2006: a kommentspam vége

eszpee cikke a Torokgeek rovatból, 2006. március 6. hétfő, 20:40 | 18 hozzászólás

Legalábbis a sesblogon, és legalábbis reményeim szerint. Pár napja jeleztük, hogy ismét kaptunk egy komolyabb támadást, minekfolytán drasztikus antifelhasználóbarát lépésekre kellett elszánjuk magunkat - de már akkor sejtettem, hogy ez nem lehet a történet vége. Következzék a teljes megoldás, MovableType 2.661 (tudom, upgrade-elni kéne) versus Viagrakaszinó, erősen torokgeek, de talán hasznos lehet valakinek - például nekem, ha valamiért mégegyszer meg kéne csinálnom.

Kezdjük az elején.

Eleinte nem volt sok gondunk a spamekkel, legalábbis annyi nem, hogy elérte volna azt az ingerküszöböt, ami egy jobb megoldásra sarkallt volna. A legtöbbjüket megfogta az MTBlackList, amit nem, azt felvettük neki, és attól kezdve már azokat is, a maradékot meg kézzel törölgettük. A gond ott kezdődött, amikor a maradék tette ki az esetek 99%-át.

Sokadik ránézésre se láttam értelmét ezeknek a spameknek. Két típust találtam, az egyik "rendes" websiteokra linkelt (cnn.com, egyetemek, stb.), a másik egyszerűen csak értelmetlen karakterekből állt, nem létező URL-ekre mutatva. A probléma persze nem az, hogy nem értem, miért csinálják, hanem az, hogy kifejezetten támadás jellegű hullámokban jöttek, egyszerre rengeteg, hosszú időn át - amit érthetően nem nagyon tolerált a szerver.

A pohár ott telt be, amikor február végén egy egyébként sűrű délutánon egy oldalpillantás során meglepve konstatáltam, hogy az átlagos 0.1-0.2 helyett tizes loadon fut a szerver, ami ráadásul lassan, de biztosan növekszik. (A load egy praktikus mérőszám a szerver terhelésre, röviden: 0-s load: semmit nem csinál a gép, 1-es load: 100%-osan kihasznált processzor, 2-es load: 200%-osan kihasznált (100%-kal túlterhelt) rendszer. Bövebben a wikipédia segít, mint mindig.)

Azonnal kiderült, hogy a blogra éppen több tucat komment készül egyszerre felkerülni. Első körben balcklistre tettem a (hagyományos viagra vonalon futó) URL-t, ez lásztólag meg is oldotta a problémát, de 1-2 órára rá jött egy második, durvább hullám. A fent leírt értelmetlen spamek jöttek, elég sűrűn, 68-as loadnál lett elegem, lelőttem a webszervert, hogy legalább dolgozni tudjak a gépen, kiszűrtem a faszi IP címét a logokból, felvettem a tűzfalba, hogy többet ne is lássam, webszerver vissza, levegő ki, ok.

Na persze, mert ennyivel megúszom. Percekre rá újra emelkedik a load, persze más címről, ez így elég macska-egér játék, ehhez nincs sok kedvem, megteszem, amit már nagyon rég óta meg kellett volna: átnevezem az MT komment feldolgozó scriptjét a default mt-comments.cgi-ről egy egyedibbre, mert az a koncepcióm, hogy a spambotok csak google-ben keresnek erre az URL-részletre, és POSTolják bele a szemetüket ahova csak érik. (Végülis most éppen több, mint ötmillió helyre tehetik...)

Az átnevezés egyébként olyannyira bevett szokás, hogy sztahanovtól kaptam a tippet, miszerint egyes elszánt b2evo üzemeltetők automatikusan átneveztetik a hozzászólás-motor elérési címét. Nem kispálya.

A dolog működik is, lerakok a régi mt-comments.cgi helyére egy saját IP-logoló pársorost, csak hogy lássam, mégis, hányan próbálkoztak ide postolni. Most megnéztem: 6 nap alatt 10533 próbálkozást kaptunk el, 1446 egyedi IP címről. Ez éjjel-nappal folyamatosan percenként több, mint egy spamet jelent - persze a valódi eloszlás nem ilyen egyenletes, amikor nézegettem, akkor vagy állt, vagy másodpercenként többet kapott. Ez azért elég jól mutatja a probléma méretét.

A történet itt nem ér véget persze, hiszen a fentiekről az alapos URL-turkászokon kívül (szevasztok, én is közétek tartozom!) senki nem értesülhetett. Március 3-án, a belga utunk előtt pár órával viszont egy minden eddiginél erősebb hullám találta meg a már átnevezett kommentscriptet. (Adalék: ezek szerint 3 nap kellett a Google-nek, hogy észrevegye a változást, és újraindexelje a sesblogot - korrekt.)

A spamek most is az értelmetlen fajtából jöttek, így URL alapján szűrhetetlenek, sőt, ugyanazzal a tartalommal ugyanahoz a cikkhez teljesen különböző IP címekről, így az alapján se tudok mit kezdeni velük. (Azért ezen mélázzunk el fél percig, ez egy kiterjedt, központilag irányítható botnetet feltételez - ilyeneket tudtommal kommentspam-generálásra még nem használtak. Szép.)

Nincs mese, jön az ultimate megoldás (grafikus captcha) előtti utolsó metsváram, a maznál is látott plusz egy mező az űrlapra. Mindezt nagyon gyorsan, mert pár óra és indul a repülő, én meg még el se kezdtem pakolni. Első körben kikapcsolom a kommentezést (átnevezem a scriptet, barkácsmódszerek, sietünk), majd nekiugrok a beazonosított comment post modulnak. Meg is vagyok vele hamar, de az istennek se akar működni - mire egy szikra, hogy az MTBlackList nyilván pont ezt a modult definiálja felül, hát persze, hogy annak a forrásában kell egy aprót hegeszteni - így már működik is, kalap kabát, irány Ferihegy.

Hazajőve persze tudtam, hogy nem túl elegáns ennyiben hagyni az egészet. Sok védekezés épül arra, hogy a spambotok a böngészőkkel szemben nem tudnak JavaScriptet futtatni, kézenfekvő lenne ezt kihasználni. Első körben jött az ötlet, hogy az egész plusz formmezőt elrejthetném, és rögtön kitölthetné egy kis JS utasítás - így megspórolható az egyébként szükségtelen töltögetés. Igen ám, de mi van, ha valaki annyira paranoid, hogy kikapcsolt JavaScripttel böngészik, netán mobilról, vagy karakteres terminálról? Legyen az, hogy kiírjuk a plusz mezőt, de utána egy kis rutin ezt rögtön el is rejti, és egyben kitölti a várt értékkel.

Így látszólag semmi nem változott, csak az alap űrlap jelenik meg, a robotok viszont lepattannak rólunk. Ez van most, de persze ki tudja, mit hoz az idő, lehet, hogy ez sem lesz elég - azért én picit nyugodtabban alszom. Köszi a figyelmet, felírhat magának egy pontot mindenki, aki végigolvasta, kettőt aki értette is az egészet.

Akit bővebben érdekel a téma, két link:

• WikiPédia SPAM kategória
• Spam Huntress Blog

(Kép: WikiPédia)

» Ugorj a hozzászóló ablakhoz

Megosztások Facebookon

Hozzászólások

Eddigi hozzászólások (18)