Länk-spam med nonsens
 

Vet någon mer om en bot som söker upp formulär och fyller i nonsens? Den fyller i slumpvisa bokstäver i input-fält och nonsenslänkar i textfält med både html och bbcode. Den verkar vara extremt aktiv då jag råkat ut för den på flera vitt skilda sajter. Det är ju extremt enkelt att skydda sig mot den men det är irriterande ändå att de ska tillåtas hålla på som de gör.

Vad är de ute efter? Söker de efter svagheter för att kunna göra annat vid ett senare tillfälle?

Undrar samma sak. Har ett antal Wordpress-sidor som fått tusentals kommentarer lämnade av hur konstiga namn som helst. URL:en som länkas leder inte någon vart. Fattar inte riktigt varför man håller på så där.

Även jag har utsatt för den här typen av botar, men det rör sig knappast om "en bot" eller "en organisation", gissningsvis så är det många black hat SEOs som använder den här och liknande metoder.

Lättaste är att helt enkelt stänga ute dem med t.ex. captchas.

Dock så förstår jag inte riktigt hur Black Hat-SEO:are drar fördel av detta. Kommentarerna består endast av massa bajs, och länkarna leder inte någonvart...

Jo, men som jag skrev så handlar det inte om riktiga länkar. Att bli av med dom är dessutom inget problem. Behövs ingen captcha, det är bara onödigt.

Räcker med att slänga in ett fält som är gömt med css, och som alltid skall vara tomt.

Nu kommer vi från ämnet :) Frågan var inte hur man stoppar det hela, det är som sagt var mycket enkelt gjort eftersom det är så primitivt. Frågan var vad syftet är och vilka det är som pysslar med detta. Det kostar förmodligen en hel del pengar med tanke på i vilken omfattning det verkar förekomma så man borde försöka komma åt dem.

Det kanske är så att spammarna vill sänka sidans värde med massa skräputlänkar. Så lite Blackhat SEO kan nog vara tanken bakom. Eller så är det ett test för att se om det går igenom, där domänerna och länkarna sedan hittas genom Google av spammarna, för att kunna göra mer sofistikerade attacker senare.

Jag tror nog mest på det senare alternativet även om det inte verkar helt genomtänkt det heller. Det första förslaget känns inte särskilt lyckat. Ifall det är en sida värd att sabotera så är den sannolikt aktiv och då kommer deras länkar med säkerhet att plockas bort i de allra flesta fall. Det känns ju helkorkat hur man än vänder på det :) Hur som helst verkar det ha ökat i omfattning.

Som jag sett de där "attackerna" på jobbet så verkar de försöka missbruka formulär för att skicka spam. Det är min tolkning av en hel del såna här iaf.

Och dåligt skrivna script finns det ju inte direkt få av på internet :)

Det är tester av nya botar och insamling av listor på sårbara sajter. Dumt att visa "riktig" spam för sajter som har fungerande skydd, så man kollar först att rappakaljan går igenom innan man skickar "kunders" spam till en sajt. Det är i alla fall vad jag har förstått från de som jobbar med att bekämpa den här typen av spam.

Utan att veta exakt vad botarna postar så är det lite svårt att gissa vad de har för syfte.

Men det finns mycket kids och retards som sysslar med spam. Så det behöver inte finnas någon "grand masterplan" bakom det hela. Det kan mycket väl bara vara illa fungerande spambotar. Ett annat alternativ kan vara att de är specialdesignade för något särskilt cms eller formulär. Det som ser ut som rappakalja på din webbsida kan mycket väl vara fungerande länkar i ett speciellt registreringsformulär. Det kan till och med vara så att spambotarnas rappakalja är ett försök att besvara en känd/dålig captcha med ett begränsat antal lösningar.

Att sidorna dit länkarna pekar inte finns kan bero på två saker. De har redan blivit raderade, eller så har de ännu inte blivit registrerade. Dvs domänerna registreras först av spammaren när det finns ett antal länkar till dem. Den här typen av spammare brukar förövrigt inte ha "kunder". De brukar istället marknadsföra sina egna phishing-sidor som kanske lever max 1 timme i snitt, innan de försvinner igen. Därför är det ofta viktigt för spammarna att det redan finns länkar till sidan när de lägger upp den. Annars hinner de inte få några besökare.

Spammare fokuserar alltid på kvantitet istället för kvalitet. Jämför med spammet som du får i din mailbox. Så min gissning är att de meningslösa posterna som skapas av dessa spambotar faktiskt är meningsfulla en gång på tiotusen.

Som jag skrev i det inledande inlägget så är det länkar i HTML och BBCode. De följer alltid samma mönster och det är url:er av typen xjzksllwtzlfs.com. De är extremt lätta att stoppa så jag förstår verkligen att de använder den volymen som de verkar köra nu.

Du har en poäng. Google gillar inte brutna länkar.

Min fråga är då varför indier/amerikanare skickar ut denna spam... till en svensk sida :)

Jag kan ju omöjligt vara en konkurrent för dem.

Jag är rätt säker på att det är ungefär så här.

Kommentarer innehållande "xbaknsdyqaksld" eller liknande är oftast bara ett sätt för spammarna (som är ute efter att posta stora kvantiteter länkar) att se om sidorna är mottagliga eller inte. Släpper ni igenom kommentaren så kommer ni förmodligen bli utsatta för kommentarer med faktiska länkar.

Siter som håller på med den här typen av marknadsföring blir givetvis anmälda för abuse, men ser ni ingen site så kommer ni förmodligen inte att anmäla t.ex. i tron om att den redan blivit avstängd.

Däremot är det inte sagt att Googlebot och besökare som kommer via Google hittar en sida där.

Jag tror inte att det handlar om dåliga script och amatörer. Förmodligen är det precis som mail-spam något som omsätter stora pengar och metoderna för att inte åka dit är troligtvis väldigt sofistikerade. Finns mer att läsa om ämnet om man Googlar.

Det var en nice teori, faktiskt. Det kan mycket väl vara så.

Det jag inte riktigt förstår mig på är varför man håller på så här mot svenska sidor som indie/amerikanare. Det är som bekant inte superbra med länkar från andra språk. Speciellt när de är helt irrelevanta :)

Jag tror inte de sitter och väljer ut mål specifikt utan de googlar nog på något (typ comments.php eller vad det nu är) och kör hårt.

Så här kan det se ut:

Kikar man på IP-adressen så verkar boten ha skickat både nonsense-spam och riktig spam:
http://www.projecthoneypot.org/ip_178.239.58.144

De j*vlarna! Och här sitter man och är helt förvirrad medans de tjänar sina svarta miljoner, jag gillar det ^^

Kanske kan vara så att det mestadels är menat för WP-sajter men det verkar som de går på alla formulär de hittar oavsett numera. Jag tycker personligen det är en ganska usel metod eftersom det är så lätt att stoppa.

Orkar inte läsa alla inlägg, det är för att kolla om formuläret "comment" är auto approve. Så den skriver in nått junk för att sedan kolla om de postats. Så hamnar sedan URL'en i en lista över auto approve "blogs" och som sedan säljs eller används av "spammaren". De är lite maximalt junk comment test, xxzxzxxzxxzxzx, blir de postat så är de garanterat auto approve på den t.ex. wp bloggen. Detta kan man göra med t.ex. scrapebox. Sen kan de använda halvruttna snurrade kommentarer för att de skall se lite realistiskt {hi|hello} {great|good|nice|fun} {post|article|text}.

Verkar ganska troligt även om det för egen del mycket sällan drabbar WP-sajter. Det finns väl så mycket omgjorda WP-sajter och andra CMS numera så det inte är lönt att kolla av utan de bara testar alla formulär de hittar helt enkelt... Irriterande är det hur som helst, lär vara enorma mängder trafik totalt om man ser till den omfattning det verkar förekomma i nu.

För mig har det enbart hänt på WP-bloggar :)

För mig har de till störst del också bara varit på wp bloggar, men de är ju också för att WP är en av de vanligaste sidorna och de ofta är en footprint som är lätt att hitta.
De man kan göra att är att fixa bättre captacha och installera bad behavior på sin WP så skall man se att de minskar mot 0'an.

En captcha kan man vara utan då det går att lösa betydligt enklare än så utan att störa legitima besökare.

Att det inte varit WP-bloggar för egen del beror väl mest på att jag sällan kör det.

precis de spelar ingen roll vilken platta det är, finns de någon form av "submit, comment, leave reply, reply" osv osv så fastnar de i spammarnas nät.