Das ist schön, auch wenn ich schon ahnte, wie diese Visualisierungen für mein Blögchen aussehen würden:

Wie jetzt das? Praktisch gar kein erkannter Kommentar­spam? Doch, klar! Bloß dass Bad Behavior nahezu aus­nahmslos alles abfängt, bevor Akismet überhaupt einschreiten kann.

Akismet stellt bei mir also den zweiten Schutzwall dar, hinter BB, das praktisch alle maro­dierenden Bots/Spider/Skripte (Spam, Injection, Adress­sammler usw.) kassiert, die entweder gemäß seiner Blacklist als Schädlinge erkannt und eingestuft sind oder sich Header-mäßig unge­bührlich verhalten. Unglaublich wirkungsvoll. Selten dringt mal ein Kommentar­spam-Versuch durch, den in aller Regel Akismet zuverlässig abfängt, so dass meine dritte Schutz­instanz, die manuelle Erst­kommentar-Moderation, nur ganz selten zum Einsatz kommt. Damit erwische ich die (selten auftretenden) müden Existenzen, die glauben, ihre arm­seligen werblichen Botschaften und SEO-Zwang­haftig­keiten per manueller Bespammung loswerden zu müssen.

Kommentare von:

• Pepino am 20.10.2008

© Boris Stumpf - dyingeyes weblog 2004ff
Dieser Feed ist nur für die persönliche, nicht gewerbliche Nutzung bestimmt. Die Verwendung dieses Feeds auf kommerziellen Webseiten und/oder ohne Quellenangabe verstößt gegen die Lizenzbedingungen der Creative Commons License.
(Digitaler Fingerabdruck: 60c77d9e74d57f2299f42475f0e24778)

Die neue Seuche scheint schon heftig um sich zu greifen, was man sehen kann, wenn man per Google folgende Such-Zeichenkette eingibt: inurl:wp-content/1/

Wirft man mal einen Blick quer über die Fundstellen, findet man den gesammelten Rotz der Spammer dieser Welt: Poker-Beschiss, Online-Casino-Beschiss, Kreditkartenbeschiss, Viagra- und anderer Pillenbeschiss, Geldanlagebeschiss, und wahrscheinlich noch der ganze widerliche Billigporno-Müll. All der Dreck eben, der das Weltbild dieser Arschlöcher im Großen und Ganzen ausmacht.

Mehr dazu bei webrocker und BlogSecurity, bei beiden gibt’s weitere Info-Links.

Kommentare von:

• Hokey am 28.3.2008
• Gefährliches Verzeichnis wp-content/1/ « Nicht spurlos am 28.3.2008
• Victor am 24.4.2008

© Boris Stumpf - dyingeyes weblog 2004ff
Dieser Feed ist nur für die persönliche, nicht gewerbliche Nutzung bestimmt. Die Verwendung dieses Feeds auf kommerziellen Webseiten und/oder ohne Quellenangabe verstößt gegen die Lizenzbedingungen der Creative Commons License.
(Digitaler Fingerabdruck: 60c77d9e74d57f2299f42475f0e24778)

Wieso bekomme ich Spam an die interne Blog-E-Mailadresse, dich eigentlich nirgendwo zu sehen, geschweige denn auszulesen sein dürfte? Ich meine diese Adresse unter ›Allgemeine Einstellungen‹, die WordPress für ›administrative Zwecke‹ verwendet.

Nachdem das kurz nach Umstieg auf die neue Version einmal passierte, dachte ich noch an einen Zufall. Die Adresse war eher einfach gestrickt und hätte durchaus als so etwas wie eine ›Standardadresse‹ auf dieser Domain erraten werden können.

Es gibt sie ja wohl wirklich, diese Spam-Blindattacken an Standards wie z.B. admin@domainname.de, webmaster@, postmaster@ usw.

Also änderte ich diese Adresse vorsichtshalber in eine Form, die mit mehr als ausreichend großer Sicherheit kein Spam-Mechanismus erraten wird.

Und jetzt spaziert mir hier munter eine freche Spam-Mail (für Pillen) herein!

Wird diese interne Adresse eventuell bei irgendwelchen Antwortseiten auf Fehlermeldungen verraten?

Immerhin, ich hatte kürzlich mit einigen Tagen Distanz zwei Kommentarspam-Versuche im Akismet-Netz hängen, die wie Fehl- oder Testversuche aussahen, mit dem Text »enter text? test, sorry dfdf767df« und mit einem nicht existierenden Domainnamen verlinkt. Aber Akismet meldet ja gar nichts zurück, es arbeitet doch nur still im Hintergrund. Ein anderes Plugin vielleicht?

Falls jemand eine Idee hat, wo das Leck zu finden sein könnte, gleich hier melden. Ich gehe jetzt mal selbst forschen und werde mich zu gegebener Zeit an dieser Stelle in Sachen Aufklärung äußern …

Update am 17. September 2007:

Nach diesem Artikel hatte ich die bloginterne Adresse gegen eine neue ausgetauscht. Heute trudelt die erste Spam-Mail an die neue Adresse herein! Warum? Wie? Was?

Kommentare von:

• dyingeyes weblog » WordPress, oder: die unfeine Art am 29.9.2007
• Elias am 29.9.2007
• Christian am 8.10.2007

© Boris Stumpf - dyingeyes weblog 2004ff
Dieser Feed ist nur für die persönliche, nicht gewerbliche Nutzung bestimmt. Die Verwendung dieses Feeds auf kommerziellen Webseiten und/oder ohne Quellenangabe verstößt gegen die Lizenzbedingungen der Creative Commons License.
(Digitaler Fingerabdruck: 60c77d9e74d57f2299f42475f0e24778)

Nur schlicht so viel:

1. Ich bin kein Spammer und verbreite deren Müll schon gar nicht weiter
2. Ich bin keine Suchmachine mit spam-affinen Ranking-Verfahren

Also räume ich den beiden auch nicht ihren Schlamperladen auf. Was bilden die sich ein? Es bleibt hierbei…

© Boris Stumpf - dyingeyes weblog 2004ff
Dieser Feed ist nur für die persönliche, nicht gewerbliche Nutzung bestimmt. Die Verwendung dieses Feeds auf kommerziellen Webseiten und/oder ohne Quellenangabe verstößt gegen die Lizenzbedingungen der Creative Commons License.
(Digitaler Fingerabdruck: 60c77d9e74d57f2299f42475f0e24778)

Viel mehr muss ich da eigentlich nicht mehr sagen…

Kommentare von:

• Pepino am 12.1.2007
• Boris (Autor) am 12.1.2007

© Boris Stumpf - dyingeyes weblog 2004ff
Dieser Feed ist nur für die persönliche, nicht gewerbliche Nutzung bestimmt. Die Verwendung dieses Feeds auf kommerziellen Webseiten und/oder ohne Quellenangabe verstößt gegen die Lizenzbedingungen der Creative Commons License.
(Digitaler Fingerabdruck: 60c77d9e74d57f2299f42475f0e24778)

Bad Behavior ist in Version 2.0.8 (zum Download) angekommen. Bei mir werkelt das Plugin nach wie vor höchst erquicklich und fängt alles per Fehlermeldung ab, was nach Spamversuch oder Adressen-Harvester riecht. Für mich ist es das Antispam-Plugin schlechthin.

Ich empfehle jedoch grundsätzlich die Übung, ein oder zweimal in der Woche kurz in seine Datentabelle (die es in der WordPress-Datenbank angelegt hat) zu schauen, um nachvollziehen zu können, was das Plugin aus welchen Gründen abgefangen hat. Die Auflösung (Zuordnung) der dort jeweils eingetragenen Fehlercodes findet sich in der Datei »responses.inc.php«. Mit ein wenig Übung bekommt man einen guten Blick dafür, bei welchen Einträgen man einmal genauer schauen sollte, ob es sich womöglich um ein »false positive« handelt.

Übrigens blockiert Bad Behavior u.v.a. auch einige allzu neugierige Spür-Bots, deren Absicht und Aufgabe ich als höchst zweifelhaft ansehe. (Wobei ich mir gerade diese dort genannten unerwünschten Zeitgenossen schon seit geraumer Zeit per IP-Sperrung aus meinen Seiten heraushalte)

Kommentare von:

• Philipp am 22.12.2006
• Boris (Autor) am 22.12.2006
• dyingeyes weblog » Bad, bad, bad… Behavior am 8.1.2007
• Quix0r am 7.2.2007

© Boris Stumpf - dyingeyes weblog 2004ff
Dieser Feed ist nur für die persönliche, nicht gewerbliche Nutzung bestimmt. Die Verwendung dieses Feeds auf kommerziellen Webseiten und/oder ohne Quellenangabe verstößt gegen die Lizenzbedingungen der Creative Commons License.
(Digitaler Fingerabdruck: 60c77d9e74d57f2299f42475f0e24778)

Zuletzt hat es mal ein sogenanntes »False Positive« gegeben, d.h. es wurde jemand ausgesperrt, der immer nur ganz brav spamfrei liest und kommentiert. Habe daraufhin einen entsprechenden IP-Bereich in der Whitelist (›whitelist.inc.php‹) freigegeben. Was das Problem erst einmal ad hoc behoben haben sollte. Das Problem lag offenbar in der pluginseitigen Abfrage von externen »Blacklists«.
Möglicherweise zeigen sich die Verbesserungsbemühungen für die neue Version u.a. in Form noch feinerer Differenzierung von verdächtigen IP-Adressen. Mal sehen…

Kommentare von:

• Lyrasia am 7.11.2006
• Boris (Autor) am 7.11.2006

© Boris Stumpf - dyingeyes weblog 2004ff
Dieser Feed ist nur für die persönliche, nicht gewerbliche Nutzung bestimmt. Die Verwendung dieses Feeds auf kommerziellen Webseiten und/oder ohne Quellenangabe verstößt gegen die Lizenzbedingungen der Creative Commons License.
(Digitaler Fingerabdruck: 60c77d9e74d57f2299f42475f0e24778)