&n=100&lr=lang_de&nes=0&hnes=0&s=1700"
"Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt)"
172.182.194.48 - - [02/Jul/2003:16:13:17 +0200]
"GET /spl/forum/Behexen/Wirtschaftsgruppen HTTP/1.1" 200 49482
"http://www.caloweb.de/html/search_result.php3?q=G%E4stebuch+elfenbeink\xfcste
&n=100&lr=lang_de&nes=0&hnes=0&s=700"
"Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt)"
172.177.70.174 - - [06/Jul/2003:19:02:32 +0200]
"GET /spl/forum/vererbender/spezifischerem HTTP/1.1" 200 27731
"http://www.caloweb.de/html/search_result.php3?q=G%E4stebuch+emsig
&n=100&lr=lang_de&nes=0&hnes=0&s=1000"
"Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt)"
172.177.70.174 - - [06/Jul/2003:19:02:39 +0200]
"GET /spl/forum/geb\xfcrstetes/hineinzusteckende HTTP/1.1" 200 25766
"http://www.caloweb.de/html/search_result.php3?q=G%E4stebuch+emsig
&n=100&lr=lang_de&nes=0&hnes=0&s=1000"
"Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt)"
172.180.169.71 - - [08/Jul/2003:21:17:52 +0200]
"GET /spl/forum/judgment HTTP/1.1" 200 27849
"http://www.caloweb.de/html/search_result.php3?q=G%E4stebuch+entmutigen
&n=100&lr=lang_de&nes=0&hnes=0&s=400"
"Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt)"
172.180.169.71 - - [08/Jul/2003:21:17:52 +0200]
"GET /spl/forum/judgment HTTP/1.1" 200 27849
"http://www.caloweb.de/html/search_result.php3?q=G%E4stebuch+entmutigen
&n=100&lr=lang_de&nes=0&hnes=0&s=400"
"Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt)"
172.182.145.79 - - [09/Jul/2003:08:18:36 +0200]
"GET /spl/forum/modulo/abstattender HTTP/1.1" 200 29308
"http://www.caloweb.de/html/search_result.php3?q=G%E4stebuch+enkelin
&n=100&lr=lang_de&nes=0&hnes=0&s=1100"
"Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt)"
172.182.145.79 - - [09/Jul/2003:08:50:56 +0200]
"GET /spl/forum/maul/temple/Homo HTTP/1.1" 200 24655
"http://www.caloweb.de/html/search_result.php3?q=G%E4stebuch+entgegengesetzt
&n=100&lr=lang_de&nes=0&hnes=0&s=1800"
"Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt)"
172.182.145.79 - - [09/Jul/2003:09:32:07 +0200]
"GET /spl/forum/geb\xfcrstetes/vertr\xe4glicher HTTP/1.1" 200 28096
"http://www.caloweb.de/html/search_result.php3?q=G%E4stebuch+entnahme
&n=100&lr=lang_de&nes=0&hnes=0&s=1100"
"Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt)"
---
Wie man sieht, ist der Spammer nicht darauf aus, ein Gästebuch zu
finden, in dem er sich über sein Spezialgebiet austauscht, sondern
möglichst viele Gästebücher, von denen er Adressen ernten und bespammen
kann.
Deshalb bitte auf diversen Spambait-Seiten oder Sugarplum-Installationen
unbedingt so oft wie möglich den Begriff "Gästebuch" aufführen, damit
Harvester entweder keine Gästebücher mehr scannen können oder jedes Mal
in möglichst viele Spammerfallen tappen. ;-)
(für Sugarplum-User: am besten als "Konjunktion" im Source eintragen,
dann kommt der Begriff auf jeder Seite mehrfach... ;^))
Außerdem bietet sich an, bei Google und Caloweb.de sämtliche
Spambait-Sites zu registrieren, damit diese auch gut besucht werden. ;-)
Ach ja: Mail an AOL (ich kenne dort inzwischen die richtigen
Ansprechpartner) ist natürlich auch raus. Und schon kam das nächste
Spam, an eine Adresse, die gerade mal ein paar Stunden zuvor von
172.182.145.79 geerntet wurde:
--- Spam
From R_P...@doubleoptinmailing.com Wed Jul 9 19:04:42 2003
Return-Path: <R_P...@doubleoptinmailing.com>
X-Original-To: [spamtrap]
Received: from doubleoptinmailing.com (unknown [62.193.96.12])
by mail.docsnyder.de (Postfix) with SMTP
id B7CC341A; Wed, 9 Jul 2003 19:04:35 +0200 (CEST)
From: "RXPanke" <R_P...@doubleoptinmailing.com>
To: "DeinXDing" <[spamtrap]>
Subject: Jetzt langtXes
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=3D"----=3D_NextPart_000_001B_05A85B75.B3AB7832"
Message-Id: <20_________...@mail.docsnyder.de>
Date: Wed, 9 Jul 2003 19:04:35 +0200 (CEST)
Content-Length: 1363
Lines: 12
This is a multi-part message in MIME format.
------=3D_NextPart_000_001B_05A85B75.B3AB7832
Content-Type: text/html;
charset=3D"iso-8859-1"
Content-Transfer-Encoding: quoted-printable
[dekodiert]
Hallo,
Danke nochmal, das ich jetzt alleine klar kommen muss.
Ich Dummkopf war immer fuer dich da.
Da ich mir das nicht gefallen lasse,
was Du hier an den Tag legst,
habe ich etwas ueber mein Provider vorbereite.
Da koennen alle sehen, was fuer ein Mensch du wirklich bist.
Hier ist der Beweiss: http://www.Megapeinlich.de [2]
[/]
------=3D_NextPart_000_001B_05A85B75.B3AB7832--
[2] == http://peinlich932.tripod.com.br/peinlich.txt?sid=x
---
Von dieser Spamwelle schlugen hier mindestens fünf Spams auf. D. h. etwa
250 andere Spammer und Spammerhelfer freuen sich nun über den Müll ihrer
Kollegen. ;^)
$ decode_teergrube.pl [spamtraps]
172.182.145.79
...siehe oben.
Was schließen wir daraus: der Begriff "Gästebuch" gehört auf jeden
Spambait-WWW-Site. ;^)
/.
DocSnyder.
--
Friss, Spammer, friss: <webm...@newsletterpromote.com>
<unsub...@newsletterpromote.com> <rem...@newsletterpromote.com>
<in...@newsletterpromote.com> <sup...@newsletterpromote.com>
<sa...@newsletterpromote.com> <off...@newsletterpromote.com>
Hatto von Hatzfeld
> Ach ja: Mail an AOL (ich kenne dort inzwischen die richtigen
> Ansprechpartner) ist natürlich auch raus.
Das mit dem "richtigen Ansprechpartner" würde mich interessieren. Ich
bekomme schon seit einem halben Jahr immer wieder dieselben Viren vom
selben Absender bei AOL, und es ändert sich trotz Beschwerden nichts.
:-(
Ciao,
Hatto
--
User zu Hotline: "Ich habe hier einen Rechner mit Windows."
Hotline zu User: "Ja?!"
User: "Der Rechner geht nicht."
Hotline: "Das sagten Sie bereits."
Robert Böck
Florian L. Klein wrote:
[Spammer sucht nach "Gästebuch+[Wort]", um von dort Adressen zu sammeln]
> Deshalb bitte auf diversen Spambait-Seiten oder Sugarplum-Installationen
> unbedingt so oft wie möglich den Begriff "Gästebuch" aufführen, damit
> Harvester entweder keine Gästebücher mehr scannen können oder jedes Mal
> in möglichst viele Spammerfallen tappen. ;-)
Wenn du deine Spambait-Seiten bei Google oder anderen Suchmaschinen mit
dem Begriff "Gästebuch" gut ranken willst, reicht es nicht aus, den
Begriff möglichst oft in den Content der Seite einzustreuen. Er gehört
auch in den Titel, in die Meta-Description und in die Links, die auf die
optimierte Seite verweisen (<a href="spamtrap.html">hier ist kein
Gästebuch</a>).
Bitte bedenke aber, dass auch "normale" Suchmaschinennutzer nach
Gästebüchern suchen, und das nicht mal so selten. Beliebte Suchbegriffe
sind "gästebuch", "kostenloses gästebuch", "gästebuch kostenlos",
"gästebuch lesen" usw. Es ist sicher nicht in deinem Sinne, wenn die
dann alle deine Spambait-Seiten finden.
cu, Robo :)
Christian Vogel
in <p6out-...@news.home.docsnyder.de>, Florian L. Klein wrote:
> Der Harvester hat gemäß Referrer auf Google nach dem festen Begriff
> "Gästebuch" sowie einem weiteren Begriff gesucht,
...ganz naiv gefragt: Woher weisst Du, dass die verwendete
Harvester-Software einen korrekten Referrer übermittelt?
Chris
Can Filip Sakrak
> Was schließen wir daraus: der Begriff "Gästebuch" gehört auf jeden
> Spambait-WWW-Site. ;^)
Können die Erntemaschinen eigentlich inzwischen mit HTML-Kommentaren
umgehen?
Viele Grüße
Can Filip Sakrak
--
Wizard fuer email-Filter: http://spamabwehr.sakrak.net/
for $i(1..100){$l[0]=crypt((time)**$i,rand(time)**3);$l[1]=crypt(crypt((
time)**$i,rand(time)**3),$l[2]);for$m(0..1){$l[$m]=~s/(\.|\\|\/|\:|\?|\!
)//gix;}print"$l[0]\@$l[1].de\n";}#-> 100 falsche E-Mail-Adressen gratis
Florian L. Klein
Wenn ich den Referrer selbst aufrufe und auf dieselben Ergebnisse stoße,
kann er so fhacls nicht sein.
Mir graust's richtig vor dem Gedanken, dass der Spammer außer meinem
(meist eher weiter hinten aufgeführten) Site noch Hunderte echte
Gästebücher abgegrast hat und deren User nun bespammt... schon deswegen
verdient er sich einen Satz heiße Ohren.
/.
DocSnyder.
--
Friss, Spammer, friss: <subs...@vgr99biz.com> <webm...@vgr99biz.com>
<sa...@vgr99biz.com> <sup...@vgr99biz.com> <unsub...@vgr99biz.com>
<rem...@vgr99biz.com> <off...@vgr99biz.com> <par...@vgr99biz.com>
<in...@vgr99biz.com> <or...@vgr99biz.com> <a...@vgr99biz.com>
Christian Vogel
in <qcqvt-...@news.home.docsnyder.de>, Florian L. Klein wrote:
>> ...ganz naiv gefragt: Woher weisst Du, dass die verwendete
>> Harvester-Software einen korrekten Referrer übermittelt?
> Wenn ich den Referrer selbst aufrufe und auf dieselben Ergebnisse stoße,
> kann er so fhacls nicht sein.
Ok, da ist was wahres dran :-)
Chris
Hatto von Hatzfeld
> Florian L. Klein schrieb:
>> Was schließen wir daraus: der Begriff "Gästebuch" gehört auf jeden
>> Spambait-WWW-Site. ;^)
>
> Können die Erntemaschinen eigentlich inzwischen mit HTML-Kommentaren
> umgehen?
Klar können sie das. Die in einem HTML-Kommentaren versteckten Adressen
auf http://www.salesianer.de/util/ wurden jedenfalls ausgewertet, z.B.
von dem, der über die besagte Teleinfo-IP Adressen gesammelt hat. ;-)
Ich vermute allerdings, dass es auch Tools gibt, die so etwas korrekter-
weise als reinen Kommentar ansehen und nicht beachten.
Ciao,
Hatto
--
"Sie haben sich beide lieb - er sich und sie sich."
Can Filip Sakrak
> Klar können sie das. Die in einem HTML-Kommentaren versteckten Adressen
> auf http://www.salesianer.de/util/ wurden jedenfalls ausgewertet, z.B.
> von dem, der über die besagte Teleinfo-IP Adressen gesammelt hat. ;-)
Das ist aber schade. Das würde ja bedeuten, dass man in jede Seite, die
man kontrollieren kann, ein paar Sachen einbauen kann, ohne dass Google
sich daran stört. ;-)
Hagen Röwer
Am 10.07.2003 12:05 schrieb Florian L. Klein:
>> ...ganz naiv gefragt: Woher weisst Du, dass die verwendete
>> Harvester-Software einen korrekten Referrer übermittelt?
>
> Wenn ich den Referrer selbst aufrufe und auf dieselben Ergebnisse stoße,
> kann er so fhacls nicht sein.
>
> Mir graust's richtig vor dem Gedanken, dass der Spammer außer meinem
> (meist eher weiter hinten aufgeführten) Site noch Hunderte echte
> Gästebücher abgegrast hat und deren User nun bespammt... schon deswegen
> verdient er sich einen Satz heiße Ohren.
Hm, er muss sich ein paar Gästebuchseiten als Lesezeichen abgelegt haben.
Nachdem ich mal folgende Lösung
Einweg-Email-Adressen für Ihre Website
http://www.meinwebworker.de/index.php?rubrik=knowhow&thema=einwegemail
für meine Startseite implementiert habe,
sind in der kurzen Zeit drei entsprechenden Spam-Mails
eingetrudelt.
Der damit identifzierte Harverster deckt sich mit Deinen Beobachtungen.
Er kommt aus einem sogenannten Gästebucharchiv einer mir gut bekannten
Website.
acb70e98.ipt.aol.com - - [06/Jul/2003:19:30:32 +0200] "GET / HTTP/1.1"
200 7386 "Referer vom Gästebuch-Archiv" "Mozilla/4.0 (compatible; MSIE
5.0; Windows NT; DigExt)"
Ergebnis:
Received: from interbusiness.it ([212.12.229.226])
by gourmet.spamgourmet.com (8.12.8/8.12.9) with SMTP id h6BAsheq001110
for <meine dyn. E-Mai-Addy>; Fri, 11 Jul 2003 03:54:52 -0700
Date: Fri, 11 Jul 2003 03:54:43 -0700
Message-Id: <200307111054....@gourmet.spamgourmet.com>
From: "Medien Connection" <Pfjnlic...@interbusiness.it>
To: "Dein Problem" <meine dyn. E-Mai-Addy>
Subject: Das wars ...
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_004A_05A67B47.C6CA4358"
cache2.primacom.net - - [10/Jul/2003:23:01:27 +0200] "GET / HTTP/1.1"
200 7392 "Referer vom Gästebuch-Archiv" "Mozilla/4.0 (compatible; MSIE
5.0; Windows NT; DigExt)"
Ergebnis:
Received: from centurytel.net (pppoe-64-91-103-116.rb.gh.centurytel.net
[64.91.103.116] (may be forged))
by gourmet.spamgourmet.com (8.12.8/8.12.9) with SMTP id h6D9fJeq021966
for <meine dyn. E-Mai-Addy>; Sun, 13 Jul 2003 02:41:22 -0700
Date: Sun, 13 Jul 2003 02:41:19 -0700
Message-Id: <200307130941....@gourmet.spamgourmet.com>
From: "Trauriger Engel" <Urausih...@centurytel.net>
To: "nicht verstanden" <meine dyn. E-Mai-Addy>
Subject: Pech gehabt jetzt bin ich weg
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_008B_01B44A51.B8CC7551"
Ich werde jetzt mal die Redaktion der betreffenden Website bitten, das
Archiv zu löschen mit Verweis auf dem Thread.
Und heute abend ist der dritte Spam dieser Sorte eingetrudelt.
Mal sehen, was die Logfiles nächste Woche dazu sagen.
Mit freundlichen Gruß,
Hagen Roewer
--
Aller Unfug ist schwer. <-- Peter Frankenfeld