Zu Anfang wurden diese Spam-Kommentare wohl noch händisch verteilt. Insbesondere fielen mir in dieser Anfangszeit nahe beieinanderliegende NetCologne-IPs auf, die so zwei oder drei Wochen lang regelmäßig diese Spam-Kommentare einlieferten (ohne daß im selben Zeitraum gleichartige Spams aus anderen IP-Bereichen hereinkamen). Es besteht also durchaus die Möglichkeit, daß der Spammer in Köln oder Umgebung ansässig ist. Aber bald wurde das „longharry” wohl zu mühsam, und er fing an, Botnetze zu mieten.

Seit hier das Plugin NoSpamNX mitläuft, hat er keine Chance mehr, daß mir diese Spams durchrutschen. Denn die Bots, die „longharry” mietet, sind zu doof, um zu erkennen, daß eines der auszufüllenden Felder für Blogkommentare hier ein Fake ist (grafische Browser oder überhaupt Browser, die CSS ausführen, zeigen es gar nicht erst an). Wird das Feld ausgefüllt — und nur Bots machen das —, dann wird der Kommentar als Spam aussortiert.

Im Kommentar selbst steht dann eine kurze Bemerkung in deutscher Sprache, die den Eindruck erwecken sollte, daß sich da jemand über einen Blogartikel gefreut hat. Diese Kommentare wiederholten sich irgendwann; sie schienen aus einem Satz von präparierten Einträgen zu stammen.

Und gestern Abend hat das Botnet, das „longharry” benutzt, wohl Schluckauf gehabt. In einem Kommentar, der natürlich wieder in NoSpamNX hängenblieb, landeten alle diese Bemerkungen auf einen Satz. Hier, bitteschön, die Liste zum Filtern:

• Wahnsinn dass sowas tatsächlich funktionieren kann
• Heftig! Das hätte ich niemals für denkbar gehalten
• Theoretisch ist dies ne gute Sache, ich bin mir aber unsicher, ob das auf Dauer machbar bleibt.
• Also ich bin der Meinung das war lediglich eine Trendsache
• Nun ja, die Sachverhalte können so einfach sein. Danke
• Herzlichen Dank, endlich habe ich das Problem in der Tiefe gerafft
• Da frage ich mich beim groben Lesen ja schon, ob man selbst doof war. Herzlichen Dank für deine Erläuterungen
• Hat jemand eine Idee wie sehr dies verallgemeinerbar ist?
• Ich bemerke jetzt in diesem Moment dass ich blog.atari-frosch.de deutlich mehr lesen müsste – da kommt man wirklich auf krasse Einfälle
• Super Artikel, das wollte ich selbst auch schon Mal ausdrücken, wusste nur
  niemals wie man das zu Papier bringen kann .
• Eigentlich n brauchbarer Post, aber kannst du später nicht n bisschen
  umfassender sein?
• Krass, ich habe niemals gedacht, dass dies real auch so umsetzbar war
• In der Tat ein brauchbarer Beitrag. Ich sollte blog.atari-frosch.de mehr besuchen
• Unglaublich! Diese Story hätte ich niemals für möglich gehalten
• Theoretisch eine geniale Story, ich bin mir nicht sicher, ob dies auch auf Dauer realistisch machbar ist!
• Also ich denke das ist lediglich eine Trendsache
• Tja, Dinge können so simpel erscheinen. Danke
• Herzlichen Dank, endlich habe ich das Problem in der Tiefe gerafft
• Da frage ich mich beim Überfliegen ja schon, ob man doof war. Herzlichen Dank für Ihre Erläuterungen
• Hat irgendjemand ne Idee wie stark dies verallgemeinerbar ist?
• Ich merke jetzt in diesem Moment, dass ich deinen Blog deutlich öfter aufrufen sollte – da komme ich wirklich auf krasse Einfälle
• Absolut Super Artikel, dies wollte ich auch schon immer Mal schreiben, wusste aber nicht wie man das niederschreiben konnte .
• Eigentlich ein cooler Post, aber kannst du später nicht ein bisschen detaillierter schreiben? Dies wäre echt genial
• Krass, ich habe garnicht für möglich gehalten dass dies in der Realität so möglich ist
• In der Tat ein guter Post. Ich sollte blog.atari-frosch.de mal häufiger lesen
• Wahnsinn! Das hätte ich absolut nicht gedacht
• Grundsätzlich betrachtet ne geniale Geschichte, ich bin mir nicht sicher, ob dies dauerhaft realistisch brauchbar ist.
• Also ich meine das war nur ne Modeerscheinung
• Tjo, Dinge können manchmal wirklich einfach sein. Danke
• Dank dir, nun endlich habe ich das Problem in der Tiefe verstanden
• Da frage ich mich beim Überfliegen von blog.atari-frosch.de ja schon, ob man selbst doof war. Herzlichen Dank für Ihre Erklärungen
• Hat jemand ne Meinung wie sehr dies verallgemeinerbar ist?
• Unglaublich dass das tatsächlich passiert ist
• Krass! Sowas hätte ich gar nicht für möglich gehalten
• Grundsätzlich betrachtet ne gute Sache, ich bin mir aber unsicher, ob das auch dauerhaft umsetzbar ist!
• Also ich denke das war lediglich eine kurzweilige Erscheinung
• Nun ja, Dinge können so einfach sein! Besten Dank für eure Erläuterungen
• Herzlichen Dank, jetzt endlich habe ich das ganz begriffen
• Da frage ich mich beim groben Durchlesen ja schon, ob man selbst doof ist. Danke für deine Erläuterungen
• Hat jemand eine Idee wie umfassend das verallgemeinerbar ist?
• Ich merke jetzt in diesem Moment, dass ich deinen Blog wesentlich öfter besuchen sollte – da komme ich echt auf geniale Einfälle
• Absolut Hammer Beitrag, dies wollte ich schon immer Mal ausdrücken, wusste aber niemals wie ich dies ausdrücken konnte .
• Im Grunde genommen ein cooler Post, nur kannst du später n wenig umfassender sein?
• Krass, ich habe garnicht gedacht dass das wirklich auch wirklich möglich ist
• In der Tat ein guter Beitrag. Ich sollte blog.atari-frosch.de mal häufiger besuchen
• Wahnsinn! Diese Story hätte ich gar nicht für möglich gehalten
• Grundsätzlich betrachtet ist das eine gute Sache, ich bin mir aber unsicher, ob das auch dauerhaft machbar bleibt.
• Also ich bin der Meinung dies war eh nur eine kurzweilige Erscheinung
• Nun ja, Dinge können so einfach erscheinen. Danke
• Dank dir, nun endlich habe ich das Problem wirklich gerafft
• Da fragt man sich beim Lesen schon, ob man selbst doof war. Herzlichen Dank für Ihre Berichte
• Hat jemand ne Idee wie stark das verallgemeinerbar ist?
• Ich merke gerade in diesem Moment dass ich blog.atari-frosch.de deutlich öfter aufrufen müsste – da komme ich wirklich auf super Einfälle
• Hammer Artikel, das wollte ich schon immer mal ausdrücken, wusste aber
  niemals wie ich das ausdrücken kann !
• Im Grunde genommen ein cooler Post, nur kannst du später ein wenig umfassender schreiben? Dies wäre echt toll
• Krass, ich hätte garnicht für möglich gehalten dass das real so klappt
• Wirklich ein guter Post. Ich söllte blog.atari-frosch.de mehr besuchen
• Hammer! Sowas hätte ich absolut nicht für denkbar gehalten
• Theoretisch ne gute Sache, ich bin mir nur unsicher, ob dies auch dauerhaft machbar ist.
• Also ich vermute das war eh lediglich eine Modeerscheinung
• Tjo, die Sachverhalte können so simpel erscheinen! Danke
• Herrlich, endlich habe ich den Sachverhalt ganz kapiert
• Da frage ich mich beim groben Lesen von blog.atari-frosch.de schon, ob man nicht komplett auf den Kopf gefallen ist. Danke für deine Erläuterungen
• Hat jemand eine Idee wie umfassend das verallgemeinerbar ist?

Da, wo blog.atari-frosch.de drin steht, wird wohl bei jedem der eigene Blogname eingesetzt.

Das sind vermutlich nicht ganz alle, aber wohl die meisten, ich hab auch noch andere gesehen. Oder der Satz an Bemerkungen wurde letztens überarbeitet.

Ich hab dafür nur eine Bemerkung: Wie blöd muß man sein …?

Ich habe nicht vor, den Beitrag zu löschen, sondern habe die Angelegenheit einem internet-kompetenten Rechtsanwalt übergeben.

Der Beitrag enthält aus meiner Sicht keine falschen Tatsachenbehauptungen. Was ich berichte, hat sich so abgespielt. Das stellen die Anwälte von Primacall auch gar nicht in Abrede. Der Rest fällt für mich unter freie Meinungsäußerung. Trotzdem meint die Anwältin aus dem Hause Advovox, der Blogeintrag darüber sei für ihre Mandantin geschäftsschädigend. Nun ja. Ich bin der Meinung, wer solche Berichte über sich im Netz nicht finden will, sollte eben keine Kaltakquise betreiben — schon gar nicht bei sieben Jahren zuvor irgendwo eingesammelten Telefonnummern.

Wer nach „primacall telefonspam” googlet, wird so nebenbei auch schnell feststellen, daß es sich hier um keine einzelne Sache handelt.

Auf weitere Details gehe ich hier erstmal noch nicht ein, aber ich werde weiter berichten.

Einen Teil dessen, was so bei mir an Links aufschlug, hatte ich damals mit entsprechenden Hinweisen an die Betreiber löschen lassen können; wie lange der Rest noch online blieb, konnte ich nicht verfolgen.

Dabei hat es pikanterweise auch ein ganz besonderes Forum getroffen: Save the Children Finland pflegten ihr Forum wohl auch nicht so richtig und fingen sich von August bis September 2009 entsprechende Einträge ein, ohne sie schnellstens zu entfernen. So berichtet Matti Nikki auf seiner sperrkritischen Site lapsiporno.info in Save the Children Finland involved in distribution of child porn davon, daß nachweislich im Forum dieser Site zwei Monate lang entsprechende Links plaziert waren. Zum Nachweis verwendete Matti das Fund-Datum in Google und den Google-Cache.

Da möchte man dieser Organisation, einem Bibelwort entsprechend, doch dringend anraten, erst einmal den Balken aus dem eigenen Auge zu ziehen, bevor sie sich um die Splitter in den Augen anderer kümmert. Oder, ganz unbiblisch: Kehrt doch erstmal vor der eigenen Türe.

Witzigerweise wollte der nicht zu mir, sondern fragte nach meinem ehemaligen Mitbewohner. Die ausgewerteten Telefonbucheinträge müssen demnach schon ziemlich alt sein, der wohnt ja schon seit Jahren nicht mehr hier. Als ich ihm das sagte, sprach er mich prompt mit dem Nachnamen des früheren Mitbewohners an. Gemeldet hatte ich mich wie üblich mit Engelhardt, das muß er wohl überhört haben

Die Frage nach der Herkunft der Daten wurde mit der altbekannten Lüge „Gewinnspiel” beantwortet. Ja ne is klar.

Außerdem: Ich sei doch Telekom-Kundin. Das sei eine Aktion nur für Telekom-Kunden. Damit versuchen sie, die Angerufenen glauben zu lassen, die Deutsche Telekom stünde hinter der Anruf-Aktion. Tut sie natürlich nicht, schließlich wären sie ja schön blöd, ihre Kundendaten an die Konkurrenz zu geben, damit die besser ihre eigenen Verträge verkaufen kann.

Nunja, nach kurzem Hin und Her durfte er sich von mir noch kräftig beleidigen lassen, und ich warnte vor weiteren Anrufen. Die Trillerpfeife liegt bereit. Und dummerweise gibt es jetzt noch einen negativen Artikel im WWW über Primacall, den sie nicht via Spreeblick verschwinden lassen können. 

Ja ne is klar.

Allerdings hat das mit dem Werbung machen wohl jemand falsch verstanden: Seit gestern bekam ich mehrere Blog-Kommentare herein, die völlig ohne Zusammenhang zum jeweils kommentierten Artikel für diese Petition werben. Die Kommentare wurden nicht öffentlich, weil sie mehrere typische Spam-Eigenschaften haben und somit an meiner Blacklist scheiterten.

Wer auch immer der Absender dieser Nachrichten ist: Laß es sein. Damit tust Du dem Petenten (der mir glaubhaft bestätigte, nichts mit dem Spam zu tun zu haben) und der Petition nicht nur keinen Gefallen, sondern ziehst das Ansinnen in den Dreck. Spammen ist unterste Schublade! Verbreite den Link auf Twitter und identi.ca, blogge darüber, mache Freunde aufmerksam, verwende das angebotene Material und drucke Flyer, aber hör auf zu spammen.

Die Spam-Kommentare kamen allesamt von der (vermutlich amerikanischen) IP 74.118.192.202 und haben einen Absender unter @mail.ru, wobei allein diese Absenderkennung ein starkes Spam-Kriterium ist. Ich habe diese IP jetzt erstmal in meine .htaccess eingetragen, damit ich den Müll nicht dauernd löschen muß.

Generell gilt: Wer spammt, hat verloren!

/me: Engelhardt.

Anrufer: Guten Tag, Frau … Becker?

/me: Ja.

Anrufer: Werden Sie noch mit Anrufen wegen Glücksspiel oder Lotterien belästigt?

/me: Nein, derzeit nicht. Wer sind Sie eigentlich?

Anrufer: Dann ist es ja gut. Einen schönen Tag wünsche ich noch.

*klick*

Wie darf ich das jetzt verstehen? Man belästigt mich, um mich zu fragen, ob ich belästigt werde?

Damit hat ein später Kommentator zu einem Blog-Eintrag aus dem letzten Jahr ja doch recht, und der Spammerladen IP69 ist umgezogen. Ich hätte da vielleicht doch mal genauer hingucken sollen. War’s in Düsseldorf nicht mehr so schön? Kann man in Bayern besser spammen? — Scheint tatsächlich so!

Außerdem ist Thomas Rodenbücher wohl aus der Firma ausgeschieden; ja, genau der, der mir auf meine erste Veröffentlichung hin eine Klage angedroht hat (auf die ich übrigens immer noch warte). Der alleinige Vorstand ist jetzt der bekannte Spammer Christian Hoffmann (Suchmaschinen liefern noch mehr).

Aber das ist ja überhaupt keine organisierte Kriminalität, nein …

Die Post wirbt außerdem damit, daß ich mich auf höchste Vertraulichkeit, Kompetenz im Umgang mit meiner Adresse und zuverlässigen Versand der „relevanten Informationen” verlassen könne. Wie gut die Deutsche Post das kann? Guckt mal: DP AG verkauft Kundendaten.

Die Rücknahme der einmal erteilten Einwilligung soll angeblich sogar online funktionieren. Ach ja, und man kann sich den Werbemüll auch per E-Mail oder SMS schicken lassen. Natürlich nur, damit’s noch schneller geht.

Also ganz ehrlich: Wer ist denn so doof und läßt sich neben dem ganzen unbestellten Werbemüll auch noch extra adressierten einwerfen? Informationen sind das doch im allgemeinen eben nicht, sondern bloß bunte Bildchen und dümmliche Texte. Vernünftige Produktinformationen und Werbemüll sind zwei Paar Schuhe. Und wenn ich Produktinformationen brauche, frage ich bei den Anbietern direkt, und lasse mich nicht von der Deutschen Post mit Werbemüll zuschaufeln.

1. Man setze eine Website mit dem eigentlich beworbenen Content auf.
2. Man dringe in Dutzende alter phpBB-Installationen, die bekannte Sicherheitslücken haben, ein, und plaziere dort Foreneinträge, die mit teils großen und bunten Hinweisen auf „18+ material” auf den eigentlichen Content linken.
3. Man miete sich ein Botnet und verschicke Blog-Kommentare, die jeweils rund 30 Links auf die diversen selbst erstellten Foreneinträge enthalten, garniert mit deutlichen Hinweisen, daß man hinter den Links Material zu Kindesmißbrauch, Sex mit Tieren und ähnliche üble Dinge finden werde (was sich wirklich dahinter befindet, habe ich nicht nachgesehen, denn ganz so neugierig bin ich auch wieder nicht, und Spammern möchte ich keine Visits verschaffen).

So sieht jedenfalls eine neue Spammer-Masche aus, die ich seit Montag beobachte. Von den Kommentaren landete bei mir zwar keiner auf dem öffentlichen Blog, weil sie alle in meine Filter plumpsten, aber im Backend habe ich sie halt doch stehen. Trotz weiterer Einträge in meiner Wordpress-Blacklist und der .htaccess kommen immer neue derartige Blog-Kommentare herein, auch wenn es langsam weniger werden.

Die Domain mit dem eigentlich beworbenen Content wechselte in der Zeit zwar auch mindestens einmal (ich überprüfe nicht alle Einträge), aber ich glaube, eine Beschwerde über eine .cn-Domain, die in der Ukraine angemeldet wurde, führt nicht wirklich zum Erfolg.

Erschreckend dabei ist, wie viele alte phpBB-Installationen da noch so in der Weltgeschichte herumfliegen. Betroffen sind insbesondere Universitäten und andere wissenschaftliche Einrichtungen in Thailand, Indonesien, auf den Philippinen sowie in Osteuropa. Haben die alle keine fähigen Admins (mehr)?

Dazu kommen verwaiste private Foren, für die sich schon lange keiner mehr interessiert oder die „nur mal so” installiert worden waren, sowie Foren mit recht obskuren Domainnamen von Marketing bis Esoterik. Die beiden peinlichsten bisher: Eine (britische) trägt das Wort „hackerz” im Domainnamen, ein anderer Domainname soll wohl den Eindruck von digitaler Kompetenz erzeugen.

Und dann ist da noch eine wirklich große, bekannte Website betroffen, aber bevor ich dazu was sage, warte ich erstmal ab, ob und wie der Admin reagiert. Dort wird außerdem vermutlich eine andere Software als phpBB eingesetzt.

Gestern Abend hatte ich aus den Spam-Kommentaren 34 Domains herausgefischt. Davon konnte ich 32 Foren-Admins bzw. Hoster (via IP-Adresse zur Domain/Subdomain) ermitteln und habe diese angeschrieben. Zu einem Eintrag konnte ich gar keine Mailadresse finden, und eine der bespammten Domains existiert überhaupt nicht. Reaktionen bisher: Zwei private, ungenutzte Foren wurden plattgemacht, und ein paar größere Hoster schickten automatische Antworten. Ein ebenfalls großer Hoster fragte nach einem Beispiel — das war zwar schon in der ursprünglichen Mail, aber die Kunst des Lesens ist halt nicht jedermanns Sache.

So nebenbei gelernt:

• Das NIC für Ghana ist ziemlich kaputt und wirft bei einer Domainabfrage mit einer ganzen Ladung mysql-Fehlermeldungen; offenbar kann das Web-Frontend nicht auf die Datenbank zugreifen.
• Das NIC für die Philippinen kann nur über eine Website abgefragt werden, jedoch existiert diese Website, die ich bei einer whois-Abfrage auf der Konsole genannt bekomme, anscheinend überhaupt nicht; hier habe ich die IP-Adressen zu den Hostnamen abgefragt und die Hoster angeschrieben, in deren Verantwortungsbereich die jeweilige IP liegt.
• Erstaunlich viele Admins haben ihre Mailadressen bei Yahoo oder GMail. Noch erstaunlicher finde ich jedoch, daß zwei dieser Admins am schnellsten reagiert haben: Das waren die ersten beiden Foren, die offline gingen.

Heute geht’s weiter mit den Mails an Admins und Hoster. Mit nur drei neuen durchgekommenen Blog-Kommentaren kamen heute Nacht Links auf 15 weitere Domains mit gehackten phpBB-Installationen herein. Stay tuned …