De opdrachtgevers van dit botnet en de beheerder zijn al jaren actief. Op dit moment kiezen ze voor een type blogspam dat wederom makkelijk te filteren is, maar desondanks tot duizenden vervuilingen van met name WordPress sites leidt.
De aanvalsgolf is ook nu weer simpel. Het gebruikte botnet bestaat voor het grootste deel uit gehackte machines uit een zeer gering aantal landen (zie ook deze post). Als 103.0.0.0/8 wordt gefilterd scheelt dat meer dan 80% van de meldingen, dat komt overeen met tientallen berichten per dagdeel.
Wat er dan precies wordt gefilterd is blogspam die volstaat met verwijzingen naar andere fora en blogs, meer dan 50 per blogspam bericht is geen uitzondering. Gewone tekst staat er niet in de “reactie”, dat maakt dat een plug-in als Akismet dit soort berichten direct voorziet van het label spam.
Het feit dat er zoveel besmette links in de “reacties” staan betekent dat er wereldwijd duizenden websites zijn die reactie mogelijkheden bieden en daar geen controle op (laten) uitvoeren. De sites die het betreft vallen ook om een andere reden op. Het merendeel van de urls en herleidbare subdirectory’s straalt amateurisme uit. Dat verbaast niet, het zijn slecht onderhouden sites die vaak een school, padvinder of hobbyproject lijken te betreffen. De reactie velden staan open en op op oude artikelen kan moeiteloos gereageerd worden. Dat heeft het botnet dan ook gedaan met de bedoeling zo veel mogelijk links op het internet geplaatst te krijgen die allemaal naar de zelfde casino sites verwijzen. Dat zou goed moeten zijn voor de zoekmachine ranking. Het is echter ook een vereiste om het elders blogspammen succesvol te maken, waarbij dus weer wordt verwezen naar de alle plekken waar deze links te vinden zijn.
De actie is simpel en extreem omvangrijk. Doordat naast 103.0.0.0/8 ook enkele andere hele grote IP blokken worden gefilterd kan niet worden ingeschat hoe groot de actie precies is. De logs van een van de blogs hier wijst op honderden pogingen tot reacties per dag. Het botnet is vooral actief als in het Verre Oosten en India de zon schijnt. Ieder blog in Europa dat hierdoor geraakt wordt heeft kan dus elke ochtend eerst de spambak leegruimen.
Gelukkig is er met Akismet al een gratis en doeltreffend middel om de overlast in de perken te houden. Punt is wel dat er dan nog steeds onnodig veel verkeer wordt gegenereerd. Om die reden is het de moeite waard (tijdelijk)? Landen te blacklisten. Alternatief is de eerder genoemde IP reeks de toegang tot de website te ontzeggen. Wat verder wordt aangeraden is de reactie mogelijkheid op postings ouder dan X dagen te activeren. Het botnet zoekt namelijk nadrukkelijk ook oudere berichten om op te reageren.