Die Überschrift müsste genau genommen heißen: Ein Trackback Spam Bot der sich als Browser tarnt.

Vor etwas einer Woche beobachtete ich hier auf Enjoy einen deutlichen Besucheranstieg. Gleichzeitig gab es zunehmend Trackback Kommentare. Die meisten davon blieben im Spam Filter hängen. Einige schlugen jedoch durch und mussten von mir manuell gelöscht werden.

Alle verweisenden Links  wo der Trackback herkam, sind tote Links. Es gibt somit tatsächlich nichts, wo dieser Trackback Link gesetzt wurde. Die Domains, wo der Backlink her kommt, gibt es allerdings.

Dieser Trackback Bot gibt vor ein Browser zu sein. Stündlich wird versucht jeweils circa 10 bis 15 mal im Kommentarbereich zu posten. Das läuft ganz gemütlich ab, ist also keine massive, starke Attacke, sondern er lässt sich circa 10 Minuten dafür Zeit.

Die angezeigte IP ändert sich dabei mehrmals. Sie sind aber immer aus Europa. In erster Linie den Niederlanden, Polen und der Ukraine.   Als User Agent wird immer ein Browser vorgegeben. Das ist sowohl Mozilla, der IE oder auch Opera.

Die Adresse, von welcher der angebliche Trackback Link kommt, ist dabei zu 99 Prozent eine Novolinegames , manchmal mit Endung com und das andere mal mit Endung net.

Die Frage ist nun, ob es sich dabei tatsächlich um einen Trackback Bot handelt oder tatsächlich um Browser. Wenn es Browser sind, dann meine ich, dass es von PC´s und Browsern kommt, die infiziert sind. Dass Gamer, die Spiele von der oben genannten Firma auf dem Rechner haben oder online spielen, sich etwas eingefangen haben.

Stoppen lässt sich das auf meinem Blog überhaupt nicht. Ich habe eine ganze Reihe von Maßnahmen getroffen, die ich teils wieder rückgängig gemacht habe, weil sie nichts gebracht haben.

Zum einen die Deaktivierung in WordPress der Erlaubnis von Trackbacks zu setzen (aktiv)

Kommentare sind auf Moderation (aktiv)

Zusätzlich zu Antispam Bee (aktiv) noch ein Captcha Tool aktiviert. Kommentatoren müssen also erst noch einen angezeigten Code eingeben.

Zwar waren die Backtrack Comments dann nicht mehr veröffentlicht, aber ich habe den ganzen Mist trotzdem im nur für mich sichtbaren Dashboard. Deswegen habe ich zu weiteren Maßnahmen gegriffen und das Plugin Bad Behavior (aktiv) installiert.

Dieses Plugin hat diese Trackbacks einwandfrei als fehlerhaft erkannt. Die oben gezeigten Screenshots stammen aus dem Log dieses Plugin.

Stoppen ließ es sich trotzdem nicht. Und weil alles angeblich über die www.phildreams.de/index.html Seite rein kam, habe ich diese vom Server genommen. Genutzt hatte es nichts, deswegen ist sie wieder erreichbar.

Selbst die ganz radikale Maßnahmen, nämlich das löschen der wp-trackback.php ist ohne Erfolg. Deswegen ist diese Datei auch wieder installiert.

Zu diesem Thema habe ich bisher kaum Informationen gefunden. Und somit kann ich insgesamt noch nicht sagen, was das momentan ist.

Nachtrag: Inzwischen kommen die angeblichen Trackbacks nicht nur von der oben genannten Seite, sondern es geht quer durch den Gemüsegarten, durch alle möglichen Branchen. Die aber eines gemeinsam haben. Sie haben alle etwas zu verkaufen.