dyingeyes weblog: das persönliche Weblog von Boris Stumpf aus Frankfurt am Main

In seiner Not vertickert der gemeine Spammer inzwischen sogar schon »Vacuum Cleaners«… Wann ist wohl Klopapier die Spam-Ware der Wahl?

Heute erschienen, schon eingespielt hier auf meinem WordPress-Blögchen.

Zuletzt hat es mal ein sogenanntes »False Positive« gegeben, d.h. es wurde jemand ausgesperrt, der immer nur ganz brav spamfrei liest und kommentiert. Habe daraufhin einen entsprechenden IP-Bereich in der Whitelist (›whitelist.inc.php‹) freigegeben. Was das Problem erst einmal ad hoc behoben haben sollte. Das Problem lag offenbar in der pluginseitigen Abfrage von externen »Blacklists«.
Möglicherweise zeigen sich die Verbesserungsbemühungen für die neue Version u.a. in Form noch feinerer Differenzierung von verdächtigen IP-Adressen. Mal sehen…

Warum versucht eigentlich dieser dauerstörende Vollpfosten-Spambot, der seit langer Zeit im Abstand von jeweils einigen Tagen Blogs mit mehr-hunderfachen POST-Attacken behelligt (nebst ebenso vielen GET-Attacken dazwischen, meist auf ältere Artikel), seit ein paar Monaten, massiv dorthin zu POSTen:

/cgi-bin/sys/htdig/htsearch?

Hat das bei irgendeinem anderen Blogsystem als WordPress eine Relevanz?

Die Attacken sehen im Einzelnen so aus:

201.21.216.132 - - [24/Oct/2006:04:03:27 +0200] "POST /cgi-bin/sys/htdig/htsearch HTTP/1.1" 200 925 "" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

Die IP-Adressen wechseln nach Belieben, der User Agent ist immer derselbe. Woran man übrigens den Marodeur klar erkennen kann.

Der Dreck wird übrigens vollständig von Bad Behaviour abgefangen und mit nur ca. 900 Byte kleinen »Fehlermeldungen« beantwortet.