licats-bot? WTF?

Gestern tönte ich noch was von "Ich hab keinen Referrerspam" ... Das hat er dann wohl gehört und holte es nach.

MissAntroph: neuer spambot unterwegs...

Nicht nur bei mir, drüben bei F!XMBR eben so. (Bildschirmschuss)

Chris: die letzten 50 referers von ihm

[Ich geh basteln...]

Eines muss man dem Chris lassen: Er hat gelernt die letzten Tage.

Guggte er bei solche Sachen noch letzte Woche wie ein Schwein ins Uhrwerk, zückte er heute selbstbewußt und siegessicher die erste Waffe, die er zu fassen bekam:

Chris: Deny from 80.139.218.45

Ich bin ein Spielverderber:

MissAntroph: nope

MissAntroph: warte mal

Chris: nope???

MissAntroph: habs gleich

Nunja, aus "gleich" wurde "später", aber es ist mitten in der Nacht bzw. früh am Morgen und ich hatte nur 6 Stunden Schlaf gestern, der Server sah das auch so und loopte die Aufrufe einfach lustig im Kreis. Spammen war zwar nicht mehr möglich, aber wirklich hybsch war das auch nicht

RewriteCond %{HTTP_REFERER} ^http://.*licats-bot.*$ [NC]
RewriteRule ^(.*)$ http://localhost/ [R,L]

...stehts nun in der htaccess. Der Bot (oder was auch immer das da ist), wird auf sein localhost zurückgeleitet. Wir waren uns nicht ganz einig, wem wir den Traffic schicken, ich starte hiermit eine Umfrage:

Alternativen für localhost, anyone?

Hallo. Wenn du neu hier bist, möchtest du vielleicht meinen Feed abonnieren? :)

· Del.icio.us · ReTweet! · Mr Wong · Google Buzz ·

Gespeichert unter:

Netzwelt, Spam

Schon gelesen?

· kleinkramtechnikbotgedöns · Serverfutter · Vielleicht sollte man...

Da wurde 18 x wat jesacht zu “licats-bot? WTF?” »»

Chris

Getippselt von Chris am 02.09.06 um 6:00

Fein gemacht.

Ich hab da noch ein paar Vorschläge:

[ ] Gazprom.com
[ ] cia.gov
[ ] orion.de
Kamuflaro

Getippselt von Kamuflaro am 02.09.06 um 6:06

Ich stimme für aboutus.org, die haben eh noch einen Preis verdient.
missi

Getippselt von missi am 02.09.06 um 6:19

AboutUs ist hybsch. :o) Nur ham wa ein Problem: Ich weiß nich, was der Spinner da oben macht, was er will. (Hab heut aber auch keinen Nerv mehr, hier die Logfiles zu wälzen). Wenn der Adressen sammelt, wäre Aboutus ne weniger hybsche Variante.
Weiß noch wer, wie diese Pingbackspammer hießen?

Ich denk, ich werd mal irgendwo ne Falle hinstellen, wo ich den hinleite und in Ruhe auswerten kann. Aber sicher nicht mehr in den nächsten Stunden, ich mach jetzt Feierabend. :o)
Oli

Getippselt von Oli am 02.09.06 um 10:34

Warum nicht einfach return to sender?
Kamuflaro

Getippselt von Kamuflaro am 02.09.06 um 12:48

Oli, guckst du localhost wiki. <.<
Oli

Getippselt von Oli am 02.09.06 um 12:58

>Alternativen für localhost, anyone?

>Chris: [ ] cia.gov

Ich: -> Warum nicht einfach return to sender?

localhost wiki?
Kamuflaro

Getippselt von Kamuflaro am 02.09.06 um 13:02

Weil localhost in diesem Fall der spammende Bot ist.
Oli

Getippselt von Oli am 02.09.06 um 13:13

Es dürfte doch wohl klar sein, das localhost nicht der tatsächliche Verursacher ist, oder?
Greg

Getippselt von Greg am 02.09.06 um 13:39

Laut dieser Site scheint es ein Bot zum URL-Hijacking zu sein. Jedenfalls lässt die entsprechend aufgelistete Site licats.com die Schluss zu. Aud die Domain würde ich dann auch gleich umleiten.

Bei localhost würde ich Oli zustimmen. Wer seinen Rechner allerdings nicht schützt und sich irgendwelche Viren als Bots einfängt, der ist evtl. auch selber Schuld. Finde ich trotzdem fragwürdig.
missi

Getippselt von missi am 02.09.06 um 16:01

Hmm, was allerdings gegen eine lokale Infektion spricht, also für mich gerade, ist die Tatsache, dass, insbesondere drüben bei Fixmbr, die Zugriffe innerhalb von Sekunden im 2 stelligen Bereich waren. Und wenn ich hier mal in den Beitrag gugg, und der liegt schon ein paar Tage zurück, ist auch immer die IP die selbe. Wenn der da irgendwelche Internetzexplorer hijacken würde, würde ich ne Infosseite bauen und darauf verweisen. Aber so?

localhost macht mich noch nicht glycklich. Ich schwanke noch zwischen einer Seite irgendwo, wo ich ich Zugriff auf die Logfiles habe um das mal zu beobachten oder irgendwelche schwarzen Löcher, weiterleitung von a, nach b, nach c, nach... ein Loop halt. :o) Aber das macht weniger Spaß. :o)
Greg

Getippselt von Greg am 02.09.06 um 16:10

Gut, dass die IP immer die selbe ist, wusste ich nicht. Dann wäre das natürlich unwahrscheinlich, dass das private Zombies sind.

Ich weiß nicht, wie das mit mod_rewrite geht, aber vllt könnte man die Bots immer zu ihrere eigenen IP weiterleiten. Klingt zwar erstmal so wie localhost, aber localhost geht nicht übers Inet. Wenn er direkt auf seine eigene (extern) IP zugreift, zieht das afaik auch seine eigene Geschwindigkeit runter. Bringt zwar nicht viel, wenn es nur bei dieser Site hier so ist, aber es geht ja auch eher ums Prinzip
missi

Getippselt von missi am 02.09.06 um 16:25

Oli lies mich gerade (Ich bin bei meinem ersten Kaffee, herjeh. ) was testen.
Zu den IPs: Korrektur, nicht immer die selben, aber alle Telekomrange.Ich mag nun ungern alle Telekomser aussperren.

#das lica-botgedoens
#Kommt im referrer ...
RewriteCond %{HTTP_REFERER} ^.*licats-bot.*$ [NC]
#...vor, leite um auf:
#RewriteRule ^(.*)$ http://localhost/ [R,L]
#oder sperre komplett, weil oli das so will :o)
RewriteRule ^.* - [F]

Nu sieht das so aus.
missi

Getippselt von missi am 02.09.06 um 16:32

Aso, wegen der Umleiterei: Der Pepino baute damals in der ersten Blogspamzeit da was hybsches in Sachen Referrer auf sich selbst zurückleiten.
Patrick

Getippselt von Patrick am 04.09.06 um 13:29

das problem mit deinem regewrite ist, dass man auch von urls mit dem bot im namen auf localhost umgeleitet wird. also von leuten die darueber berichten. so wie ich gerade einige male. soweit er bei mir "zugeschlagen" hat steht im referer immer dumm licats-bot weshalb ein ^licats-bot$ reicht.
missi

Getippselt von missi am 04.09.06 um 13:42

Recht haste. Thx.
missi

Getippselt von missi am 04.09.06 um 13:55

So, dann nochmal zum ready zum copy/past - mitnehmen:

RewriteEngine On
RewriteBase /

#das lica-botgedoens
#Kommt im referrer ...
#RewriteCond %{HTTP_REFERER} ^.*licats-bot.*$ [NC]
#Fix it, Baby
RewriteCond %{HTTP_REFERER} ^licats-bot$ [NC]
#...vor, leite um auf:
#RewriteRule ^(.*)$ http://localhost/ [R,L]
#oder sperre komplett :o)
RewriteRule ^.* - [F]

Das muss alles in eine Datei namens .htaccess (Punkt davor beachten, notfalls auf dem FTP umbenennen, wenn Windows sich albern hat.) Die muss ins Rootverzeichnis.
#= Auskommentiertes Zeux, das kann auch theoretisch alles weggelöscht werden, wenns stört.

Trackbacks/Pingbacks»»

majoky » licats-bot

Gepingt von majoky » licats-bot am 06.09.06 um 11:03

[...] Ich hab das Gefühl ganz offenbar nicht alleine, und da ich nicht so der Scriptler bin, werde ich da mal dankbar auf die Erfahrungen und ßberlegungen anderer zurückgreifen. [...]
Missis Notizblock » Serverfutter

Gepingt von Missis Notizblock » Serverfutter am 12.10.06 um 3:47

[...] Ach, und licats-bot hat scheinbar einen neuen Namen und wanderte ein paar Tage zurück gen localhost. gugli-bot nennt er sich nun. Mittlerweile bin ich aber neugierig und teste, ob da was menschliches hintersteckt. Wenn ja, kann er sih höchstpersönlich selbst von der htaccess löschen. Wenn nich, bleibt er drauf. Stört mich nicht. Nimmt keinen Platz und frißt kein Brot.:o) [...]

Ick will mal wat sagen... »»

Melting hard drives