Comment-Spammer werden geschickter
Spam Karma 2 läuft bei mir seit drei Monaten zu meiner vollsten Zufriedenheit. Umso mehr war ich heute verwundert, als Spam Karma zwei Comments, die eindeutig Spam sind, zur Moderation anzeigte.
Den Grund glaube ich in diesen beiden Zeilen der Karma-Ermittlung zu finden:
-2: Browser doesn’t support Javascript
0.5: Encrypted payload valid: IP matching.
Der Browser (or what ever used) kann zwar kein Javascript, dennoch ist die Payload verschlüsselt und zutreffend. Also haben die Spammer aufgerüstet. Neu scheint das nicht zu sein, denn bei Florian Holzhauer war bereits im Mai Entsprechendes zu lesen.
Am 2. Januar 2006 um 23:49 Uhr
Wir brauchen eine private Internetpolizei!
Am 3. Januar 2006 um 11:02 Uhr
Vielleicht hat SK Anlaufschwierigkeiten im neuen Jahr? Dein PB ist nämlich bei mir wiederum als Spam “vernascht” worden. Ich habe Dich natürlich gerettet
Ich denke das sollte man im Auge behalten. Wobei ich mich schon frage, wie die Payload in Ordnung sein kann, wenn das Teil kein JS kann. Ich dachte beide Dinge hängen miteinander zusammen. Oder sollte ich mir doch mal den Quellcode ansehen?
Am 3. Januar 2006 um 16:54 Uhr
wie identifiziert sk überhaupt posts als spam? kann doch nicht sein, dass ich da drin lande…
Am 3. Januar 2006 um 20:35 Uhr
@Thomas:
Irgendwie war da wirklich der Wurm drin. Das TP ist auf einigen Sites “gefressen” worden, d.h. es ist dort nicht zu anzeige gekommen.
Ich hatte die
function.phpentsprechend Changeset 2933 (wegen der User-Agent-Problems) gepatcht und hatte den Eindruck, dass das Senden von PB und TB endlos dauerte und teilweise erfolgtlos blieb. (hab’ den Patch rausgenommen und es geht wieder schneller, kann auch Einbildung sein).Poste doch hier mal das Karma es TP. Wie im Bild vorgehen: Mauscursor über das Karma-Feld, Text markieren und Strg+C & Strg+V.
Das mit der Payload stelle ich mir so vor: Der Spammer kommt mit einem Tool, das zunächst die Commentseite abholt und analysiert (siehe auch Link zu fh). Wenn es die Anwesenheit von SK “spürt”, dann erzeugt es -wie auch immer- die Payload, die scheinbar aus der verschlüsselten IP besteht. Ist halt die Frage, ob die Verschlüsselung immer gleich ist (= Verschlüsselung einmal programmieren) oder sich ständig ändert (=irgendwie aktuellen Code ermitteln).
Was micht wundert ist, dass SK eine Payload akzeptiert und positiv bewertet, wenn das Gegenüber kein JS kann.
Oder kann es sein, dass Java und JS Anwendung findet?
Dem sollte man mal nachgehen. Sehe da drei Möglichkeiten:
Am 3. Januar 2006 um 20:38 Uhr
@Matthäus:
Von Dir ist ja auch nix gefressen worden.
Ansonsten weiß ich auch nicht, wie das genau geht…
Am 3. Januar 2006 um 20:39 Uhr
…sind übrigens wieder zwei Spam-Comments dieser Art eingeflogen.
Am 4. Juli 2006 um 16:37 Uhr
Das ist ja echt eine interessante Sache. Werde ich wohl mal ausprobieren. Hoffe, dass das SPAM-ING dann aufhört. Viele Grüße jens ( http://www.isoliert.de/forums/ )