Bon Anza Rundschau

Dieser Beitrag gilt nur den Usern der Shoutbox, Gästebuch und Counter von Dialcontent.de (Bon Anza Rundschau ist davon nicht betroffen):

Liebe User,

in den letzten Monaten habe ich mich oft mit dem Gedanken beschäftigt die Seite Dialcontent.de entweder zu verkaufen oder zu schliessen. Nun, nach langen überlegen, habe ich mich für letzteres entschieden. Ich möchte hier meine Gründe für diesen Schritt kurz darlegen. In den letzten 4 Jahren habe ich immer versucht für euch Homepagebesitzer etwas anzubieten das nichts kostet, eine Bereicherung eurer Seite darstellt und für mich kostenneutral bleibt. Genau diese “Konstellation” hat nicht funktioniert, zumindest nicht bei mir. “Versagt” hat das Projekt im Bereich Kosten. Ich war nie ein Freund aggressiver Werbung die über die GB, Counter und Shoutboxen ausgeliefert wird, deshalb habe ich über die Jahre versucht diese Refinanzierungsmöglichkeit so dezent wie möglich zu halten. Aber dezent interessiert niemanden und bringt keine Einnahmen die es wert sind erwähnt zu werden. Das bedeutet im Umkehrschluss, dass ich über die ganzen Jahre das Projekt selber finanziert habe. In der Summe sind das mittlerweile monatlich mehrere hunderttausende Abrufe von Box, Counter und GB, produzieren damit etliche GB Traffic jeden Monat, die ich selber zahlen muss. Das möchte in der Form so nicht mehr weiter haben. Weiterhin wären dringend diverse größere Änderungen an den Scripten notwendig um sie auf den aktuellen Stand der Zeit zu bringen. Das betrifft die Bereiche Sicherheit, Spamabwehr und Serverlast. Diese Änderungen müsste ich in Auftrag geben UND letzendlich selber bezahlen. Auch das möchte ich nicht mehr.

Ich denke viele von Euch können meine Gründe verstehen oder zumindest nachvollziehen. Es hat mir eine Menge Spass gemacht in den letzten Jahren und ich denke einige von euch waren vielleicht auch ein bisschen zufrieden mit dem Angebot von dialcontent. Aber nun werde ich diesen Schnitt machen und dialcontent.de zum 30.09.2007 schliessen. An diesem Datum werden alle Services abgeschaltet. Ihr habt also noch Zeit euch einen alternativen Service zu suchen.

Ich hatte zwar kurzfristig über den Verkauf nachgedacht, aber mich entschlossen mein kleines “Baby” nicht in fremde Hände abzugeben, bei denen ich keine Kontrolle mehr habe was am Ende damit passiert, denn “missbrauchen” könnte man dieses Projekt zu vielen Sachen. DAS wird nicht passieren. Der Dumme wärt am Ende einzig Ihr. Nun gut, falls ihr vielleicht noch irgendwelche Anmerkungen habt oder vielleicht sogar Danke sagen möchtet, so steht es euch frei auf diesen Beitrag einen Kommentar zu hinterlassen. Fragen werde ich in jedem Falle beantworten. Tut das aber rechtzeitig, denn nach der “Abschaltung” werde ich keinen Support mehr leisten, ich hoffe ihr versteht das. Danke für euer Vertrauen. Es war eine schöne Zeit mit Euch.

Bye,

Alexander
Dialcontent.de

Ich hatte ja schon mal berichtet, dass die Gästebucher meiner User attackiert werden und zwar in Massen. Die Datenbank jedes Mal manuell zu säubern reduziert zwar die Datenbankgröße, aber geht natürlich total am Problem vorbei. Ich bin also nicht umhin gekommen mir Gedanken über einen “richtigen” Spamschutz für die gehosteten GB zu machen. Es gab zuerst eigentlich nur die Alternative der Usereingabe, der Nachweis des Menschseins. In  Frage kommen Captcha, Rechenaufgaben (1+1), Namenseingabe und ähnliche Dinge. Problem ist neben Barrierefreiheit, Usergängelei usw, auch schlicht der Fakt, dass teilweise schon richtig komplizierte Captchas vom *Bot* erkannt werden, genauso wie die Rechenaufgaben und Namen. Was also tun? Noch kompliziertere Captchas die noch weniger lesbar sind sowohl vom Bot als auch vom User? Es muss etwas anderes geben. Teilweise nette Ideen auf die ich bei meiner Recherche gestossen bin. Zum Beispiel aus dem jex-treme Forum, in das Eingabeformular des GB wird ein weiteres Inputfeld integriert, per span und display:none unsichtbar gemacht. Was soll das bezwecken? Der User erkennt das unsichtare Feld natürlich nicht, ein Bot jedoch würde es mit Sicherheit liebend gern ausfüllen, besonders gern wenn man es name=’website’ oder ähnlich nennt. Da vor dem Abspeichern des Gb-Beitrages normalerweise ein Prüfung der Daten erfolgt (Pflichtfelder etc.) kann man nun schauen ob das Feld leer oder bestückt ist:

if (!empty($website)){
[…]
}

ist es bestückt, kann man dann verschiedene Sachen ausführen, was genau bleibt dem Besitzer überlassen. Vorweg, ich habe es nicht ausprobiert, getestet oder im Einsatz, ich fand den Ansatz so schön simpel. Der Nachteil wird sein, dass es den Bot nicht lange ausperren wird, falls es der Spammer ernsthaft auf deinen Gb-Server abgesehen hat. 

Ich selber verwende momentan eine ganz anderen Ansatz. Die Spambeiträge in GB und per Formular werden ja automatisiert per Script und über die Request method “POST” durchgeführt. Greift eines dieser Scripte auf eines der GB zu wird es per ”Überwachungsscript” anhand typischer Merkmale wie “:”,”insert”, “select”, “distinct”, “having”, “truncate”, “replace”,”handler”, group by” usw. erkannt, abgefangen, dass script gestoppt und der Zugriff protokolliert. 

Die Protokollierung der letzten 2 Tage waren ein voller Erfolg. Über einen Zeitraum von 24h konnte ich ca. 1MB Spambeiträge abfangen und kein einziger Spambeitrag gelangte mehr in die Gästebücher. Weiterhin wurde klar, dass die Implimentierung eines Zeitlimites >15 sec schon einiges an Erfolg bringen würde. Ich will verständlicherweise nicht zu genau auf die Details eingehen, man weiß ja nie ob die Spammer nicht auch lesen können. Ich bin aber gern bereit im direkten Kontakt näheres zu erläutern bzw. das Script weiterzugeben. 

Einige wissen ja das ich noch andersweitig im Netz aktiv bin ausser sinnbefreite Blogeinträge zu schreiben. Heute war mal wieder Saubermachtag zum Thema Spam in den Gästebüchern die von dialcontent.de gehostet werden, eine der Seiten die ich betreibe. Zu dieser Aktion muss ich mich leider regelmässig hinreissen lassen. Die User machten mir in letzter Zeit ein Supportticket nach dem anderen auf. Viagra, cialis, penisdinger und was weiß ich noch nicht alles. Schön per script in die User-Gästebücher gespammt. Was soll man machen, die User administrieren ihre GB kaum, was dazu führt das jeder Dreck ungefragt Eintritt erhält. Also habe ich mich mit meinem Datenbankserver beschäftigt und per SQL-Befehlszeilen schön artig die Einträge gelöscht. Das ich das Query nicht jedes Mal neu machen muss, werde ich es hier einfach mal als Erinnerungshilfe posten:

DELETE FROM `gbpro_gbeintraege` WHERE homepage like '%pharm%'
or homepage like '%blooming%'
or homepage like '%bondage%'
or homepage like '%cialis%'
or homepage like '%viagra%'
or homepage like '%tamiflu%'
or homepage like '%fluoxetin%'
or homepage like '%phendimetra%'
or homepage like '%xanax%'
or homepage like '%bravepaper%'
or homepage like '%cheap%'
or homepage like '%vardenafil%'
or homepage like '%celebrex%'
or homepage like '%ripway%'
or homepage like '%diet%'
or homepage like '%asses%'
or homepage like '%casino%'
or homepage like '%buy-online%'
or homepage like '%pills%'
or homepage like '%reduce%'
or homepage like '%generica%'
or homepage like '%boobs%'
or homepage like '%attrezzatura%'
or homepage like '%greatnow%'
or homepage like '%op-golden%'
or homepage like '%bravepages%'
or homepage like '%freemb.com%'
or homepage like '%sweethost.com%'
or homepage like '%giveaway.net%'


Die Liste könnte noch viel länger ausfallen, aber das sind die wichtigsten. Ca. 9500 Spameinträge sind so eleminiert worden. Alles aus den letzten 3-4 Wochen. Ein weiteres Problem ist das die Spammer sich leider nicht mit dem posten eines einzelnen Linkes zufrieden geben, nein, es müssen pro Eintrag mindestens 10 Links inklusive Text sein. Unangenehme Nebenwirkung bei 9500 Spameinträgen ist dann ein MySQL-Tabellengröße von über 90MB, wobei davon von regulären Mitteilungen lediglich ca. 20-25MB belegt sein dürften. Die Performance der Datenbank ist dann in Momenten vieler Zugriffe natürlich unterirdisch.

I hate you old motherfucker spammerbob.