rvitinn

Sorglegt referer spam

egar g fylgist me referer spaminu skoppa af vefjninum (403 svr) fyllist g sorg yfir tilgangsleysinu. Hva er mli, hver stendur fyrir essu? Af hverju grir einhver pening essu rugli?

Fyrir sem ekki ekkja a, er referer spam afar kjnalegt fyrirbri. Flestir ekkja athugasemdaspam, ar sem athugasemdir me vsunum pker og vagra sur er troi inn blogg. Referer spam er ruvsi, raun sr a flestum tilvikum enginn nema umsjnarmaur vefjnsins. Talandi um athugasemdaspam, er einhver andskoti a spamma mig akkrat essa stundina.

etta virkar annig a hvert sinn sem maur smellir link vefsu er send fyrirspurn vefjninn sem vsa er fr browsernum sem maur notar. Me essari fyrirspurn fylgir vsun suna sem innihlt linkinn, svokallaur referer linkur. annig geta menn s server loggum og teljurum hverjir eru a vsa suna.

Spammarar hafa semsagt teki upp v a falsa etta og senda inn fyrirspurnir me flsuum referer vsunum. Yfirleitt eru etta smu vsanir og finna m athugasemdaspamminu. En tilgangsleysi er algjrt. Reyndar er g me teljarasu sem uppfrist hverri nttu, en a er engin vsun su og leitarvlar skoa hana ekki (loka robots.txt). g er me rum orum s eini sem s etta tiltekna spam.

Reyndar ver g fstum tilvikum var vi etta v g fylgist me traffk me forriti sem filterar drasl burtu og hef auk ess reynt a loka fyrir megni af essu spami vefjninum. Leita a kvenum orum referer strengnum og sendi 403 Forbidden til baka. etta auveldar mr a filtera dti t en kemur a sjlfsgu ekki veg fyrir trekaar fyrirspurnir essa aila, eir hunsa svrin. Af og til kemur svo eitthva ntt inn sem kemst framhj sunum og arf g a endurbta r.

Hr eru nokkrar lnur r httpd.conf

RewriteEngine on
RewriteCond %{HTTP_REFERER} ^http://[a-z]+-[a-z]+- [OR]
RewriteCond %{HTTP_REFERER} ^http://(.*)casino(.*)$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(.*)poker(.*)$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(.*)texas(.*)$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(.*)credit(.*)$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(.*)pharmacy(.*)$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(.*)pills(.*)$ [OR]
RewriteRule .* - [F,L]

annig a ef i eru me sl sem inniheldur eitthva a essum orum, er g hrddur um a i geti ekki vsa suna mna :-) Auk essara ora btti g inn slum virkustu spammeranna, vill bara ekki setja a hr inn.

Eini gallinn er a 403 villur er loggaar access_log, en g skoa skr reyndar sjaldan, heldur filteraa tgfu hennar.

g f helling af svona traffk mna su annig a g gti tra a trlegt magn svona fyrirspurna fli yfir tlandatengingarnar. Vri ekki einfalt ml a filtera etta? etta eru srafir ailar sem stunda etta og hgt a loka fyrir 90% af referer spami me v a stoppa ll http request sem refera einhvern af 20-30 vefjnum. gtt vri a byrja juris bandstrik net punktur com sem eiga 664 vsanir minn vefjn sasta slarhringinn. Vi erum trlega gri astu til a stoppa svona drasl hr landi ar sem traffkin fer ll smu leiina (ea leiirnar, en hva eru r - tvr ea rjr?). Mr tti a trlega sterkur leikur a stoppa etta bara hinum megin vi hafi.

vefml
Athugasemdir

Tryggvi R. Jnsson - 10/05/05 13:42 #

Nlega tk Pjsaraflag slands notkun modsecurity sem tekur essu og getur m.a. stoppa skrtnar fyrirspurnir ur en vikvmur hugbnaur eins og phpBB fr r. Magni af svona "gangi" er trlegt og stundum ttast maur um heilsu aumingja vefjnsins. ModSecurity lagai hins vegar standi talsvert, til fullt af fyrirfram tilbnum reglum og svo er auvelt og fljtlegt a bta inn reglum sem gilda alla Virtual hosts sem eru keyrandi vikomandi vl.

Matti . - 10/05/05 14:07 #

g arf a skoa modsecurity egar g set upp njan server, etta er greinilega mli.