Блог Parasite Eliminator

О тормозах Parasite Eliminator и меня самого

Алексей Новиков — Fri, 17 Jul 2009 20:38:27 +0000

База разрослась до семи тысяч. На некоторых хостингах это вызывает большую нагрузку. Хотя, мои блоги на обычных шаредах, проблем не было.

Пока я в отпуске, решил публичную базу не наращивать. В августе вернусь и выложу апдейт самого плагина, устраняющий тормоза.

Возможно, на время доработки облегчу базу (оставлю только самых активных спамеров).

Опять атакуют сервера

Алексей Новиков — Fri, 17 Jul 2009 18:35:46 +0000

Опять атакуют сервера. Вот я не пойму, кому это надо-то. Даже заваленный сервак для спамеров ничего не изменит. Обновления люди будут получать с серверов “Яндекса”.

А ведь плагин довольно давно не обновлялся, да и обновления баз я пока приостановил (до августа) в связи с отпуском. Но базу собираю.

Видимо, даже и в таком состоянии сервис блогоспамерам не нравится.

Один переезд равен

Алексей Новиков — Tue, 09 Jun 2009 19:06:27 +0000

Переехал на более мощный сервер. Наконец-то руки дошли.

Некоторых блогоспамеров можно отсечь по IP

Алексей Новиков — Sun, 26 Apr 2009 19:57:23 +0000

Некоторые спамеры для того, чтобы спамить, используют установленные на серверах скрипты. Одним из любимых спамерских хостингов является Keyweb. Очень много спама валится именно с него.

Логично предположить, что пользователи-человеки на хостинговых площадках не живут. Зато скрипты живут отлично. Поэтому разумно заблокировать доступ по IP таким скриптам, крутящимся на хостингах.

Вот диапазон IP для Keyweb: 84.19.176.0 - 84.19.191.255, в “Вордпрессе” есть встроенное средство для блокирования по IP (не знаю, как там насчет диапазонов). Думаю, стоит добавить и фильтрацию по диапазонам IP всяческих хостеров.

К сожалению, этот способ применим далеко не всегда. Самый интенсивный спамер фигачит через NAT провайдера nm-s.ru — через этот же NAT может ходить немало и “человеческих” пользователей, не спам-скриптов.

Golden Site 2008!

Алексей Новиков — Mon, 09 Feb 2009 07:56:30 +0000

Сегодня я получил письмо от оргкомитета конкурса «Золотой сайт-2008» со списком победителей и призеров. В нем я увидел следующие строчки:

Победители и призеры в Северо-Западном федеральном округе в 2008 г.
Номинация «Интернет-магазины, сервисы, электронный бизнес»
1. Parasite Eliminator

Новые трюки блогоспамеров

Алексей Новиков — Mon, 15 Dec 2008 10:06:42 +0000

Недавно обнаружил два новых трюка спамеров. Как и подобает настоящим паразитам, они мутируют понемногу, приспосабливаются.

Трюк первый — цитирование поста

Одна из задач спамеров — уменьшить вероятность удаления их комментария. Для этого они постоянно изобретают все новые способы. О некоторых из них я уже писал (например, «критика» блоггера со втягиванием его в «дискуссию»). Но они требуют участия человека. Как замаскировать автоматический спам, помимо употребления стандартных, «подходящих ко всему» фраз?

Можно процитировать пост. Обычно спамеры так не делают. Раньше не делали. Теперь делают. Не представляет трудности автоматом дернуть случайный абзац поста, обернуть его в теги цитаты, а снизу приписать «комментарий». Например, вот так:

Не представляет трудности автоматом дернуть случайный абзац поста, обернуть его в теги цитаты, а снизу приписать «комментарий».

Полностью поддерживаю!

Или вот такой вариант, более «продвинутый»:

Не представляет трудности автоматом дернуть случайный абзац поста, обернуть его в теги цитаты, а снизу приписать «комментарий».

Автор, не надоело тебе писать все об одном и том же?

И, конечно же, вместе со всем этим — ссылка на очередной говносайт.

Что делать?

Не оставляйте в своем блоге комментарии, не представляющие ценности для дальнейшего обсуждения. Даже если их оставил человек, а не робот. Всякие «+1» или «спасибо, очень интересно» вы можете принять к сведению и удалить. Человек хотел сказать спасибо — сказал, вы это увидели.

Дальнейшее существование подобных комментариев только замусоривает блог. И обычно читатели выражают благодарность по почте, а 99% подобных «спасиб» в комментариях оказывается банальным спамом, эксплуатирующим тщеславие или доверчивость блоггера.

Трюк второй — маскировка под нормальную ссылку

Этот трюк спамеры применяют не только в блогах на Wordpress, но и в Livejournal. Спамеры оставляют ссылку, которая выглядит, как нормальная, но, конечно же, с личинкой.

В данном случае спамер нашел пост, в которых упоминался Евгений Чичваркин, и оставил «ценный комментарий по теме» со ссылкой на блог Евгения:

На первый взгляд, все прилично.

Кстати, если мы кликнем по этой ссылке, то действительно попадем в ЖЖ Чичваркина. Но не все так просто. Следите за руками. Наводим мышь на эту ссылку, а в статусной строке видим… опаньки.

Но под микроскопом-то видны яйца глист!

Спамер поставил ссылку на раскручиваемый домен. По замыслу этого пионера, поисковые машины должны передавать ссылочные факторы раскручиваемому через спам сайту, а посетители и хозяин блога — ничего не заметить.

Что делать?

К счастью, Wordpress, да и Livejournal позволяют увидеть подобные ссылки. Не пренебрегайте почтовыми уведомлениями. Если же вы привыкли модерировать блог без почтовых уведомлений, тогда наводите мышь на оставленные ссылки и внимательно смотрите, что вам подбросили. И удаляйте спамерские отбросы безо всякого сожаления, иначе блог вонять будет.

В Wordpress 2.7 нашли баг

Алексей Новиков — Fri, 12 Dec 2008 20:57:08 +0000

Не случайно я говорил, что сперва надо подождать, а потом устанавливать новую версию. В Wordpress 2.7 нашли баг, из-за которого при сохранении поста может выдаваться Fatal Error.

Подробнее об баге и методике исправления.

Вышел Wordpress 2.7

Алексей Новиков — Thu, 11 Dec 2008 11:15:46 +0000

Вышел Wordpress 2.7, с новым интерфейсом.

Рекомендую сперва последить за сообщениями о багах и дырах, а затем скачать Wordpress с официального сайта и обновить ваши блоги.

Уровень мышления

Алексей Новиков — Tue, 02 Dec 2008 15:45:38 +0000

На одном из сеошных форумов встретил вот такое высказывание:

Они новый спамхаус делают, для того чтобы усложнить жизнь например конкурентам. Или банально подзаработать на этом. Любые списки и базы продаются. Хочешь спамить заплати нам (напимер parasite-eliminator.ru) и мы не будем включать твои домены в наши списки.

Весьма наглядно показывает уровень мышления определенной группы людей.

16824

Алексей Новиков — Mon, 01 Dec 2008 12:32:48 +0000

Как минимум, 16824 ссылки потеряли блогоспамеры за 20 дней ноября 2008 года. Из русскоязычной блогосферы вычищено 16824 спамерских комментария.

Вдогонку: по состоянию на утро 3 декабря (отчитались еще не все инсталляции, правда) прибито 17654 спамерских комментария.

Еще раз вдогонку: по состоянию на 17:40 3 декабря (отчитались пока 450 инсталляций) прибито 18576 спамерских комментария.

Жертва блогоспамеров

Алексей Новиков — Sun, 30 Nov 2008 00:23:23 +0000

Недавно запустил один скрипт, который выискивает загаженные спамерами блоги. Скрипт принес много интересных находок. Об одной из них я сегодня расскажу.

Вот, например, сайт tvojprazdnik.ru. С виду ничего страшного. Обычный корпоративный сайт, только сделан на “Вордпрессе”. И вот тут-то начинается самое интересное.

Зайдите на страницу tvojprazdnik.ru/?cat=36. Прокрутите вниз. Ничего не видите? Правильно, ничего подозрительного и нет. Но самоделкины, которые сайт создавали, не знают, что есть у этой страницы Темная Сторона: tvojprazdnik.ru/?p=44. Зайдите сюда и прокрутите вниз. Опа!

Заспамленная страница

На одном из комментариев у блогоспамера случился маленький пук:

Маленький пук блогоспамера

Потом маленький пук случился у несчастного админа:

Несчастная жертва

Кстати, помните, я писал про зараженные темы с wptheme.ru? Да, на этом несчастном сайте как раз такая и стоит. Вот такая вот экономия на услугах профессиональной студии вышла.

Версия 0.849 с исправлением ошибки

Алексей Новиков — Sat, 29 Nov 2008 02:36:33 +0000

Андрей Козлов нашел досадную опечатку в названии функции:

В вашем скрипте (parasite-eliminator.php) досадная ошибка. В имени функции npe_сurl_is_allowed() в местах, где она вызывается - буква “с” набрана в русской раскладке. Из-за этой ошибки невозможно получить обновления баз, если на хостинге allow_url_fopen=false и обновление идет через cURL.

Как только я увидел это письмо, сразу же сделал и выложил исправленную версию. Всем рекомендую скачать новую версию Parasite Eliminator и обновить ее у себя. Достаточно просто перезаписать файл.

После этого неплохо бы получить свежие базы и проверить все комментарии. Добавлено много паразитов.

Внимание! На этой неделе ожидается еще одно обновление. Сейчас оно тестируется на моих блогах. Мне наконец-то удалось обойти шедевр инженерной мысли разработчиков Wordpress и сделать так, что сообщения о прибитых плагином комментариях больше не будут идти вместе с прочими.

Возможно, уже в состав этого обновления будет включен измененный алгоритм сканирования базы комментариев. Благодаря Александру Шурыгину его удалось ускорить примерно в 7-8 раз.

Captcha, останавливающая не только ботов

Алексей Новиков — Fri, 28 Nov 2008 13:43:01 +0000

Вот такая идея пришла мне в голову: довольно распространенный тест “Сколько будет 1+2″ поменять на “сколько ног у двух трехногих собак” или “сколько пальцев на 3 руках” или “Ваня купил три яблока, а одно съел, сколько осталось яблок”. И эти вопросы в случайном порядке, с подстановкой цифр и прочих условий генерировать.

Такой тест остановит не только спамботов. Поможет еще и от убогих пионеров, которые просирают свою жизнь, “набивая каменты” по 10 центов через спам-биржи.

На вопросе про двух трехногих собак большинство пионеров зависнут и перезагрузятся

Букет спама из далекой Украины

Алексей Новиков — Fri, 28 Nov 2008 12:33:11 +0000

Вот такой вот пучок укропа нарисовался:

buket-best.dp.ua
best-buket.dp.ua
best-cvetki.dp.ua
super-buket.dp.ua
viva-buket.dp.ua
kiev-cvetok.dp.ua
ua-buket.dp.ua
kiev-buket.dp.ua

Думаю, может, весь dp.ua к чертям в блеклист поместить? Что скажете?

Обновление: пока что на неделю отправляется dp.ua в наш мрачный список. Что-то повалило оттуда:

flowerses.dp.ua
flowerses-ukraina.dp.ua
flowerses-shop.dp.ua

Еще обновление: кажется, скоро можно будет блокировать все двузначные украинские домены второго уровня:

provesillya.od.ua

Где живут блогоспамеры

Алексей Новиков — Fri, 28 Nov 2008 05:12:09 +0000

Как оказалось, обильно поставляют спам в блоги граждане Украины и Казахстана.

Вышел Wordpress 2.6.5

Алексей Новиков — Tue, 25 Nov 2008 21:36:02 +0000

Вышел Wordpress 2.6.5, содержащий одно обновление безопасности и три исправления багов. Рекомендую скачать Wordpress с официального сайта и обновить ваши блоги.

Бот, расскажи, как ты капчу обошел?

Алексей Новиков — Mon, 24 Nov 2008 20:19:57 +0000

Судя по этому воззванию, админам форумов тоже не хватает Parasite Eliminator. Будем думать, как им помочь. Там спам, правда, существенно отличается от блогового. Настолько, что форумный спам я пока не принимаю.

Неприятные сюрпризы русифицированных тем Wordpress

Алексей Новиков — Mon, 24 Nov 2008 04:28:57 +0000

Просматривая образцы присылаемого блоггерами спама, наткнулся на вот такие сайты:

wptheme.ru
wptheme.us
wpbox.ru

Доменные имена показались мне подозрительно созвучными с сокращением от Wordpress. Перешел я по ссылкам, и вижу: и правда, вроде как «белые» сайты по этой тематике.

Но не все так просто. На сайтах предлагают скачать русифицированные темы для Wordpress. Скачал я несколько таких тем и залез в код. В файле footer.php, отвечающем за формирование «подвала» страниц, я обнаружил вот такой зашифрованный фрагмент:

VmPSJodHRwOi8vd3B3b3JsZC5ydSIgdGl0bGU9ItCc0LjRgCBXb3JkcHJlc3MiIHRhcmdld D0iX2JsYW5rIj7QnNC40YAgV29yZHByZXNzPC9hPi4g0KLQtdC80LAg0L/QtdGA0LXQst C10LTQtdC90LAg0L3QsCDRgdCw0LnRgtC1IDxhIGhyZWY9Imh0dHA6Ly93cHRoZW1lc y5ydSIgdGl0bGU9ItCi0LXQvNGLINC00LvRjyBXb3JkcHJlc3MiIHRhcmdldD0iX2JsYW5rIj 7QotC10LzRiyDQtNC70Y8gV29yZHByZXNzPC9hPi4="));?>

Угадайте, что я обнаружил, когда расшифровал его?

Чтобы увидеть отгадку, нажмите Ctrl+A: к счастью, это был не вирус, а только лишь ссылки на сайты, эти файлы распространяющие, причем ссылки зашифрованы. Риторический вопрос: зачем же они зашифрованы?

Но и это еще не все. Пошел я изучать эти зараженные темы для Wordpress дальше. Открываю файл index.php (в других темах были «закладки» и в других файлах), отвечающий за формирование главной страницы. Батюшки святы, что я вижу!

Рубрика PIFdvcmRwcmVzcyI+OjwvYT4='; echo base64_decode($str);?>

Угадайте, что я обнаружил, когда расшифровал его?

Чтобы увидеть отгадку, нажмите Ctrl+A: после слова «Рубрика» идет двоеточие. Так вот, с этого самого двоеточия, (чтобы поставивший такую зараженную тему незадачливый блоггер не заметил) идет ссылочка на сайтик, которому ТИЦ и PageRank накручивают.

Нужны русифицированные темы, плагины, сам Wordpress? Не стоит скачивать их у мошенников, там могут быть разные подставы. Есть несколько правильных сайтов, например MyWordpress и Lecactus. В общем, знаете сами, предупредите других.

Parasite Eliminator на службе у спамеров

Алексей Новиков — Sat, 22 Nov 2008 22:24:10 +0000

Даже спамеры защищают свои блоги (и сплоги тоже) плагином Parasite Eliminator. В эту среду просматривал базу проспамленных блогов одной из блогоспамерских бирж, и что вы думаете? Знакомые домены из черного списка! Друг друга спамят (и возмущаются очень по этому поводу).

Посмотрел логи скачиваний черного списка, нашел и там нескольких спамеров. Сходил к ним, попробовал оставить тестовый комментарий — плагин установлен и работает.

Кстати, на сегодняшний день в блогосфере активны, как минимум, 372 инсталляции Parasite Eliminator. Неплохо для 10-дневной кампании

Будущие социально-сетевые возможности Parasite Eliminator

Алексей Новиков — Wed, 19 Nov 2008 11:19:10 +0000

Приоткрою некоторые планы. Думаю сделать такую вещь, как дополнительные сервера у людей, которым блоггер доверяет. Чтобы можно было обмениваться белыми и черными списками.

Скажем, доверяю я блоггерам Васе и Пете. У нас общие интересы. Скажем, маркетинг. И я доверяю их выбору. Соответственно, я могу связаться с ними и узнать адреса, куда они экспортируют свои списки. И указать их в специальном поле.

После этого плагин будет автоматически проверять обновления списков у Васи и Пети и скачивать их, добавляя к локальному списку в моем блоге

Соответственно, мой локальный белый список расширится за счет блогов, которые интересны людям, с которыми у меня общие интересы. Черный же список расширится за счет доменов, которыми спамят именно в моем тематическом кластере.

Пока вот только думаю над тем, хранить ли эти списки у Васи и Пети или же загружать на центральный сервер. У центрального сервера есть некоторые преимущества. Скажем, я могу анализировать списки блоггеров, получая информацию для корректировки главного списка.

Интересуют ваши мнения.