Kommentarspam

Kaum ist man einen Monat online, da hagelt es schon Kommentarspam. Nicht dass ich damit allzugrosse Probleme hätte, schliesslich benutzt der Blogger von Welt Dienste wie Akismet. Aber nervig sind diese Einträge schon.

Jetzt gibt es ja zwei Möglichkeiten wie man gegen Spam vorgehen kann. Entweder man versucht ihn jedesmal zu ignorieren oder man versucht dagegen etwas zu unternehmen.

Da unsereiner ja immer auf der Suche nach einem interessanten Thema für den Blog ist, habe ich mich natürlich für den zweiten Weg entschieden und versuche etwas dagegen zu tun.

Zuerst muss man einmal herausfinden, wer mich denn überhaupt mit Spam vollmüllt. Hierzu dient wie immer die einzige Spur welche der SPAM-Täter hinterlassen hat (ist ja wie bei CSI hier 😉 ); seine IP Adresse.

Anhand der IP Adresse weiss man immerhin woher der böse Spammer überhaupt kommt. In meinem Fall habe ich sogar das Glück, dass der Spammer zu 80% von der IPAdresse 91.186.12.54 und zu 20% von der Adresse 91.186.18.30 seinen Müll absondert. Das deutet darauf hin, dass der Spammer unheimlich doof ist oder dass irgend eine arme Seele einen Zombie Rechner betreibt. Das ist eine Maschine, auf der unbemerkt vom eigentlichen Betreiber ein Dienst läuft welcher z.B. SPAM versendet.

Versuchen wir also zuerst einmal zu schauen wem die Adresse denn gehört. Eine whois Anfrage bringt Klarheit.

whois –verbose 91.186.12.54

inetnum: 91.186.0.0 – 91.186.31.255
org: ORG-PIS3-RIPE
netname: UK-POUNDHOST-20061103
descr: PoundHost Internet Services
country: GB
admin-c: MM5420-RIPE
admin-c: KW725-RIPE
tech-c: MM5420-RIPE
status: ALLOCATED PA
remarks: PH-Network (Europe)
mnt-by: RIPE-NCC-HM-MNT
mnt-lower: POUNDHOST
mnt-routes: POUNDHOST
mnt-routes: AS5413-MNT
source: RIPE # Filtered
[…]
address: United Kingdom
[…]
remarks: Please contact abuse@euroconnex.net for any abuse issues
[…]
remarks: Please contact abuse@PoundHost.com for all abuse issues

Wir wissen nun also, dass der Spammer seinen Müll aus England verschickt, dass seine Adresse 91.186.12.54 (wie auch 91.186.18.30) in den Adressbereich 91.186.0.0 – 91.186.31.255 fällt und dass dieser Adressbereich wiederum der Firma PoundHost.com zuzuschreiben ist.

Machen wir uns also zuerst ein wenig über die Firma schlau. Ein Besuch auf deren Website zeigt uns, dass es sich dabei um eine Hosting Firma handelt, welche dedizierte Server Angebote verscherbelt. Das bedeutet, dass man als Kunde dort einen Rechner zugewiesen bekommt auf welchem man in juristisch abgesteckten Grenzen schalten und walten darf wie man will.

Das versenden von SPAM gehört in den meisten Fällen jedoch nicht dazu. Und tatsächlich liest man sich PoundHost’s Terms and Conditions of Service (TOS) durch, so findet man unter Absatz 1g den folgenden Wortlaut:

Upload, post or otherwise transmit any unsolicited or unauthorised advertising, promotional materials, «junk mail,» «spam,» «chain letters,» «pyramid schemes,» or any other form of solicitation, except in those areas of the Site that are designated for such purpose.

Auf Deutsch übersetzt bedeutet dies in etwa folgendes:

Hochladen, versenden oder anderweitige Übertragung unerwünschter oder unbefugter Werbung, promotions Material, «junk Mail», «SPAM», «Kettenbriefe», «Pyramieden Schemas» oder jegliche andere Form von Bewerbung, ausgenommen Bereiche der Seite welche für diesen Zweck bestimmt sind.

Da SPAM also ausdrücklich nicht erlaubt ist, habe ich mich an die beiden abuse Adressen gewandt und folgende Email verschickt:

Hello Abuse Team

My Blog (http://blog.matse.ch) is getting automatically generated Spam Feedbacks from 91.186.12.54 and sometimes from 91.186.18.30.

The Spam Contains Text like:

—–snip—–snip—–snip—–snip—–snip—–snip—–snip—–
Vaccarino of together in retire or vesicare adequate to documented. Crossing the and fertility dapoxetine and surgery virus passes cough. Our goal study published reported hero heightened global self. Another approach exercising good hospitals own symptoms develop contacts. Other clinical on how states income generated. Since sialic caps on population contact bupap […and so on…]
—–snip—–snip—–snip—–snip—–snip—–snip—–snip—–

Where some Words link to sites like (http://mkca.info) or (http://uniid.info/).

Since these Sites doesn’t exist anymore it looks like the holders of these IP Adresses have some Virus installed which sends this crap (or why should someone send Spam for not existing sites?).

Since the TOS of poundhost.com (http://www.poundhost.com/tos.php) prohibits using the service for SPAM i would like to ask you kindly to take any technical measures to stop the spam from the IP’s
91.186.12.54 and 91.186.18.30.

Best regards
Matthias Egger

Darin äussere ich auch meine Vermutung, dass es sich beim Spammer wahrscheinlich um einen Virus verseuchten Rechner handelt, da die Spam Kommentare jeweils auf die Seiten (http://mkca.info) oder (http://uniid.info/) zeigen. Diese Seiten sind jedoch nicht mehr erreichbar, was den Schluss zulässt, dass hier der Virus – nichts ahnend von der nicht Existenz der Websiten – getreu seines Auftrages alle paar Stunden diese Kommentare erstellt.

Jetzt bleibt nur noch abzuwarten ob das Abuse Team diesbezüglich auch etwas unternimmt. Ich werde sicherlich noch davon berichten 😉