We hope our service makes the Internet better, safer and helps to clean the infected PCs.
Blocklist ist bei den WebmasterTools von Google eingetragen. Dort schauen wir ab und zu die Statistiken, Suchtrends, Leistung usw. ein.
Seit dem 13.01.2012 sind die Suchanfragen sehr stark angestiegen, die Klicks allerdings nicht:
Wer oder wodurch dies ausgelöst wurde, ist bisher noch unbekannt. Über mehr richtigen Traffic, freuen wir uns natürlich 🙂
Um die IP-Adressen, die auf den Listen von blocklist.de gelistet sind zu sperren, gibt es das Modul mod_spamhaus.
Mod_Spamhaus kann man über den Packetmanager installieren oder selbst compilieren. Beide Anleitungen finden sich hier:
Dann kann man die Konfiguration vom Apache anpassen:
/etc/apache2/mods-enabled/mod_spamhaus.conf
<IfModule mod_spamhaus.c>
MS_METHODS POST,PUT,OPTIONS,CONNECT
MS_WhiteList /etc/apache2/spamhaus.wl
MS_DNS apache.bl.blocklist.de
MS_CacheSize 256
</IfModule>
Danke an Jens für die Info.
Bei Fragen, Vorschläge oder anderen Alternativen einfach hier posten oder in unserem Forum
Die Spam-Kommentare im Blog haben seit einigen Tagen enorm zugenommen. Täglich sind mehr als 15 Spamkommentare enthalten.
Wir werden WordPress aufhacken und diese dann über badbot reporten, wenn wir diese als Spam markieren.
Das ist dann eine gute, weitere Quelle für mehr BadBot-Angriffe.
Dazu haben wir neue Dienste wie „sql-injection“ aufgenommen. Auf blocklist.de gehen wöchentlich ca. 5 bis 10 SQL-Injection Angriffe ein, die wir damit nun auch reporten.
Ich hab nichts gegen „hacken“, allerdings muss man dafür dann ein bulletproof-System nutzen oder so hacken, das die verwendete IP (gehackter Server) nicht gemeldet wird 🙂
Aktuell hat blocklist folgende Zahlen/Statistiken:
User: 369
Server: 458
Angriffe: 8.789.643
Reports: 2.303.109
Tägliche Mails: 50.000 bis 119.000
Web-Traffic: ~43 GB
RBL-/API-Traffic: ~160 GB
Mail (In/Out)-Traffic: ~30 GB
Dazu kommen dann noch einmal ungefähr 64GB interner Traffic zwischen dem Mail-/Web- und MySQL-Server.
Der Haupt-Server von blocklist.de ist heute Nacht erfolgreich auf eine neue Hardware umgezogen, die mehr als 3 mal so viel Leistung hat wie der alte.
Dazu kommt noch ein zweiter Webserver, welcher statische Inhalte zwischen speichert und noch einen weiteren rbldns anbietet.
Aktuell ist die Abfrage per dns noch nicht möglich, da diese einen Serverfailer zurück gibt (falsche IP im DNS). In den nächsten 30 Minuten, ist die aktuelle IP dann drin und die Abfragen funktionieren wieder korrekt.
Der alte Server wird dann im Januar zurückgegeben, bzw. im Hetzner-Forum für eine kleine Ablösesumme angeboten.
Falls jemanden Fehler auffallen sollten oder Probleme findet, bitte per E-Mail, Twitter, Facebook oder Forum mir zukommen lassen. Danke!
Aktuell hat blocklist über 322 User, welche wiederum über 400 Server eingetragen haben.
Dazu haben wir in der letzten Woche 10 neue Honeypot-Server in verschiedenen Netzen bei verschiedenen Providern installiert und aktiviert, welche SSH-, FTP-, Imap-, RFI-, Reg-Bot und BadBot-Angriffe melden.
Der Spamer hat aufgehört blocklist zu ddosen, verbreitet dazu allerdings Comments/Einträge, die nicht von blocklist, aber auf blocklist.de verlinken.
Viele Blogs/Seiten schalten diese Kommentare leider frei anstatt diese zu löschen.
Des weiteren arbeiten wir noch am Nginx-Server um blocklist besser zu cachen, bzw. härter gegen DDoS-Angriffe zu schützen.
Es werden auch noch weitere Webserver dazukommen, damit die Webseite schneller ist, bzw. die Last weiter verteilt wird, da ein Upgrade auf einen größeren Server zwar möglich wäre, aber doch viel mehr Arbeit ist als noch einen zweiten dazu zu stellen.
in Spamer oder eher Skript-Kiddie hat heute versucht blocklist zu schaden, bzw. versucht den Dienst zu überlasten.
Er insgesamt sich 13.552 mal bei blocklist registriert und über 8.000 Accounts bei unserem Provider Hetzner für Konsole-H.
Dazu hat er ca. 8.000 mal das Kontaktformular mit „Copy“ und als Absender-Adresse abuse@mein-provider.tld abgesendet.
Da ich kein Empfang hatte, hab ich dies erst auf dem Heimweg durch das Monitoring bemerkt und entsprechend gehandelt.
Die Logdateien, E-Mails, Drohungen über das Kontaktformular wurden gesichert und wurden bereits online an die Polizei gesendet. Die Anzeige wird dann nächste Woche schriftlich bestätigt.
An den Herrn Spamer, bzw. 178.73.218.201 (wserv201.woodcrane.com), du kannste gerne so weiter machen, aber das GUTE siegt immer 🙂
Mai, ich verdiene durch blocklist kein Geld, aber du verlierst wahrscheinlich Geld, wenn wir deine Kisten über die du spamst/angreifst down gehen lassen.
Blocklist ist in erster Linie auf Mails von Fail2Ban zugeschnitten und zwar für die Mails, welche über die Aktion „sendmail-whois-lines“ versendet wurden.
In diesen Mails, steht der Dienst, die Whoisausgabe (optional) und dann die Logfiles. Wenn wir in den Mails die Whois-Daten finden, verwenden wir diese, ansonsten führen wir eine Whois-Abfrage aus und cachen diese.
Wenn wir allerdings für ein ASN/IP-Range bereits eine eigene Adresse vom z.B. Cert oder von dem zuständigen Abuse-Team direkt erhalten haben, nehmen wir sofort die eingetragene Adresse.
Ansonsten parsen wir die Whois-Daten und prüfen auf folgende Felder:
Sollten wir darin nicht fündig werden, so prüfen wir den RIPE-Abuse-Finder und cachen dessen Ergebnisse ebenfalls zwischen.
Sollte auch der Abuse-Finder keine Adresse gefunden haben, so prüfen wir die Contact-Datenbank von abusix.org. Sollten wir von dort auch kein Ergebnis erhalten, so geht der Report an uns zum manuellen prüfen.
Dies kommt eigentlich nur vor, wenn z.B. uralte Einträge existieren, wo keine Instanz eine Adresse hat. Diese haben dann nicht mal auf dem Hostnamen des Providers/Gateways eine Kontakt-Adresse und abuse.net hat ebenfalls nichts.
Diese Reports können wir dann natürlich nicht zustellen.
Wir haben uns auch schon eigene Whois-Server angeschaut um die Daten nicht über die Whois-Server der Registrys einzeln abzufragen, sondern z.B. per FTP zu syncen, allerdings waren dort nie die korrekten Adressen drin oder aufgrund der Richtlinien nicht im FTP-Data enthalten.
Wie entstehen die Spam-URLs, die in verwaiste Foren, Wikis, Gästebücher und Blogs gepostet werden?
Durch Spambots wie etwa XRumer oder SENuke werden große Linklisten, die verwaiste Foren enthalten angesurft. Sobald der Bot eine Möglichkeit gefunden hat, einen Post abzusetzen oder einen Benutzer zu registrieren versucht er, einen vom Admin des Bots vordefinierten Link hineinzuposten um so die Suchmaschinenergebnisse der Seite zu verbessern. Oftmals werden auch die Links der Posts, die der Bot erstellt hat in andere verwaiste Foren gepostet um auf diese Weise noch mehr Suchmaschinenbots auf die Inhalte zu locken, da diese den Links folgen.
Die Bot-Admins verwenden hierbei oft Proxies um so Blacklistings zu umgehen und die Erfolgsquote ihrer Spambots zu erhöhen, daher sind einfache IP-Sperrungen oftmals nicht empfehlenswert, da diese sehr leicht umgangen werden.
Es ist daher wichtig, Anti-Bot Maßnahmen in die Webanwendungen einzubauen wie etwa Anti-Bot-Fragen, da normale Captchas bis hin zum bekannten reCaptcha bereits von Spambots ausgelesen werden können und daher nahezu keinen Schutz vor unauthorisierten Anmeldungen oder Spampostings mehr bieten. Wichtig ist es auch, falls es bereits zu Spam in einer Webanwendung gekommen sein sollte, die entsprechenden Postings oder Benutzer zu entfernen, da diese der Reputation der Website nachhaltigen Schaden zufügen können.
Insbesondere bei automatisch registrierten Benutzern sollte überprüft werden ob diese Links in ihrer Signatur oder dem „Webseite“-Feld im Benutzerprofil angeben, da auch dort sehr häufig Spamlinks hinterlegt werden.
Ein hilfreiches Portal, bei dem zahlreiche Anti-Bot Maßnahmen und Plugins entwickelt wurden und Hilfestellung gegen Spam in Foren, Wikis oder Blogs gegeben wird ist http://stopforumspam.com. An dieses Portal gibt www.blocklist.de auch die Reg-Bots, IRC-Bots und BadBots weiter, die blocklist erhält um die Information zu teilen und die User vor Foren-Spam zu schützen.
Autor: Matthias
Wir haben in unseren anonymisierten Statistiken und Logs zu blocklist.de immer mehr Referer, welche von einem gehackten oder vollgespamten Forum stammen.
Erst lag die Vermutung nahe, das die SEO-Spamer, welche Xrumer, SeNuke usw. verwenden nach einen Beitrag/Registrierung prüfen ob die verwendete IP auf blocklist.de gelistet wurde.
Nach weiteren Prüfungen sind dies aber wohl nur Referer-Spam, da immer http://www.blocklist.de/ aufgerufen wird.
Per .htaccess werden die Aufrufe nun auf ein Skript umgeleitet und dort die IP, Referer und weitere Daten vom User (OS, Browser…) gespeichert. Das Skript gibt dann einen Fehler 500 per php über die Funktion header() aus.
Somit können wir evtl. feststellen ob die Aufrufe durch IP-Adressen entstehen, die schon mal durch z.B. Forenspam aufgefallen sind. Wir beobachten dies weiter und berichten hier.