[MT] Trackback spambot的特征分布 - 2006年12月份


用一些简单的脚本和接口对MT spambot做了一些统计,网站上已经没有mt-tb.cgi这个文件了,来访问这个地址的都是spammer。

结论如下:spam的运行时间分布很均匀,来源IP以国外为主,一般是对MT已有文章地毯式的ping。
基本上如果通过特征的方法来识别,不如全部过滤。所以动态修改trackback地址/文件名是必须的可以过滤掉95%以上的spam,动态trackback地址/参数则过滤掉将剩余的5%中的90%。

详细数据附后。

时间分布:

4049 00
4039 01
3305 02
4932 03
4269 04
4039 05
5574 06
4468 07
4249 08
4784 09
3823 10
3584 11
4522 12
3216 13
2533 14
3180 15
1826 16
2235 17
2489 18
1946 19
2613 20
2971 21
2863 22
2858 23

比较均匀,一天24小时都有,下午16点(北京时间)是个低谷:和后面的来源地址分布像对应:应该是美国的凌晨。

IP分布:

58.247.2.108#上海市网通
59.42.210.176#广东省广州市电信ADSL
61.189.240.196#贵州省毕节市电信
61.238.244.86#香港九龙半岛酒店
62.225.15.58#德国EMUCH.NET
64.124.182.119#美国加洲
66.14.200.170#美国德州GTE.net公司用户
66.132.158.88#美国EMUCH.NET
66.139.102.2#美国Global University
66.165.172.163#美国EMUCH.NET
66.192.59.18#美国Time Warner Telecom
66.204.165.81#美国阿肯色州
66.220.26.133#美国EMUCH.NET
66.228.143.9#美国EMUCH.NET
72.32.59.213#美国EMUCH.NET
80.237.140.233#英国德文郡 普里茅斯
84.14.52.34#法国EMUCH.NET
85.214.67.230#欧洲及北非,西亚
129.41.250.20#美国IBM公司
140.115.117.143#台湾省中央大学
193.69.180.120#挪威
193.194.84.198#阿尔及利亚
194.64.227.16#德国EMUCH.NET
195.159.8.28#挪威
196.46.249.34#南非
200.29.137.217#巴西
200.31.42.3#巴西
200.88.223.98#巴西
200.208.102.17#巴西
201.211.46.149#美国中部/南部(IANA)
202.83.206.37#香港
202.123.234.188#印度尼西亚EMUCH.NET
203.144.144.163#泰国EMUCH.NET
203.144.144.164#泰国EMUCH.NET
203.158.221.227#泰国Rajamangala Institute of Technology
208.138.31.88#美国/加拿大
210.17.149.157#香港
212.227.80.22#德国EMUCH.NET
213.167.111.10#挪威
217.9.235.73#保加利亚

明显来自国外的比较多,集中在TOP 100个IP上(以上使用小木虫批量IP地址查询)。

ID分布:很均匀,基本上是地毯式的从1-999轮循ping

494 606
478 636
465 685
457 612
435 692
429 837
400 526
388 688
382 622
375 781
371 554
369 541
368 476
365 700
364 875
364 572
363 77
363 623
361 655
361 407
360 689
360 551
359 663
359 228
358 442
357 705
357 630
356 733
355 880
355 716
354 867
354 375
353 883
353 882
353 651
353 278
352 779
352 767
352 697
352 659

HTTP的头:HTTP 1.1为主
63108 HTTP/1.1"
21394 HTTP/1.0"

浏览器分布:大量spambot模拟Opera?

28544 "Mozilla/4.0 (compatible; MSIE
25686 "Mozilla/5.0 (Windows; U;
2608 "Opera/6.04 (Windows 2000;
2566 "Opera/7.0 (Windows NT
2562 "Opera/6.01 (Windows 98;
2549 "Opera/6.04 (Windows XP;
2544 "Opera/6.04 (Windows 98;
2509 "Opera/7.0 (Windows 2000;
2508 "Opera/6.02 (Windows 2000;
2495 "Opera/6.03 (Windows 2000;
2490 "Opera/6.01 (Windows ME;
2480 "Opera/5.02 (Windows 98;
1871 "Opera/7.02 Bork-edition (Windows

而本月的404错误统计:也完全被SPAMBOT的trackback所淹没:

找不到的网址连结 (HTTP 错误码 404)
URL (4316) 错误次数 反相链接
/cgi-bin/mt/mt-comments.cgi 9009 -
/phpman.php/man/bn_add/3ssl/ 8645 -
/qq.txt 1240 -
/phpman.php/man/post/1/ 1205 -
/cgi-bin/mt/mt-tb.cgi/606 1180 -
/cgi-bin/mt/mt-tb.cgi/636 1127 -
/cgi-bin/mt/mt-tb.cgi/612 1088 -
/cgi-bin/mt/mt-tb.cgi/685 1086 -
/cgi-bin/mt/mt-tb.cgi/837 1081 -
/phpman.php/man/ldap_add/3/ 1038 -
/cgi-bin/mt/mt-tb.cgi/526 1026 -
/s8qq.txt 966 -
/cgi-bin/mt/mt-tb.cgi/692 953 -
/cgi-bin/mt/mt-tb.cgi/622 834 -
/cgi-bin/mt/mt-tb.cgi/572 825 -
/cgi-bin/mt/mt-tb.cgi/551 817 -
/cgi-bin/mt/mt-tb.cgi/541 815 -
/cgi-bin/mt/mt-tb.cgi/688 808 -
/cgi-bin/mt/mt-tb.cgi/457 808 -
/cgi-bin/mt/mt-tb.cgi/781 806 -
/cgi-bin/mt/mt-tb.cgi/705 805 -
/cgi-bin/mt/mt-tb.cgi/375 803 -
/cgi-bin/mt/mt-tb.cgi/827 803 -
/cgi-bin/mt/mt-tb.cgi/168 799 -

SPAM的内容来看:赌博、色情和各种暴利医药类行业为主。

作者:车东 发表于:2006-12-15 18:12 最后更新于:2007-04-15 19:04
版权声明:可以转载,转载时请务必以超链接形式标明文章 的原始出处和作者信息及本版权声明

发表一个评论

(如果你此前从未在此 Blog 上发表过评论,则你的评论必须在 Blog 主人验证后才能显示,请你耐心等候。)

相关文章

关于

此页面包含了发表于2006年12月15日 下午06时52分的 Blog 上的单篇日记。

此 Blog 的前一篇日记是 豆瓣在全世界的长尾用户群

此 Blog 的后一篇日记是 盗亦有道:OutfoxBot原来是有道蜘蛛

更多信息可在 主索引 页和 归档 页看到。

Creative Commons License
此 Blog 中的日记遵循以下授权 Creative Commons(创作共用)授权.
Powered by
Movable Type 3.36