dyingeyes weblog: das persönliche Weblog von Boris Stumpf aus Frankfurt am Main

Na das ist doch mal ein Erfolg!

Logfile der letzten 3 Tage durchgesehen. Es hat weiterhin massive Versuche (Hunderte!) seitens des inzwischen hinlänglich bekannt gewordenen Atemluftverschwenders John Coleman gegeben.
(Mehr zu diesem Spam-Asso u.a. bei Pepino).

Für 403-Abhilfe hat dieser Tage erfolgreich gesorgt:

.htaccess mit ‘deny from’ für die folgenden IP-Ranges:

- deny from 207.44.0.0/255.255.0.0
- deny from 213.91.0.0/255.255.0.0

Ersterer Block (207…) sperrt alle Zugriffe über die US-Provider:

- Everyones Internet, Inc. (TX)
- PenTeleData Inc. (PA)

Letzterer Block (213…) ist etwas grob, denn der Block von 213.91.0.0 bis 213.91.127.255 gehört französischen Providern, die wohl eher unverdächtig sind, aber alles darüber – 213.91.128.0 bis 213.91.255.255 – ist bulgarischen Providern zugeordnet. (Höre ich da so etwas wie “Aha!”??)

Ich glaube jetzt wirklich nicht, dass ich mit diesen Blockaden irgendjemanden ausgeschlossen habe, der ehrlich und ohne asoziale Absichten mein Blog besucht…

Nachtrag 01:37:00:
Hatte den IP-Range ab 212.91.171.0 bis 212.91.171.255 vergessen, über den die ersten Spams aus o.g. Quelle hereinkamen.

Seit dem 30. Oktober müllt dieser POST-Request mein Serverlog gnadenlos und zunehmend voll. Das access_log seit Beginn des heutigen Tages bis vor ca. 20 Minuten ist zu 40 Prozent voll mit solchen Einträgen:

168.143.113.126 – - [02/Nov/2004:07:00:04 +0100] (Umbruch)
"POST / HTTP/1.1" 200 17632 "-" "Jakarta Commons-HttpClient/2.0.1"

Und zwar wechselweise von diesen drei IP-Adressen:
168.143.113.124
168.143.113.126
168.143.113.128

Jetzt scheine ich das aber via .htaccess erfolgreich geblockt zu haben….
Kennt jemand diese Geschichte und hat eine Ahnung, wer oder was das ist?

Nachtrag 15:05:
Der Block per .htaccess ist natürlich nur eine halbe Sache, denn an den Zugriffen aufs Blog hindert es ihn nicht – er bekommt lediglich eine 403 (forbidden) zurück. Das hielt ihn aber gar nicht ab vom Versuchen, und das Log ist weiter zugemüllt.

Also: iptables-Regel für seine IPs auf dem Server eingetragen und raus isser. Und Ruh’ is.

Wobei mir nach wie vor nicht klar ist, was das alles sollte mit einem POST-Zugriff auf die Domain-Root….

Tach, Mister TEXAS-HOLDEM-0.COM@domainsbyproxy.com. Schade, Sie sind leider im Moderations-Thread steckengeblieben mit ihren 6 nutzlosen Spam-Kommentaren. Niemand außer mir wird ihren Dreck also wahrnehmen, bevor er gelöscht wird.

Apropos nutzlos – nicht ganz, denn immerhin kann ich wieder eine E-Mail-Adresse hier posten, nur für den Fall, dass ein Besucher meiner Site ihnen eine Nachricht zukommen lassen will – vielleicht interessiert sich ja einer für den Schrott, den sie verkloppen.

Übrigens, der Schrott kam wieder einmal über eine Domain, die im Zusammenhang mit GoDaddy.com steht.

Nachtrag 1:30 Uhr:
Der Texas Holdem Poker -Spammer scheint einen ganz eifrigen Bot laufen zu haben, im WordPress-Supportforum häufen sich heute die Fragen wegen Comment-Spam-Bekämpfung…….

Man müsste diese Kackspacken millionenfach gegen-spammen, wenns sein muss per Briefpost. Und in der Glotze nerven gerade diese SMS-Bildchen-Abo-Abzocker mit ihrem elenden marktschreierischen Gesabber….