Spam-IP.com es un sitio web dedicado a informar y luchar contra el Spam.
En su labor de lucha se dedican a mantener una lista de IPs actualizada cada hora que han sido detectadas enviando Spam para que puedan ser incluidas en listas negras, y que distribuyen en formato CSV para su procesado o vía web.
Una de sus fuentes de datos principales es la propia colaboración de los usuarios, que mediante este formulario pueden publicar IPs en la lista.
La otra fuente es de lo más curiosa e innovadora.
El principio es simple. El comportamiento de los Spambots es recorrer internet constantemente en busca de formularios para enviar su Spam.
En Spam-IP han creado un Honeypot que se trata de un formulario cualquiera como los de blogs, páginas de contacto, etc. Cuando un bot envía información en dicho formulario, su IP es automaticamente incluida en la lista.
Por supuesto, si es un usuario normal el que envía información en el formulario, su propia IP quedará incluida en la lista, por lo que NO hay que interactuar con el Honeypot.
Una forma de ayudar al proyecto es incluir un enlace al Honeypot en nuestro sitio web, de forma que el enlace será seguido por los Spambots y éstos podrán ser incluidos en la lista. Cuanto mayor sea el número de enlaces a la dirección en Internet, mayor será la llegada de bots y por lo tanto mayor será la lista de IPs.
Con mucho gusto, desde SecurityByDefault aportamos nuestro granito de arena, por lo que además de escribir sobre ellos, incluimos a continuación un enlace al Honeypot. Recordad que NO se debe interactuar con él.
Un interesante proyecto que esperamos que continúe aportando por mucho tiempo.
12 comments :
Desde la ignorancia, ¿como detectan que es un bot de spam? ¿el bot no puedría detectar que se trata del formulario atispam (por sus capos/estructura/etc) y evitarlo? ¿O acaso se genera dinámicamente?
Un saludo
Agregando el sitio a mi lista negra de bots :)
Probad de hacer un telnet al 25 del mx del psoe desde una ADSL
(mas vale hacerlo que explicarlo)
Igual se me escapa algo, pero un enlace a spam-ip será fácil de evitar por cualquier bot. Puede ser efectivo durante un tiempo, hasta que los spammers programen sus bots para evitar ese dominio, y entonces estaremos en las mismas...
¿Esta hecho a drede? :-S
Lo ideal sería que se incrustase en páginas de usuarios con la url del action acortada, siendo ésta renovada y variable por cada nueva incrustación. Evitar iframe, a no ser que los spambots lo parsen.
Si yo soy un "bot commander" y he leído la noticia en este blog, y puedo agregar la dirección del honeypot a una lista de excepciones de mi bot. Me parece que no tiene mucha lógica.
Opino lo mismo, es más, yo creo que cualquier programador de bot habría puesto una funcionalidad para trabajar con una lista de "excepciones"
Eso en el caso de que sepan de la existencia del sitio:
Database Details
Total: 281,506 Spammers
Today: 60
Yesterday: 129No parece que le vaya mal.
Como comentan varias personas, es perfectamente posible que los creadores de bots de spam tengan su propia lista negra de sitios, y que hagan que su programa los evite.
En cualquier caso, dejando a un lado los resultados que pueda dar o no éste honeypot concreto, el hecho de ser un honeypot abierto y confeso aporta conocimiento a la comunidad en el sentido de estudiar cómo funciona.
Por otro lado, éste tipo de iniciativas suelen tener otras fuentes que no hacen públicas. Por ejemplo, otros honeypots como éste pero no documentados, direcciones de email publicadas "por ahí" que nunca jamás recibirían emails que NO sean spam, etc.
Hola, buenos días:
He encontrado esta página (muy interesante) buscando una solución para el problema que tenemos. Pero me gustaría saber si me pueden ayudar a saber cómo puedo saber el formulario desde el que un spammer o un bot están enviando spam a través de mi servidor. Nuestra web tiene casi 8.000 urls y en la mayoría de ellas hay al menos un formulario. Hasta que pueda rehacerlos todos con autenticación me va a llegar bastante tiempo y están consumiendo gran cantidad de mis recursos, ya que envían el máximo permitido por hora por el servidor.
Gracias por su ayuda.
Buenas Carmen,
Imagino que tienes varias opciones:
1) Poner un sniffer y ver en que formulario se hacen los POST con el spam
2) Revisar el access_log del servidor buscando el formulario que es llamado sistemáticamente
3) hacer un "grep -r" de la función que llame al correo electrónico
¿Has probado estas cosas?
Publicar un comentario