Пока я в отпуске, решил публичную базу не наращивать. В августе вернусь и выложу апдейт самого плагина, устраняющий тормоза.

Возможно, на время доработки облегчу базу (оставлю только самых активных спамеров).

А ведь плагин довольно давно не обновлялся, да и обновления баз я пока приостановил (до августа) в связи с отпуском. Но базу собираю.

Видимо, даже и в таком состоянии сервис блогоспамерам не нравится.

Логично предположить, что пользователи-человеки на хостинговых площадках не живут. Зато скрипты живут отлично. Поэтому разумно заблокировать доступ по IP таким скриптам, крутящимся на хостингах.

Вот диапазон IP для Keyweb: 84.19.176.0 - 84.19.191.255, в “Вордпрессе” есть встроенное средство для блокирования по IP (не знаю, как там насчет диапазонов). Думаю, стоит добавить и фильтрацию по диапазонам IP всяческих хостеров.

К сожалению, этот способ применим далеко не всегда. Самый интенсивный спамер фигачит через NAT провайдера nm-s.ru — через этот же NAT может ходить немало и “человеческих” пользователей, не спам-скриптов.

Победители и призеры в Северо-Западном федеральном округе в 2008 г.
Номинация «Интернет-магазины, сервисы, электронный бизнес»
1. Parasite Eliminator

Трюк первый — цитирование поста

Одна из задач спамеров — уменьшить вероятность удаления их комментария. Для этого они постоянно изобретают все новые способы. О некоторых из них я уже писал (например, «критика» блоггера со втягиванием его в «дискуссию»). Но они требуют участия человека. Как замаскировать автоматический спам, помимо употребления стандартных, «подходящих ко всему» фраз?

Можно процитировать пост. Обычно спамеры так не делают. Раньше не делали. Теперь делают. Не представляет трудности автоматом дернуть случайный абзац поста, обернуть его в теги цитаты, а снизу приписать «комментарий». Например, вот так:

Не представляет трудности автоматом дернуть случайный абзац поста, обернуть его в теги цитаты, а снизу приписать «комментарий».

Полностью поддерживаю!

Или вот такой вариант, более «продвинутый»:

Не представляет трудности автоматом дернуть случайный абзац поста, обернуть его в теги цитаты, а снизу приписать «комментарий».

Автор, не надоело тебе писать все об одном и том же?

И, конечно же, вместе со всем этим — ссылка на очередной говносайт.

Что делать?

Не оставляйте в своем блоге комментарии, не представляющие ценности для дальнейшего обсуждения. Даже если их оставил человек, а не робот. Всякие «+1» или «спасибо, очень интересно» вы можете принять к сведению и удалить. Человек хотел сказать спасибо — сказал, вы это увидели.

Дальнейшее существование подобных комментариев только замусоривает блог. И обычно читатели выражают благодарность по почте, а 99% подобных «спасиб» в комментариях оказывается банальным спамом, эксплуатирующим тщеславие или доверчивость блоггера.

Трюк второй — маскировка под нормальную ссылку

Этот трюк спамеры применяют не только в блогах на Wordpress, но и в Livejournal. Спамеры оставляют ссылку, которая выглядит, как нормальная, но, конечно же, с личинкой.

В данном случае спамер нашел пост, в которых упоминался Евгений Чичваркин, и оставил «ценный комментарий по теме» со ссылкой на блог Евгения:

На первый взгляд, все прилично.

Кстати, если мы кликнем по этой ссылке, то действительно попадем в ЖЖ Чичваркина. Но не все так просто. Следите за руками. Наводим мышь на эту ссылку, а в статусной строке видим… опаньки.

Но под микроскопом-то видны яйца глист!

Спамер поставил ссылку на раскручиваемый домен. По замыслу этого пионера, поисковые машины должны передавать ссылочные факторы раскручиваемому через спам сайту, а посетители и хозяин блога — ничего не заметить.

Что делать?

К счастью, Wordpress, да и Livejournal позволяют увидеть подобные ссылки. Не пренебрегайте почтовыми уведомлениями. Если же вы привыкли модерировать блог без почтовых уведомлений, тогда наводите мышь на оставленные ссылки и внимательно смотрите, что вам подбросили. И удаляйте спамерские отбросы безо всякого сожаления, иначе блог вонять будет.

Подробнее об баге и методике исправления.

Рекомендую сперва последить за сообщениями о багах и дырах, а затем скачать Wordpress с официального сайта и обновить ваши блоги.

Они новый спамхаус делают, для того чтобы усложнить жизнь например конкурентам. Или банально подзаработать на этом. Любые списки и базы продаются. Хочешь спамить заплати нам (напимер parasite-eliminator.ru) и мы не будем включать твои домены в наши списки.

Весьма наглядно показывает уровень мышления определенной группы людей.

Вдогонку: по состоянию на утро 3 декабря (отчитались еще не все инсталляции, правда) прибито 17654 спамерских комментария.

Еще раз вдогонку: по состоянию на 17:40 3 декабря (отчитались пока 450 инсталляций) прибито 18576 спамерских комментария.

Вот, например, сайт tvojprazdnik.ru. С виду ничего страшного. Обычный корпоративный сайт, только сделан на “Вордпрессе”. И вот тут-то начинается самое интересное.

Зайдите на страницу tvojprazdnik.ru/?cat=36. Прокрутите вниз. Ничего не видите? Правильно, ничего подозрительного и нет. Но самоделкины, которые сайт создавали, не знают, что есть у этой страницы Темная Сторона: tvojprazdnik.ru/?p=44. Зайдите сюда и прокрутите вниз. Опа!

Заспамленная страница

На одном из комментариев у блогоспамера случился маленький пук:

Маленький пук блогоспамера

Потом маленький пук случился у несчастного админа:

Несчастная жертва

Кстати, помните, я писал про зараженные темы с wptheme.ru? Да, на этом несчастном сайте как раз такая и стоит. Вот такая вот экономия на услугах профессиональной студии вышла.

В вашем скрипте (parasite-eliminator.php) досадная ошибка. В имени функции npe_сurl_is_allowed() в местах, где она вызывается - буква “с” набрана в русской раскладке. Из-за этой ошибки невозможно получить обновления баз, если на хостинге allow_url_fopen=false и обновление идет через cURL.

Как только я увидел это письмо, сразу же сделал и выложил исправленную версию. Всем рекомендую скачать новую версию Parasite Eliminator и обновить ее у себя. Достаточно просто перезаписать файл.

После этого неплохо бы получить свежие базы и проверить все комментарии. Добавлено много паразитов.

Внимание! На этой неделе ожидается еще одно обновление. Сейчас оно тестируется на моих блогах. Мне наконец-то удалось обойти шедевр инженерной мысли разработчиков Wordpress и сделать так, что сообщения о прибитых плагином комментариях больше не будут идти вместе с прочими.

Возможно, уже в состав этого обновления будет включен измененный алгоритм сканирования базы комментариев. Благодаря Александру Шурыгину его удалось ускорить примерно в 7-8 раз.

Такой тест остановит не только спамботов. Поможет еще и от убогих пионеров, которые просирают свою жизнь, “набивая каменты” по 10 центов через спам-биржи.

На вопросе про двух трехногих собак большинство пионеров зависнут и перезагрузятся

buket-best.dp.ua
best-buket.dp.ua
best-cvetki.dp.ua
super-buket.dp.ua
viva-buket.dp.ua
kiev-cvetok.dp.ua
ua-buket.dp.ua
kiev-buket.dp.ua

Думаю, может, весь dp.ua к чертям в блеклист поместить? Что скажете?

Обновление: пока что на неделю отправляется dp.ua в наш мрачный список. Что-то повалило оттуда:

flowerses.dp.ua
flowerses-ukraina.dp.ua
flowerses-shop.dp.ua

Еще обновление: кажется, скоро можно будет блокировать все двузначные украинские домены второго уровня:

provesillya.od.ua

• wptheme.ru
• wptheme.us
• wpbox.ru

Доменные имена показались мне подозрительно созвучными с сокращением от Wordpress. Перешел я по ссылкам, и вижу: и правда, вроде как «белые» сайты по этой тематике.

Но не все так просто. На сайтах предлагают скачать русифицированные темы для Wordpress. Скачал я несколько таких тем и залез в код. В файле footer.php, отвечающем за формирование «подвала» страниц, я обнаружил вот такой зашифрованный фрагмент:

<? echo(base64_decode("0JvQvtC60LDQu9C40LfQsNGG0LjRjyA8YSBocm
VmPSJodHRwOi8vd3B3b3JsZC5ydSIgdGl0bGU9ItCc0LjRgCBXb3JkcHJlc3MiIHRhcmdld
D0iX2JsYW5rIj7QnNC40YAgV29yZHByZXNzPC9hPi4g0KLQtdC80LAg0L/QtdGA0LXQst
C10LTQtdC90LAg0L3QsCDRgdCw0LnRgtC1IDxhIGhyZWY9Imh0dHA6Ly93cHRoZW1lc
y5ydSIgdGl0bGU9ItCi0LXQvNGLINC00LvRjyBXb3JkcHJlc3MiIHRhcmdldD0iX2JsYW5rIj
7QotC10LzRiyDQtNC70Y8gV29yZHByZXNzPC9hPi4="));?>

Угадайте, что я обнаружил, когда расшифровал его?

Чтобы увидеть отгадку, нажмите Ctrl+A:  к счастью, это был не вирус, а только лишь ссылки на сайты, эти файлы распространяющие, причем ссылки зашифрованы. Риторический вопрос: зачем же они зашифрованы?

Но и это еще не все. Пошел я изучать эти зараженные темы для Wordpress дальше. Открываю файл index.php (в других темах были «закладки» и в других файлах), отвечающий за формирование главной страницы. Батюшки святы, что я вижу!

Рубрика<?php $str = 'PGEgaHJlZj0iaHR0cDovL3d3dy53cHRoZW1lLnVzIiB0aXRsZT0i0KLQtdC80Ysg0LTQu9G
PIFdvcmRwcmVzcyI+OjwvYT4='; echo base64_decode($str);?>

Угадайте, что я обнаружил, когда расшифровал его?

Чтобы увидеть отгадку, нажмите Ctrl+A:  после слова «Рубрика» идет двоеточие. Так вот, с этого самого двоеточия, (чтобы поставивший такую зараженную тему незадачливый блоггер не заметил) идет ссылочка на сайтик, которому ТИЦ и PageRank накручивают.

Нужны русифицированные темы, плагины, сам Wordpress? Не стоит скачивать их у мошенников, там могут быть разные подставы. Есть несколько правильных сайтов, например MyWordpress и Lecactus. В общем, знаете сами, предупредите других.

Посмотрел логи скачиваний черного списка, нашел и там нескольких спамеров. Сходил к ним, попробовал оставить тестовый комментарий — плагин установлен и работает.

Кстати, на сегодняшний день в блогосфере активны, как минимум, 372 инсталляции Parasite Eliminator. Неплохо для 10-дневной кампании

Скажем, доверяю я блоггерам Васе и Пете. У нас общие интересы. Скажем, маркетинг. И я доверяю их выбору. Соответственно, я могу связаться с ними и узнать адреса, куда они экспортируют свои списки. И указать их в специальном поле.

После этого плагин будет автоматически проверять обновления списков у Васи и Пети и скачивать их, добавляя к локальному списку в моем блоге

Соответственно, мой локальный белый список расширится за счет блогов, которые интересны людям, с которыми у меня общие интересы. Черный же список расширится за счет доменов, которыми спамят именно в моем тематическом кластере.

Пока вот только думаю над тем, хранить ли эти списки у Васи и Пети или же загружать на центральный сервер. У центрального сервера есть некоторые преимущества. Скажем, я могу анализировать списки блоггеров, получая информацию для корректировки главного списка.

Интересуют ваши мнения.