[linux] apache & webspam (en zo stop je ze)
Hugo van der Kooij
hvdkooij op vanderkooij.org
Do mei 12 23:43:41 CEST 2005
Hoi,
Om webspam te stoppen keb ik een paar zaken gevonden die wellicht handig
zijn voor andere mensen. Ze zitten in ieder geval in apache 2.0 als je
weet waar je naar zoeken moet in de manual.
Indien er iets mafs in het agent veld zit verklaar ik het tot web_spam:
BrowserMatch "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98; Win 9x 4.90)" web_spam
BrowserMatch "gamble" web_spam
BrowserMatch "sex" web_spam
.....
Evenzo als het in het referer veld zit:
SetEnvIf Referer casino web_spam
SetEnvIf Referer sex web_spam
.....
web_spam classificatie gaat naar een andere weblog file zodat ze ook niet
meer mee tellen in de webalizer logs:
CustomLog logs/access.log combined env=!web_spam
CustomLog logs/web_spam.log combined env=web_spam
En uiteraard verklaren we ze ongewenst en blokkeren ze:
Deny from env=web_spam
Als ik de logs over een paar uur bekijk dan is het duidelijk dat er op
basis van IP niet aan te beginnen is. Met een handvol steekwoorden heb je
echter de meeste ongewenste bezoekers bij de kladden.
Het aantal betrokken IP adressen is nogal hoog met vaak maar 1 hit per
machine. Een fiks cluster zit bij Telefonica voor zover ik kan zien. Maar
het lijkt onderdeel te zijn van backdoors op windows machines. En de
verdeling lijkt overeen te komen met de gemiddelde thuis gebruiker die 's
avonds nog wat met de (besmette windows) PC gaat doen.
Hugo.
--
I hate duplicates. Just reply to the relevant mailinglist.
hvdkooij op vanderkooij.org http://hvdkooij.xs4all.nl/
Don't meddle in the affairs of magicians,
for they are subtle and quick to anger.
More information about the Linux
mailing list