Software Guide

Im Artikel Frühstücksfleisch wird immer aggressiver hatte ich auf das Plugin Did You Path Math? verwiesen, welches ganz einfache Rechenaufgaben stellt.

Beispiel:

Probleme mit diesem Plugin:

• Es lässt sich nur in wenige Themes sauber integrieren, und selbst da ist JavaScript notwendig zu Platzierung des Formularfeldes
• Der Besucher muss Cookies zulassen
• Gibt man einen falschen Wert ein (auch: fehlendes Pflichtfeld wie Email-Adresse), und geht nach der Fehlermeldung wieder zurück, so ist der Kommentar-Inhalt und damit u.U. viel investierte Mühe des Besuchers weg.
• Das Plugin führt unnötige Schreib- und Löschaktionen in der MySQL-Tabelle durch, wenn ein User ein falsches oder kein Ergebnis eingegeben hat; hier sollte eigentlich gar keine Schreib/Lösch-Aktion nötig sein.

Daher habe ich das Plugin Math Comment Spam Protection geschrieben.

Der Code ist komplett neu erstellt und basiert auf einem völlig anderen Konzept wie das Did You Path Math? – Plugin. Identisch ist die Idee dahinter: Der Besucher muss eine simple Rechenaufgabe lösen und gibt das Ergebnis in ein Formular ein.
Das Ergebnis wird über eine PHP-Funktion codiert und über ein verstecktes Feld übertragen. Nach dem Absenden des Formulars wird auch die Benutzereingabe mit dem selben Algorithmus encodiert und mit dem Wert des versteckten Feldes verglichen. Wenn die Werte übereinstimmen, wird der Kommentar veröffentlicht.

Ich kann nur sagen, dass es klappt ;-) Seit 2 Tagen ist das Plugin hier auf Software Guide im Testeinsatz, und statt mehreren tausend Spam-Kommentaren / Tag hatte ich jetzt keinen einzigen Spam-Kommentar mehr.

Trackbacks/Pingbacks funktionieren natürlich weiterhin, und gegen Spam-Trackbacks kann dieses Plugin nicht antreten. Daher habe ich vorhin noch das Plugin Trackback Validator installiert, welches alle Trackbacks als Spam markiert, welche auf dem verlinkenden Blog keinen Back-Link zur getrackbackten Seite haben.

Der Kommentar-Spam auf dieser Seite wird immer schlimmer. Heute kamen innerhalb weniger Stunden über 4.000 Spams rein, gestern 5.500 Spams.
Diese Angriffe kommen als normaler Kommentarspam, also nicht über Trackbacks.

Akismet hat dabei sauber alles geblockt. Trotzdem sind diese Angriffe nervig, schließlich kann unter den tausenden geblockten Kommentaren auch ein als falsch eingestufter dabei sein. Aber eine Einzelprüfung fällt bei diesen Spam-Massen aus. Zudem bedeutet dies eine massive Serverlast (der Spam selbst, dann die Arbeit durch Akismet, und dann das Anzeigen/Löschen).

Abhilfe?

Da es normaler Kommentar-Spam ist, wird dieser durch Bots durchgeführt, u.a. gibt es folgende Ansätze:

• Captcha. Also diese Bildchen, auf denen man nie erkennt, was man nun eingeben soll: „o“ oder „O“, „l“, „L“ oder „i“, etc. Nein, das möchte ich meinen Lesern nicht zumuten. Zudem ist Captcha nicht sicher, siehe z.B. captcha decoder.
• Rechenaufgaben. Es gibt das Did You Path Math?-Plugin, dieses stellt den Usern sehr einfache Rechenaufgaben, wie etwa „Was ist die Summe von 9 + 3 ?„. Problem bei diesem Plugin: Gibt man einen falschen Wert ein (auch: fehlendes Pflichtfeld wie Email-Adresse), und geht nach der Fehlermeldung wieder zurück, so ist der Kommentar-Inhalt weg.
• JavaScript-Lösung. Hashcash berechnet per JS clientseitig einen speziellen Wert, welcher zum Server zur Prüfung gesendet wird. Angeblich 100% sicher.
  Allerdings sperrt man damit Besucher ohne aktiviertem JavaScript aus (Thema ‚Barrierefreiheit‘), außerdem wurden bei mir zudem ohne aktivierten JS alle Kommentare ausgeblendet.
• Kommentar-Vorschau: Ersetzt man den „Speichern“-Button durch einen „Vorschau“-Button, welcher nach dem Anklicken erst mal eine Vorschau anzeigt, soll dies einige Bots davon abhalten, dass die Spams gepostet werden. Il Filosofo bietet mit Comments Preview ein solches Plugin an. Mir ist das allerdings noch zu unflexibel in der Einrichtung und daher nicht 100% auf meine Seite zuschneidbar. Dennoch macht das Plugin einen guten Eindruck, für den ein- oder anderen sicherlich so verwendbar.

Zumindest ein Ansatz: Modifiziertes Akismet

Rich Boakes zeigt mit seinem am 08. Juni vorgestelltem Plugin Akismet htaccess extension eine interessante Lösung:
Installation: man ersetzt die akismet.php durch Richs modifizierte Version. Danach sieht man Folgendes, wenn man die geblockten Spams im WordPress-Admin prüft:

Das ist ein Screenshot von heute mittag und zeigt Spams von gestern und heute, da ich gestern alle als Spam eingestuften Kommentare löschte. Es werden hier die 10 meisten Spammer angezeigt, wie im Screenshot ersichtlich liegen 4.801 Spam-Kommentare von wrkplace . com (Online-Poker) vor.
Das Plugin fasst die Spams zusammen, damit kann man diese auf einen Rutsch löschen. Übrig bleiben dann u.U. auch Kommentare, die fälschlicherweise als Spam eingestuft wurden.
Zudem bietet das Plugin das Bannen von IPs (siehe „Ban the listed IP addresses“). Hierdurch erfolgt ein „Deny from…“-Eintrag in der .htaccess, allerdings eben nur IP-basierend, z.B. wrkplace . com spammt mich weiterhin.

Für weitere Tipps und Hinweise bin ich dankbar.
Jetzt packe ich mal mein Gepäck, denn morgen früh geht es erstmal für 2 Tage nach Frankreich. Ich hoffe, dass es sich der Spam nicht nochmal verzehnfacht, denn vor 4 Tagen hatte ich schon mal über massiv angestiegenen Spam berichtet, „damals“ waren es nur gute 500 Spams.

• Nachtrag (Di 27.06., 21:30):
  Siehe hierzu auch einenn interessanten Artikel von Robert, dessen Server die Spam-Attacken nicht mehr mitmachte:
  Spam-Stats und Gegenmaßnahmen.
  Bei mir war es die letzten 2 Tage etwas ruhiger, „nur“ 1000 Spams, und z.B. innerhalb der letzten 30 Minuten 185 neue Spams.
• Nachtrag (Di 04.07., 00:10):
  Mit Einsatz vom mittlerweile selbstgeschriebenen Plugin Math Comment Spam Protection hat sich das Spam-Aufkommen wieder gelegt, siehe Artikel Kommentar-Spam-Plugin für WordPress geschrieben

Auf diesem Blog habe ich gerade massive Spam-Attacken festgestellt, innerhalb weniger Stunden sind 556 (!) neue Spam-Beiträge eingegangen:

Das verwendete Anti-Spam-Plugin (Akismet) hat alles zuverlässig geblockt. Normalerweise überfliege ich diese geblockten Spams immer kurz bevor ich sie lösche, denn ganz selten wird ein echter Beitrag als Spam erkannt.
Dies kann ich bei diesem Aufkommen nun leider nicht mehr machen, sondern lösche diese.
Ist auch noch nie so extrem gewesen, so 20-30 Spams waren die Regel / Tag.

Bitte um Verständnis, falls ich dadurch einen fälschlicherweise als Spam eingestuften Kommentar lösche.

Wahnsinn, während ich die letzten 2 Minuten diese Zeilen schrieb, sind aus 556 schon 574 neue Spams geworden.

Robert berichtet auch von Spam-Massen („…in nicht einmal 5 Minuten 300 Spameinträge…“).

Ich werde ein paar Maßnahmen ergreifen, ich denke an:

• Umstieg von reinem Akismet auf Spamkarma mit Akismet-Plugin
• Auto moderate comments Plugin einsetzen
• Bei den Kommentaren nur einen „Vorschau“-Button anbieten, erst danach kann gespeichert werden. Soll angeblich viele Bots verwirren.

Nun gibt es auch ein Archiv-Blog (hxxp://archiv-blog.de/). Zweck dieses Blogs:

Das Archiv-Blog soll dazu dienen, ein umfassendes Archiv deutschsprachiger Blogs zu erstellen. Bisher nehmen wir regelmäßg neue Beiträge von ca. 20.000 Blogs auf und stellen diese hier zur Verfügung.
Wenn nun dein Server geklaut wird oder abbrennt, kein Problem: Deine Arbeit war nicht umsonst und ist nicht verloren. Wir haben eine Kopie, die wir dir kostenlos zur Verfügung stellen.
Dieser Service ist völlig kostenlos für alle Nutzer und wird die anfallenden Kosten allein durch Werbung auf dieser Webseite finanzieren.

Fakt ist, dass das Blog unzählige Weblog-Inhalte unerlaubt bei sich listet, darunter u.a. Schockwellenreiter, pixelgraphix, Praegnanz u.v.m.

Dreister geht es wohl kaum: sich mit fremdem Content schmücken, das ganze als Wohltätigkeit abtun und mit Werbung daran Geld verdienen.

Im Gegensatz zu archive.org oder dem Google Cache wird hier zudem der Inhalt als der eigene ausgegeben. Der unbedarfte Besucher, der auf diese Webseite z.B. über Google kommt, sieht erstmal nicht, dass es sich um Content-Klau handelt. Außerdem erscheint die Seite nicht komplett, sondern nur der geklaute Inhalt einzelner Artikel.

Was tun?

In jedem Fall erstmal dafür sorgen, dass der Inhalt rauskommt, siehe z.B. Law Blogs offenen Brief. oder Telagon Sichelputzer.

Weitere Meinungen in der Blogosphere: Fletcher, Werbeblogger, Hirnrinde, Blogging Tom, Schoggo-TV

Der Pure FTP Daemon-Entwickler Frank Denis hatte die letzten 5 Jahre immer wöchentlich ein Backup von sämtlichen Daten (inkl. Dokumentation, Sourcecode etc.) auf einem 2. Hostrechner erstellt. Jedoch brauchte er etwas Plattenplatz für eine Applikation, daher hatte er mal schnell temporär die Backups gelöscht. 2 Tage später ist dann die Festplatte, auf der er seine Daten hatte, abgeraucht:

The death of that hard disk has a lot of implications. I’ve lost almost all my work from the last 5 years. I’ve lost all my unreleased source code. I’ve lost all my documentation. I’ve lost critical private and professionnal mails. I’ve lost ssh keys, passwords, license numbers, etc.

All web sites that used to be hosted here are lost. The work for the upcoming new versions of ucarp, sharedance and pure-ftpd is lost. The manucure-pro.com web site is no more, and the customer database is lost as well. 00f.net is obviously dead with the rest, the data is lost with the code. I have no way to recover the subscribers list of mailing-lists like pureftpd’s and ucarp’s ones.

Frank plant, ein Recovery-Unternehmen zu beauftragen und bittet daher um Spenden, um die hohen Kosten der Datenwiederherstellung zu finanzieren.

Ein weiteres Beispiel, wie wichtig Datensicherung ist, obwohl man gerade privat oftmals dazu neigt, das Thema sehr zu vernachlässigen, obwohl man viele verschiedene Möglichkeiten hätte (CD/DVD, USB-Festplatten, Webservices, etc.).

(via: jnblog)