Comment-Spammer werden geschickter

Spam Karma 2 läuft bei mir seit drei Monaten zu meiner vollsten Zufriedenheit. Umso mehr war ich heute verwundert, als Spam Karma zwei Comments, die eindeutig Spam sind, zur Moderation anzeigte.

SK2 braucht Moderation

Den Grund glaube ich in diesen beiden Zeilen der Karma-Ermittlung zu finden:

-2: Browser doesn’t support Javascript
0.5: Encrypted payload valid: IP matching.

Der Browser (or what ever used) kann zwar kein Javascript, dennoch ist die Payload verschlüsselt und zutreffend. Also haben die Spammer aufgerüstet. Neu scheint das nicht zu sein, denn bei Florian Holzhauer war bereits im Mai Entsprechendes zu lesen.

8 Gedanken zu „Comment-Spammer werden geschickter

  1. Vielleicht hat SK Anlaufschwierigkeiten im neuen Jahr? Dein PB ist nämlich bei mir wiederum als Spam “vernascht” worden. Ich habe Dich natürlich gerettet 🙂

    Ich denke das sollte man im Auge behalten. Wobei ich mich schon frage, wie die Payload in Ordnung sein kann, wenn das Teil kein JS kann. Ich dachte beide Dinge hängen miteinander zusammen. Oder sollte ich mir doch mal den Quellcode ansehen?

  2. @Thomas:
    Irgendwie war da wirklich der Wurm drin. Das TP ist auf einigen Sites “gefressen” worden, d.h. es ist dort nicht zu anzeige gekommen.

    Ich hatte die function.php entsprechend Changeset 2933 (wegen der User-Agent-Problems) gepatcht und hatte den Eindruck, dass das Senden von PB und TB endlos dauerte und teilweise erfolgtlos blieb. (hab’ den Patch rausgenommen und es geht wieder schneller, kann auch Einbildung sein).

    Poste doch hier mal das Karma es TP. Wie im Bild vorgehen: Mauscursor über das Karma-Feld, Text markieren und Strg+C & Strg+V.

    Das mit der Payload stelle ich mir so vor: Der Spammer kommt mit einem Tool, das zunächst die Commentseite abholt und analysiert (siehe auch Link zu fh). Wenn es die Anwesenheit von SK “spürt”, dann erzeugt es -wie auch immer- die Payload, die scheinbar aus der verschlüsselten IP besteht. Ist halt die Frage, ob die Verschlüsselung immer gleich ist (= Verschlüsselung einmal programmieren) oder sich ständig ändert (=irgendwie aktuellen Code ermitteln).
    Was micht wundert ist, dass SK eine Payload akzeptiert und positiv bewertet, wenn das Gegenüber kein JS kann.
    Oder kann es sein, dass Java und JS Anwendung findet?

    Dem sollte man mal nachgehen. Sehe da drei Möglichkeiten:

    • googlen bis man was findet
    • Website des Autors durchsuchen bzw. den Autor selbst fragen
    • wie von Dir angedeutet den Code analysieren (kann ich nicht)
  3. Klar werden die Spammer immer ausgebufter! zumal die technischen Möglichkeiten viel ausgereifter sind.

    Ich muss das bei meinem Blog auch erleben. Anstatt neue Artikel zu schreiben, bin ich viel öfter damit beschäfftigt spam-kommentare zu löschen…

Kommentare sind geschlossen.