03.06
Wir erhalten ja wie bereits mehrfach geschrieben über unsere Honeypot-Seiten und Server einen Haufen an Links/URLs von den Spamern, die Ihre Einträge in unsere Honeypot-Seiten schreiben.
Ebenso, senden die Spamer alle paar Minuten auch Spam-Einträge durch unseren X-ARF-Validator. Die dort eingetragenen Daten, werden temporär gespeichert und dann analysiert und ausgegeben. Also ob der Report korrekt ist oder Fehler aufweist. Bei Fehlern vom Skript oder Dienst, erhalten wir einen Error-Report, wo auch die Eingegebenen Daten zum reproduzieren enthalten sind. Diese sehen oft so aus:
7p1ycJ <a href="http://bwuwibotvoeh.com/">bwuwibotvoeh</a>, [url=http://tfnnlpsrepst.com/]tfnnlpsrepst[/url], [link=http://houlrmtcufjd.com/]houlrmtcufjd[/link], http://znlsndjksnlg.com/
Solche Links und Einträge erhalten wir auch bei unseren Honeypot-Seiten. Dies sind mehrere hundert neue Links am Tag. Diese reporten wir nun auch, wenn die Inhalte der Seiten einen bestimmten Score überschreiten.
Kommt z.B. 10 mal das Wort „Viagra“ in genau solch einer Form oder 15 Mal in einer ähnlichen Form vor, wird der Score pro Fund um 100-500 Punkte entsprechend erhöht. So ergibt sich dann aus den einzelnen Wörtern ein Gesamtscore. Ist dieser zu hoch, wird die URL an das zuständige Abuse-Team des Providers gemeldet. Diese können dann prüfen ob z.B. ein vergessenes Forum missbraucht wurde. Oft fassen diese bereits mehrere hunder tausend Einträge zu Malware oder Spam-Seiten.
Ebenso sind sehr viele Seiten von großen Portalen dabei, wo Aboute-Me-Seiten missbraucht werden. Einige Portale haben nach mehrmaligen Reports Abhilfe geschaffen (z.B. my.opera.com), andere reagieren gar nicht oder sagen sie haben etwas getan, aber die Seiten sind weiterhin online (myspace.com).
Solche Portal-Seiten werden anhand von einer Blacklist gefiltert und nicht reportet, wenn diese nichts unternehmen.
Aktuell sind uns keine Dienste ausser SURBL und cyscon csirt (Malware) bekannt, die solche URLs reporten, ausser wenn Markenrechts-Verletzungen durch die Nutzung von geschützten Wörtern besteht.
Der Dienst von spamlinks.blocklist.de ist aktuell noch im Anfangsstadium und kann daher noch Fehler aufweisen und Verbesserungswürdig. Bei Fragen oder Vorschlägen bitte einfach uns anschreiben: