Spam-eMails sind eine nervige Sache - doch inzwischen gibt es fortgeschrittene Konzepte, sie zu verhindern. Anders schaut es beim Wikispam aus. Darunter versteht man Spam, der automatisiert in Wikis, Gästebücher und Foren eingetragen wird. Ca. 10 Einträge musste ich auf meinen Websites pro Tag manuell löschen - jetzt habe ich einen Spam-”Filter” eingebaut. Und eigentlich funktioniert der extrem einfach. Das Konzept der Massenspammer ist nämlich genauso einfach wie durchschaubar.

Das Prinzip

Spam-Versender sind auf eine möglichst große Zielgruppe aus. Darum werden die Skripte nicht auf einzelne Seiten optimiert, sondern für die Software, mit der die Seiten betrieben werden. Und die Wurzel des Übels ist Google. Mit der Suchfunktion allinurl: ist den Spammern nämlich Tür und Tor geöffnet. Wenn der Spammer etwa seinen Spam in Gästebücher für das CMS XOOPS reinschreiben will, reicht eine Anfrage bei Google mit allinurl:/modules/myguestbook/sign.php. Dort erhält das Spam-Skript eine schöne Liste mit allen verwundbaren Gästebüchern aus dem Google-Index (und das dürften so ziemlich alle sein). Jetzt sendet das Skript einen POST mit dem Spam-Eintrag an die Seite, in diesem Fall an die sign.php. Die Variablennamen bekommt man direkt aus dem Form-Element einer einzigen Seite, die die verwundbare Software verwendet. Man muss sich also nicht mal den Quellcode anschauen.
So kann man nahezu jedes interaktive Skript automatisiert mit Spam befüllen. Google liefert die URLs, die Variablennamen einmalig manuell auszulesen dauert keine Minute. Der Spammer erreicht mit minimalem Arbeitsaufwand tausende von potentiellen Opferseiten.
Das Skript selbst wird entweder von einem Botnetz oder von einem eigens dafür abgerichteten Server betrieben. Ein traceroute auf die IPs verliert sich schon nach wenigen Abschnitten in ein Dickicht von .tk, .ti usw. oder landet im Pool von dtag und aol (das waren dann wohl eher die Botnetze).
Das Ziel der Spammer ist übrigens keinesfalls, dass User auf die Links in den Spameinträgen klicken, sondern ein hoher Pagerank bei Google. Google bemisst den Pagerank vor allem nach der Anzahl der Links auf eine Seite. Wenn also ein paar tausend Gästebücher, Wikis und Foren auf eine Seite verweisen, wirkt sich das positiv im Pagerank aus .

Gegenmaßnahmen

Genauso einfach wie das Spamskript sind die Gegenmaßnahmen. Man braucht eigentlich weder komplizierte Regular Expressions für “V1ágrà” und Co. noch einen IP-Filter (der ist wegen den Botnetzen ohnehin zwecklos). Die einfachste Möglichkeit ist es, die Datei umzubenennen, die die POST-Daten verarbeitet. Dann befindet man sich nämlich nicht mehr im Bannkreis der allinurl:-Abfrage bei Google. Eine andere Möglichkeit ist es, zu überprüfen, ob denn die Eingabemaske tatsächlich abgerufen wurde. Das könnte man etwa über eine Abfrage eines <imput type=”hidden” … > überprüfen. Und die beste Methode ist sicherlich, ein eigenes Skript zu schreiben, das nur für diese eine Seite verwendet wird. Dann lohnt sich nämlich das Schreiben eines Spam-Skriptes erst gar nicht.
Die Methode, alle Links eines Eintrages mit <a rel=”nofollow” … > zu substituieren setzt leider auf einer zu hohen Ebene an. So wird zwar unterbunden, dass der Spammer einen hohen Pagerank bekommt, der unschöne Spam steht aber trotzdem auf der Seite.

Dieser Eintrag wurde am Dienstag, 27. Dezember 2005 um 14:55 erstellt und ist unter Internet abgelegt. Du kannst jegliche Antworten zu diesem Beitrag über den RSS 2.0-Feed verfolgen. Responses are currently closed, but you can trackback from your own site.