» Home

Referrer-Spam IV – der Parasit von “Norwegion cruises”

Seit 19h01 geht das heute so:

207.58.178.163 – – [25/Aug/2005:19:12:26 +0200] “GET http://www.haimb.de/jc/wp/category/argerliches/ HTTP/1.0” 200 16199 “http://norwegion-cruises3.penfind.com” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)”
207.58.178.163 – – [25/Aug/2005:19:12:51 +0200] “GET http://www.haimb.de/jc/wp/category/argerliches/ HTTP/1.0” 200 16199 “http://norwegion-cruises3.penfind.com” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)”
207.58.178.163 – – [25/Aug/2005:19:13:03 +0200] “GET http://www.haimb.de/jc/wp/category/argerliches/ HTTP/1.0” 200 16199 “http://norwegioncruises.up.to” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)”
207.58.178.163 – – [25/Aug/2005:19:13:52 +0200] “GET http://www.haimb.de/jc/wp/category/argerliches/ HTTP/1.0” 200 16199 “http://norwegion-cruises3.penfind.com” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)”
207.58.178.163 – – [25/Aug/2005:19:14:03 +0200] “GET http://www.haimb.de/jc/wp/category/argerliches/ HTTP/1.0” 200 16199 “http://norwegioncruises.up.to” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)”

In den vergangenen vier Stunden hat dieser Spammer mit seinen gefälschten Referrern so viele Hits erzeugt:

norwegioncruises.up.to 244
norwegion-cruises3.penfind.com 236
norwegion-cruises4.penfind.com 228
norwegion-cruises.penfind.com 221

Dieser Parasit scheint ein lausiger Anfänger zu sein. Nicht nur, weil die Leute, denen er Geld aus der Tasche ziehen will, wohl eher nach “Norwegian” suchen würden, sondern weil schon die IP direkt zu seinem Webhosting(!)-Provider führt, der gegen 22 Uhr immerhin 140kb an Logfiles von mir bekommen hat:

Current Registrar: DIRECT INFORMATION PVT. LTD., DBA DIRECTI.COM
IP Address: 207.58.178.163 (ARIN & RIPE IP search)

Dort hat der Parasit seine per Spam beworbene “Suchmaschine” untergebracht:

Registration Service Provided By: HIGH QUALITY HOST COMPANY
Contact: +1.2706378553
Domain Name: PROHOSIM.COM
Registrant:
jonn
jonn (tempjob@mail.ru)
Morskaya 10
Tuapse.
null,352800
RU
Tel. +000.000000000

Nun, ich bin gespannt, wie schnell abuse@directi.com reagiert… und wieviel Traffic der Russe allein mich gekostet hat, bis dahin… Vollkommen sinnlos verbratener Traffic, weil er in keiner meiner öffentlich sichtbaren Statistiken auftaucht, keiner seiner Hits auf mein Blog also einen Einfluss auf sein Ranking bei Google haben kann.

Mir ist es ja egal, wie die Leute versuchen, ihr Geld zu verdienen – aber muss es unbedingt auf Kosten Dritter sein?

Update (26.08.05 – 1h40): Weil ich mich mit der .htaccess nicht wirklich gut auskenne und der Kerl seinen Bot immernoch am Laufen hat, fragte ich Mela um Rat. Nun ruft der Spammer zwar weiter meine Seite auf, bekommt aber regelmäßig einen “Error 403” =)
Ich weiss gar nicht, warum ich mir die Steuerungsmöglichkeiten dieser Datei bislang nicht angesehen habe – mächtig ohne schwer zu verstehen zu sein.

Update (22.09.05): Nach knapp vier Wochen hat der Parasit nun die IP gewechselt und ist mit 207.58.131.6 (der Provider ist weiterhin servint.com) unterwegs, um seinen Referrer-Spam abzusetzen.

Jedem, der Root-Zugriff auf seinen Server hat, sei die folgende Zeile für das Firewall-Script ans Herz gelegt (ein kundenfreundlicher Provider wird – bei entsprechender Sachlage – sicher auch hilfsbereit sein und sie selbst einfügen):

iptables -A to-int -p tcp -d www.deinedomain.de. -s
000.000.000.000 --dport http -j DROP

Wobei “000.000.000.000” durch die IP des Spammers zu ersetzen ist und natürlich auch ein ‘REJECT’ denkbar wäre.

7 Kommentare zu “Referrer-Spam IV – der Parasit von “Norwegion cruises””

  1. CottonIJoe sagt:

    Hab den selben Spammer erwischt!

    http://cottonijoe.de/2005/09/02/wer-oder-was-ist-penfindcom/

    hab das einfach per htaccess gelöst. vielleicht schick ich dem hoster auch noch ein logfile, bei mir sind über 1.6gb traffic dadurch entstanden, die ich aber zum glück nicht zahlen muss…

  2. Cottonijoe.de » Blog Archive » Wer oder was ist penfind.com? sagt:

    […] Nachtrag: Genaueres stöbern in den Benutzerstatistiken hat ergeben dass der Spammer 1.6GB Traffic verursacht hat, was immerhin 76% meines Gesamttraffics sind. Wenn ich richtig liege hat der Spammer die feste IP 207.58.178.163, die ich jetzt zusätzlich per .htaccess aussperren werde. Bei der Recherche habe ich auch eine weitere Webseite gefunden, die das selbe Problem hat wie ich: Bericht auf Coram Publico. referrerspam, spam, referrer, htaccess, deny, penfind, penfind.com […]

  3. JC sagt:

    Ja, schick seinem Provider ein Log! Vielleicht hilft es ja, wenn sich mehrere Leute beschweren – auf meine Mail wurde bislang nicht reagiert.

  4. CottonIJoe sagt:

    diverse .htaccess-Einträge halten die Spammer zwar nicht vom Server fern (das scheint wirklich ein sehr stupider Bot zu sein), aber er versendet fleißig “Error 404 – Forbidden” an die Idioten und somit wird kein Traffic mehr generiert…

  5. Pete Finnigan sagt:

    Hi,

    Sorry I cannot leave a comment in German but i saw your post whilst investigating this spammer. A google search for his IP address returns 904 results of his efforts succeeding. The referal URL’s he uses redirect to his own site – i wont list it here for obvious reasons.

    I have been putting up with this spammer for nearly two weeks as well – 207.58.178.163 – He has posted 65,000 hits to my website in this time promoting his site. Like you I do not publish referrer logs so he is wasting his time but eating large amounts of my bandwidth.

    I have asked my ISP to block him in their firewall but they have not responded and I have sent emails to directi.com and also servint.com (who are showed as owners of the net-block). I don’t expect much help from them as reporting people usually has little effect.

    My main reason for posting was to say you are not alone and I wanted to ask how one of your commentors generated a 404 with a .htaccess to get rid of him? How did they do it.

    Thanks, danke.

    Pete

  6. JC sagt:

    Indeed, this spammer’s provider simply does not care. I’ve send them logfiles which they chose to ignore. Well…

    The lucky thing: that Spammer is lame, using the same IP for several weeks now ;) That makes things easy to deny him the right to reach your site: Error 403.

    All you have to do, is including the following code into your .htaccess file:

    [Files *]
    Deny from 207.58.178.163
    [/Files]

    instead of [], use <>

  7. JC sagt:

    Find more detailed help on that matter:
    http://www.javascriptkit.com/howto/htaccess5.shtml

Hinterlasse einen Kommentar

Bitte halte Dich an die Netiquette. Danke!

XHTML: Diese Tags kannst Du verwenden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

kostenloser Counter