Spam: Was zum Teufel ist »Chopoy«??

Teilen

Der BWL-Bote ist bekannt dafür, unseriöse Praktiken aufzudecken. So haben wir kürzlich die Hintergründe der sogenannten »Köz-Szol-Ker Kft« (mehr Details hier) teilweise aufdecken können – was diese freilich nicht daran hindert, die Nation weiter mit Aldi-Faxen zu nerven. Jetzt scheint eine neue Art des Spamming geradezu explosionsartig um sich zu greifen: Forum-Hacking, mißbräuchliche Useranmeldungen zum einzigen Zweck, einen Werbelink zu plazieren. Das nervt nicht nur, sondern ist auch gefährlich – für nachlässige Forenbetreiber.

Mißbräuchliche Useranmeldungen in einem ForumDie nebenstehende Liste mit Useranmeldungen eines einzigen Tages aus einem Forum (das wir anonymisiert haben, um den Betreiber nicht bloßzustellen) scheint auf den ersten Blick eher unverdächtig zu sein. Das ändert sich, klickt man auf einen der WWW-Buttons: da kommt nämlich so ziemlich alles zum Vorschein, was das Herz so begehrt, von Werbung für Penisverlängerung über Schmuck (was derzeit ein besonderes Thema zu sein scheint) und Drogen, von denen einige in Deutschland illegal sind, bis hin zu Inzest- und Kinderpornographie. Das ist zum Teil "nur" lästig, vielfach aber auch gefährlich, denn der Forenbetreiber könnte für Kinderporno-Links in Haftung genommen werden, wenn er sie nicht entdeckt und entfernt. Und das Forum für Betriebswirtschaft war auch betroffen. Ja, es war, denn wir haben diese Typen ausgesperrt. Aber der Reihe nach…

Es gibt eine Zahl von Methoden, sowas zu verhindern. So kann man beispielsweise Useranmeldungen von der Genehmigung durch den Foren-Administrator abhängig machen, oder den User beim Registrieren dazu auffordern, eine verschwommen sichtbare Zahl abzutippen: diese Zahl können automatische Registriersystem ("RegBots") nicht lesen, und sich daher auch nicht anmelden. Trotz all dieser Maßnahmen erscheinen jedoch immer wieder neue Spam-Anmeldungen. Wie schaffen die das?

Im Serverprotokoll werden alle Anwendertransaktionen mitgeschrieben. Schon wer das Forum nur ansieht, hinterläßt mehrere Zeilen im Protokoll, und wer ein Posting schreibt einen ganzen Absatz voller Einträge. Insgesamt sind es oft Zehntausende pro Tag. Wir versuchen also, die Spammer im Protokoll zu finden, und ein Blick läßt alle Alarmglocken schrillen:

 

66.249.64.47 - - [26/Sep/2004:03:53:23 +0200] "GET / HTTP/1.0" 200 53478 "-" "Googlebot/2.1 (+http://www.google.com/bot.html)"
63.198.214.170 - - [26/Sep/2004:05:39:00 +0200] "POST /profile.php HTTP/1.0" 200 13678 "http://www.bwl24.net/forum//profile.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
207.46.98.48 - - [26/Sep/2004:06:12:04 +0200] "GET /favorites.php?t=226&mode=add&sid=f3acc93a9bb27b4ed638e4237207d38d HTTP/1.0" 302 0 "-" "msnbot/0.3 (+http://search.msn.com/msnbot.htm)"

Hier ist nachdem der letzte User sich um 03:53 Uhr verflüchtigt hat bis um 06:12 morgens nichts passiert – mit einer einzigen Ausnahme, und die hat es in sich: mit nur einer einzigen Zeile (!) registriert hier jemand einen User – sonst wären das vielleicht zwanzig oder dreißig Einträge. Wie schafft er das?

Ein Blick in das Protokoll der Datenbanktransaktionen lehrt uns erst Recht das Fürchten. Hier stehen alle SQL-Befehle, die an die dem Forum zugrundeliegende MySQL-Datenbank gesendet wurden. Durch den Aufruf des Moduls "profile.php" (und einiger zugehöriger anderer Dateien) wurde folgende Transaktion ausgelöst:

 

VALUES (211, '*-navel-ring', 1096169939, 'b8ca9cc24a10e85812812ae21c511a6d', 'and1384@hotmail.com', '', 'http://body-piercing.boom.ru/navel-ring.html', '', '', '', '', '', '', 0, 0, '', '', '', 1, 1, 0, 1, 0, 0, 1, 1, 0, 'D M d, Y g:i a', 'russian', 1, 0, 1, 0, '699d384ec90fec718c61')Ó9VA..........â.......Ó9VA.....©...Ba.........usr_web267_1.INSERT INTO phpbb_groups (group_name, group_description, group_single_user, group_moderator) VALUES ('', 'Personal User', 1, 0)Ó9VA.....}...Ba.........usr_web267_1.INSERT INTO phpbb_user_group (user_id, group_id, user_pending)

Jemand hat es also geschafft, direkt in die Datenbank einzudringen, und dort einen User namens "*-naval-ring" zu registrieren – an allen Sperren und Sicherheitsmechanismen vorbei. So also sieht eine schlaflose Nacht aus.

Wir folgen erstmal dem auf im SQL-Text sichtbaren Link auf boom.ru und stellen fest, daß dieser nur eine Weiterleitung zu www.chopoy.com enthält, ein angebliches "Business Directory", dessen Impressum man freilich vergeblich sucht. Auch die vielen anderen Registrationen enthalten meist Links auf die Chopoy-Seite, manchmal mit und manchmal ohne Umweg – also nur ein "harmloses" Spamming?

Vermutlich steckt da noch was anderes dahinter, was wir herausfinden, wenn wir wissen, wer Chopoy ist. Mangels Impressum sehen wir mal bei InterNIC nach: in der WHOIS-Datenbank kann jeder erfahren, wer eine .com-Domain betreibt, und das hier kriegen wir zu sehen:

 

Domain Name: CHOPOY.COM
Registrar: GO DADDY SOFTWARE, INC.
Whois Server: whois.godaddy.com
Referral URL: http://registrar.godaddy.com
Name Server: NS1.3FN.NET
Name Server: NS2.3FN.NET
Status: ACTIVE
Updated Date: 14-sep-2004
Creation Date: 14-sep-2004
Expiration Date: 14-sep-2005

Jemand hat also über einen US-Provider die Chopoy-Seite registriert und betreibt nun massiv Werbung, und das Registrierdatum 14. September erklärt, weshalb das in den letzten Wochen so zugenommen hat: Millionen solcher Spam-User sind offensichtlich in Foren rund um die Welt errichtet worden. Eine neue Art der Spam-Werbung ganz offensichtlich, die für den Betreiber der Chopoy-Seite übrigens auch den Vorteil des Vorhandenseins vieler Links erbringt. Und wer oft verlinkt wird, landet in den Suchmaschinen ganz oben: das gesamte Web als Linkfarm also. Gut ausgedacht, immerhin. Wir haben übrigens bei "GoDaddy.com" angerufen: daß die ihren Kunden decken, wundert nicht. Ist "goDaddy.com" also ein Spam-Provider? Vielleicht…

Dafür spricht übrigens auch, daß die IP von Chopoy.com nirgends auftaucht: An der IP-Nummer ist ein System im Internet eindeutig zu identifizieren. Die oben sichtbare IP 63.198.214.170 kann u.a. durch das IKS Jena überprüft werden, und weist auf Pacific Bell Internet Services, eine Gesellschaft, die offensichtlich als eine Art Vermittler mißbraucht wird, als Proxy-Server zum Verdecken der Identität des Urhebers einer Transaktion. Chopoy muß sich aber auch verstecken, denn viele Freunde dürften die nicht mehr haben.

Nun aber zum eigentlichen Problem, denn während man diesen Müll auch einfach löschen kann, haben die doch geschafft, mit der Datenbank zu machen, was sie wollen. Woher weiß ich also, daß die mich nicht morgen löschen, oder, was viel schlimmer wäre, ihren Schrott in frühere Postings einfügen, wo man ihn viel schwerer findet, weil nicht Tausende von Artikeln jeden Tag kontrolliert werden können? Hier kommt die verwendete Forensoftware in Spiel, oder genauer, das ihr zugrundeliegende Lizenzmodell. Hätte ich nämlich eine Microsoft-Software verwendet, wäre vielleicht in einem halben Jahr ein Patch erschienen – wenn mein Forum schon voller Porno-Links steckt. Die hier benutzte Software ist also OpenSource, also vom Nutzer veränderbar. Und ein einziges Posting im Forum des Herstellers bringt in Stunden eine sofort umsetzbare Lösung – eine Unmöglichkeit bei proprietären Systemen.

Jetzt also wissen Sie, was ein Forenbetreiber nachts macht, aber immerhin wissen Sie auch, daß es nur durch eine quelloffene Software so schnell und kostenlos gelöst werden konnte – was freilich auch die Mitarbeit des Forenbetreibers beim Einrichten und Verändern der Software erfordert. Nicht alle haben sich das angetan: Sucht man nach "Chopoy" in einer Suchmaschine, stößt man noch auf Anhieb auf eine Vielzahl von Fällen wie der oben abgebildete. Daß dieser Vorfall also nicht der letzte seiner Art war, ist unschwer zu erraten. Ja, wir haben einen neuen Kriegsschauplatz, nach Werbeblockern für aufdringliche Webseiten und Müll-Mails benötigen wir jetzt einen aktiven Forenschutz.

Und das alles ist aber immer noch nur die Spitze eines Eisberges: derzeit entwickeln sich nämlich rasant die sogenannten Voice-over-IP-Dienste: per Internet kostenlos telefonieren ist eine Verlockung für viele, und selbst Gespräche in das Festnetz sind unschlagbar günstig (z.B. bei Skype). Und ein weiches Ziel für die Spammer: durch die geringen Kosten könnten die uns nämlich sobald wir alle VoIP-Telefone haben, millionenfach mit Werbespots am Telefon nerven, jeweils Tausende Empfängernummern pro Anruf, und das Tag und Nacht. Bildschirmschoner für Fernseher gibt es noch keine, aber Werbeblocker für Telefone sind nicht mehr weit…

Links zum Thema: Fax Spam: so funktioniert das schmutzige Geschäft | Fax Spam: weitere Erkenntnisse über die »Köz-Szol-Ker Kft« | Forum für Betriebswirtschaft (nicht mehr betroffen) | Fernseh-Werbeblocker erlaubt: Am Beginn einer Revolution der Marktkommunikation | Gesetz gegen den Unlauteren Wettbewerb (UWG): Eckpunkte der anstehenden Reform | Gratisangebote, DRM und Opportunitätskosten: Auf dem Weg in die Abhängigkeitsökonomie | Elektronische Direktwerbung: neue Wettbewerbsregeln, neue Urteile (interne Links) InterNIC WHOIS | IKS Jena IP WHOIS | Posting im phpBB-Forum mit technischer Diskussion des Problems | Skype (externe Links)

Ähnliche Themen, die Ihnen gefallen könnten