Sorglegt referer spam
Þegar ég fylgist með referer spaminu skoppa af vefþjóninum (403 svör) fyllist ég sorg yfir tilgangsleysinu. Hvað er málið, hver stendur fyrir þessu? Af hverju græðir einhver pening á þessu rugli?
Fyrir þá sem ekki þekkja það, þá er referer spam afar kjánalegt fyrirbæri. Flestir þekkja athugasemdaspam, þar sem athugasemdir með vísunum á póker og víagra síður er troðið inn í blogg. Referer spam er öðruvísi, í raun sér það í flestum tilvikum enginn nema umsjónarmaður vefþjónsins. Talandi um athugasemdaspam, þá er einhver andskoti að spamma mig akkúrat þessa stundina.
Þetta virkar þannig að í hvert sinn sem maður smellir á link á vefsíðu er send fyrirspurn á vefþjóninn sem vísað er á frá browsernum sem maður notar. Með þessari fyrirspurn fylgir vísun á síðuna sem innihélt linkinn, svokallaður referer linkur. Þannig geta menn séð í server loggum og á teljurum hverjir eru að vísa á síðuna.
Spammarar hafa semsagt tekið upp á því að falsa þetta og senda inn fyrirspurnir með fölsuðum referer vísunum. Yfirleitt eru þetta sömu vísanir og finna má í athugasemdaspamminu. En tilgangsleysið er algjört. Reyndar er ég með teljarasíðu sem uppfærist á hverri nóttu, en það er engin vísun á þá síðu og leitarvélar skoða hana ekki (lokað í robots.txt). Ég er með öðrum orðum sá eini sem sé þetta tiltekna spam.
Reyndar verð ég í fæstum tilvikum var við þetta því ég fylgist með traffík með forriti sem filterar drasl í burtu og hef auk þess reynt að loka fyrir megnið af þessu spami á vefþjóninum. Leita að ákveðnum orðum í referer strengnum og sendi 403 Forbidden til baka. Þetta auðveldar mér að filtera dótið út en kemur að sjálfsögðu ekki í veg fyrir ítrekaðar fyrirspurnir þessa aðila, þeir hunsa svörin. Af og til kemur svo eitthvað nýtt inn sem kemst framhjá síunum og þá þarf ég að endurbæta þær.
Hér eru nokkrar línur úr httpd.conf
RewriteEngine on
RewriteCond %{HTTP_REFERER} ^http://[a-z]+-[a-z]+- [OR]
RewriteCond %{HTTP_REFERER} ^http://(.*)casino(.*)$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(.*)poker(.*)$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(.*)texas(.*)$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(.*)credit(.*)$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(.*)pharmacy(.*)$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(.*)pills(.*)$ [OR]
RewriteRule .* - [F,L]
Þannig að ef þið eruð með slóð sem inniheldur eitthvað að þessum orðum, þá er ég hræddur um að þið getið ekki vísað á síðuna mína :-) Auk þessara orða bætti ég inn slóðum virkustu spammeranna, vill bara ekki setja það hér inn.
Eini gallinn er að 403 villur er loggaðar í access_log, en ég skoða þá skrá reyndar sjaldan, heldur filteraða útgáfu hennar.
Ég fæ helling af svona traffík á mína síðu þannig að ég gæti trúað að ótrúlegt magn svona fyrirspurna flæði yfir útlandatengingarnar. Væri ekki einfalt mál að filtera þetta? Þetta eru sárafáir aðilar sem stunda þetta og hægt að loka fyrir 90% af referer spami með því að stoppa öll http request sem refera á einhvern af 20-30 vefþjónum. Ágætt væri að byrja á juris bandstrik net punktur com sem eiga 664 vísanir á minn vefþjón síðasta sólarhringinn. Við erum í ótrúlega góðri aðstöðu til að stoppa svona drasl hér á landi þar sem traffíkin fer öll sömu leiðina (eða leiðirnar, en hvað eru þær - tvær eða þrjár?). Mér þætti það ótrúlega sterkur leikur að stoppa þetta bara hinum megin við hafið.
Tryggvi R. Jónsson - 10/05/05 13:42 #
Nýlega tók Pjúsarafélag Íslands í notkun modsecurity sem tekur á þessu og getur m.a. stoppað skrítnar fyrirspurnir áður en viðkvæmur hugbúnaður eins og phpBB fær þær. Magnið af svona "ágangi" er ótrúlegt og stundum óttast maður um heilsu aumingja vefþjónsins. ModSecurity lagaði hins vegar ástandið talsvert, til fullt af fyrirfram tilbúnum reglum og svo er auðvelt og fljótlegt að bæta inn reglum sem gilda á alla Virtual hosts sem eru keyrandi á viðkomandi vél.