Textpattern CMS support forum
You are not logged in. Register | Login | Help
- Topics: Active | Unanswered
#1 2010-06-09 19:08:01
- janvi
- Member
- From: Norway
- Registered: 2009-05-28
- Posts: 41
[URGENT] Massive spam attack, with textile formatted links
Hello.
I’m havin a major issue today. One of my sites is attacked with spam comments, about 4-5 each minute.
It’s one particular article only suffering this attack. By now I have closed commenting in this article.
The links in the comments are even posted in textile (?) ..strange isnt it?
All comments containing a masked link starting like this:
wiki.oracle.com/page..
btw. I’m using the htn_antispam (hidden field) plugin.
What the hell is going on? How can I stop this?
Output from the log.
09 juni 2010 kl. 20.58 +0200 95.169.190.2 ns.server.summa-tech.su artikler/35/12-millioner-ubuntu-brukere#cpreview POST 200
09 juni 2010 kl. 20.58 +0200 58.221.242.139 58.221.242.139 artikler/35/12-millioner-ubuntu-brukere#cpreview POST 200
09 juni 2010 kl. 20.57 +0200 200.238.83.49 200.238.83.49 artikler/35/12-millioner-ubuntu-brukere#cpreview POST 200
09 juni 2010 kl. 20.56 +0200 82.194.62.25 82.194.62.25 artikler/35/12-millioner-ubuntu-brukere POST 200
09 juni 2010 kl. 20.56 +0200 216.109.73.21 hided86d4915.ag.com artikler/35/12-millioner-ubuntu-brukere#cpreview POST 200
09 juni 2010 kl. 20.54 +0200 202.69.8.131 202.69.8.131 artikler/35/12-millioner-ubuntu-brukere#cpreview POST 200
09 juni 2010 kl. 20.54 +0200 221.181.174.207 221.181.174.207 artikler/35/12-millioner-ubuntu-brukere#cpreview POST 200
09 juni 2010 kl. 20.52 +0200 161.30.105.102 161.30.105.102 artikler/35/12-millioner-ubuntu-brukere#cpreview POST 200
09 juni 2010 kl. 20.52 +0200 202.138.180.144 demo.bayanihancomputing.net artikler/35/12-millioner-ubuntu-brukere#cpreview POST 200
09 juni 2010 kl. 20.52 +0200 188.54.77.241 188.54.77.241 artikler/35/12-millioner-ubuntu-brukere#cpreview POST 200
09 juni 2010 kl. 20.52 +0200 204.15.80.50 204-15-80-50.ironport.com GET 200
09 juni 2010 kl. 20.52 +0200 204.15.80.50 204-15-80-50.ironport.com GET 200
09 juni 2010 kl. 20.52 +0200 82.194.62.25 82.194.62.25 artikler/35/12-millioner-ubuntu-brukere POST 200
09 juni 2010 kl. 20.51 +0200 218.103.168.105 n218103168105.netvigator.com artikler/35/12-millioner-ubuntu-brukere#cpreview POST 200
09 juni 2010 kl. 20.49 +0200 217.111.163.142 217.111.163.142 artikler/35/12-millioner-ubuntu-brukere POST 200
09 juni 2010 kl. 20.49 +0200 67.218.116.166 crawl-19c.cuil.com GET 200
09 juni 2010 kl. 20.49 +0200 195.168.109.60 a4.pantarhei.ba.cust.gts.sk artikler/35/12-millioner-ubuntu-brukere#cpreview POST 200
09 juni 2010 kl. 20.49 +0200 88.202.124.121 88-202-124-121.ip.skylogicnet.com artikler/35/12-millioner-ubuntu-brukere#cpreview POST 200
09 juni 2010 kl. 20.48 +0200 202.138.180.144 demo.bayanihancomputing.net artikler/35/12-millioner-ubuntu-brukere#cpreview POST 200
09 juni 2010 kl. 20.47 +0200 79.120.76.14 79.120.76.14 artikler/35/12-millioner-ubuntu-brukere#cpreview POST 200
09 juni 2010 kl. 20.46 +0200 211.233.134.46 211.233.134.46 artikler/35/12-millioner-ubuntu-brukere#cpreview POST 200
09 juni 2010 kl. 20.46 +0200 94.158.188.30 94.158.188.30 artikler/35/12-millioner-ubuntu-brukere#cpreview POST 200
09 juni 2010 kl. 20.46 +0200 216.109.73.21 hided86d4915.ag.com artikler/35/12-millioner-ubuntu-brukere#cpreview POST 200
09 juni 2010 kl. 20.45 +0200 212.174.232.22 212.174.232.22 artikler/35/12-millioner-ubuntu-brukere#cpreview POST 200
09 juni 2010 kl. 20.43 +0200 81.25.54.111 ppp-81-25-54-111.ultranet.ru artikler/35/12-millioner-ubuntu-brukere#cpreview POST 200
09 juni 2010 kl. 20.42 +0200 202.138.180.144 demo.bayanihancomputing.net artikler/35/12-millioner-ubuntu-brukere#cpreview POST 200
09 juni 2010 kl. 20.42 +0200 188.72.230.222 188.72.230.222 artikler/35/12-millioner-ubuntu-brukere#cpreview POST 200
09 juni 2010 kl. 20.40 +0200 174.142.192.26 174.142.192.26 artikler/35/12-millioner-ubuntu-brukere#cpreview POST 200
09 juni 2010 kl. 20.40 +0200 216.218.211.56 216.218.211.56 artikler/35/12-millioner-ubuntu-brukere#cpreview POST 200
09 juni 2010 kl. 20.39 +0200 60.217.232.103 60.217.232.103 artikler/35/12-millioner-ubuntu-brukere#cpreview POST 200
09 juni 2010 kl. 20.38 +0200 78.186.196.63 78.186.196.63 artikler/35/12-millioner-ubuntu-brukere#cpreview POST 200
09 juni 2010 kl. 20.38 +0200 201.20.18.165 static.201.20.18.165.datacenter1.com.br artikler/35/12-millioner-ubuntu-brukere#cpreview POST 200
09 juni 2010 kl. 20.36 +0200 218.83.175.129 218.83.175.129 artikler/35/12-millioner-ubuntu-brukere%23cpreview POST 200
09 juni 2010 kl. 20.36 +0200 217.111.163.142 217.111.163.142 artikler/35/12-millioner-ubuntu-brukere POST 200
09 juni 2010 kl. 20.36 +0200 218.83.175.129 218.83.175.129 artikler/35/12-millioner-ubuntu-brukere%23cpreview POST 200
09 juni 2010 kl. 20.36 +0200 218.83.175.129 218.83.175.129 artikler/35/12-millioner-ubuntu-brukere%23cpreview POST 200
09 juni 2010 kl. 20.35 +0200 82.194.62.25 82.194.62.25 artikler/35/12-millioner-ubuntu-brukere POST 200
09 juni 2010 kl. 20.35 +0200 164.78.252.57 x58prx00.sp.edu.sg artikler/35/12-millioner-ubuntu-brukere%23cpreview POST 200
09 juni 2010 kl. 20.34 +0200 194.132.108.2 mail2.finnveden.com artikler/35/12-millioner-ubuntu-brukere POST 200
09 juni 2010 kl. 20.34 +0200 66.249.71.239 crawl-66-249-71-239.googlebot.com nokkelord/?t=internt GET 200
09 juni 2010 kl. 20.32 +0200 202.28.38.253 202.28.38.253 artikler/35/12-millioner-ubuntu-brukere#cpreview POST 200
09 juni 2010 kl. 20.32 +0200 87.229.111.86 87.229.111.86 artikler/35/12-millioner-ubuntu-brukere#cpreview POST 200
09 juni 2010 kl. 20.31 +0200 213.210.200.170 213.210.200.170 artikler/35/12-millioner-ubuntu-brukere POST 200
09 juni 2010 kl. 20.30 +0200 194.132.108.2 mail2.finnveden.com artikler/35/12-millioner-ubuntu-brukere POST 200
09 juni 2010 kl. 20.29 +0200 201.20.18.165 static.201.20.18.165.datacenter1.com.br artikler/35/12-millioner-ubuntu-brukere#cpreview POST 200
09 juni 2010 kl. 20.28 +0200 195.168.109.60 a4.pantarhei.ba.cust.gts.sk artikler/35/12-millioner-ubuntu-brukere#cpreview POST 200
09 juni 2010 kl. 20.27 +0200 114.80.96.152 114.80.96.152 artikler/35/12-millioner-ubuntu-brukere#cpreview POST 200
09 juni 2010 kl. 20.27 +0200 202.138.180.144 demo.bayanihancomputing.net artikler/35/12-millioner-ubuntu-brukere#cpreview POST 200
09 juni 2010 kl. 20.27 +0200 195.168.109.60 a4.pantarhei.ba.cust.gts.sk artikler/35/12-millioner-ubuntu-brukere#cpreview POST 200
09 juni 2010 kl. 20.27 +0200 194.151.188.188 194.151.188.188 artikler/35/12-millioner-ubuntu-brukere#cpreview POST 200
09 juni 2010 kl. 20.25 +0200 119.247.109.82 119247109082.ctinets.com artikler/35/12-millioner-ubuntu-brukere#cpreview POST 200
09 juni 2010 kl. 20.24 +0200 91.203.109.130 91.203.109.130 artikler/35/12-millioner-ubuntu-brukere#cpreview POST 200
09 juni 2010 kl. 20.24 +0200 218.83.175.129 218.83.175.129 artikler/35/12-millioner-ubuntu-brukere%23cpreview POST 200
09 juni 2010 kl. 20.24 +0200 88.202.124.121 88-202-124-121.ip.skylogicnet.com artikler/35/12-millioner-ubuntu-brukere#cpreview POST 200
09 juni 2010 kl. 20.23 +0200 218.83.175.129 218.83.175.129 artikler/35/12-millioner-ubuntu-brukere%23cpreview POST 200
09 juni 2010 kl. 20.23 +0200 218.83.175.129 218.83.175.129 artikler/35/12-millioner-ubuntu-brukere%23cpreview POST 200
09 juni 2010 kl. 20.23 +0200 206.224.254.5 206.224.254.5 artikler/35/12-millioner-ubuntu-brukere#cpreview POST 200
09 juni 2010 kl. 20.22 +0200 218.83.175.129 218.83.175.129 artikler/35/12-millioner-ubuntu-brukere%23cpreview POST 200
09 juni 2010 kl. 20.21 +0200 216.218.211.56 216.218.211.56 artikler/35/12-millioner-ubuntu-brukere#cpreview POST 200
09 juni 2010 kl. 20.21 +0200 190.144.53.138 mail.imcolmedica.com.co artikler/35/12-millioner-ubuntu-brukere%23cpreview POST 200
09 juni 2010 kl. 20.19 +0200 202.28.38.253 202.28.38.253 artikler/35/12-millioner-ubuntu-brukere#cpreview POST 200
09 juni 2010 kl. 20.18 +0200 67.208.91.220 67.208.91.220 artikler/35/12-millioner-ubuntu-brukere#cpreview POST 200
09 juni 2010 kl. 20.17 +0200 216.218.211.56 216.218.211.56 artikler/35/12-millioner-ubuntu-brukere#cpreview POST 200
09 juni 2010 kl. 20.17 +0200 91.103.185.181 91.103.185.181 artikler/35/12-millioner-ubuntu-brukere#cpreview POST 200
09 juni 2010 kl. 20.17 +0200 195.229.241.177 m8yz196x.emirates.net.ae artikler/35/12-millioner-ubuntu-brukere POST 200
09 juni 2010 kl. 20.14 +0200 200.110.173.98 20011017398.ip22.static.mediacommerce.com.co artikler/35/12-millioner-ubuntu-brukere#cpreview POST 200
09 juni 2010 kl. 20.14 +0200 195.168.109.60 a4.pantarhei.ba.cust.gts.sk artikler/35/12-millioner-ubuntu-brukere#cpreview POST 200
It all started out with this one (from logs), 13 hours earlier:
09 juni 2010 kl. 08.51 +0200 200.238.83.49 200.238.83.49 artikler/35/12-millioner-ubuntu-brukere? commented=1#c000022 GET 200
someone here who has experienced similar?
Imagine a world in which every single person on the planet is given free access to the sum of all human knowledge.
The Future is Open – GNU/Linux
Offline
Re: [URGENT] Massive spam attack, with textile formatted links
Do they all come from the same IP? if so you can ban the ip using htaccess
order allow,deny
deny from xxx.xx.xx.xx
deny from xx.xx.xx.xx
allow from allYiannis
——————————
NeMe | hblack.art | EMAP | A Sea change | Toolkit of Care
I do my best editing after I click on the submit button.
Online
#3 2010-06-09 19:18:37
- janvi
- Member
- From: Norway
- Registered: 2009-05-28
- Posts: 41
Re: [URGENT] Massive spam attack, with textile formatted links
Thanx for your reply.
That’s the big problem. There is a new unique IP for each “POST”
/me frustrated..Imagine a world in which every single person on the planet is given free access to the sum of all human knowledge.
The Future is Open – GNU/Linux
Offline
#4 2010-06-09 21:51:19
- janvi
- Member
- From: Norway
- Registered: 2009-05-28
- Posts: 41
Re: [URGENT] Massive spam attack, with textile formatted links
It’s just one article that’s affected. If I hide the article the logging expires, and if I reactivate it, it resume.
what to do, what to do…
Imagine a world in which every single person on the planet is given free access to the sum of all human knowledge.
The Future is Open – GNU/Linux
Offline
#5 2010-06-09 22:02:14
- els
- Moderator
- From: The Netherlands
- Registered: 2004-06-06
- Posts: 7,458
Re: [URGENT] Massive spam attack, with textile formatted links
It happened to me a couple of times. My solution was to change the article’s url title. If you don’t change the title itself your visitors will still be able to find it using the search. Don’t know if it’s very important to you that it will disappear from Google’s index ;) My guess is that you should leave out the word ‘millioner’, there seem to be certain words that trigger these attacks.
Offline
#6 2010-06-09 22:06:12
- janvi
- Member
- From: Norway
- Registered: 2009-05-28
- Posts: 41
Re: [URGENT] Massive spam attack, with textile formatted links
Ohh, thank you. I’ll leave it hidden until tomorrow. I didnt know about millionXX trigger spam. Good to know ;)
Imagine a world in which every single person on the planet is given free access to the sum of all human knowledge.
The Future is Open – GNU/Linux
Offline
#7 2010-06-09 22:15:28
- els
- Moderator
- From: The Netherlands
- Registered: 2004-06-06
- Posts: 7,458
Re: [URGENT] Massive spam attack, with textile formatted links
janvi wrote:
I didnt know about millionXX trigger spam. Good to know ;)
I don’t know either, it’s what I suspect ;)
Offline