Seit Oktober geht meine Zugriffstatistik durch die Decke. Bei Licht betrachtet liegt es leider nicht nur an der zunehmenden Menge von Lesern, sondern an der zunehmenden Anzahl der Trackback Spammer. Nun haben die bei Serendipity keine Chance, aber auch die bloßen Zugriffe auf /s9y/comment.php verursachen Traffic, der
Ein paar kluge Ideen und auch nicht so kluge Ideen gibt es dazu.
Ich habe nun meine .htaccess um die Zeile
Ein Problem bleibt noch, wie testet man soetwas eigentlich richtig? Tja, da habe ich was tolles entdeckt. Die Webseite Simulate any User Agent or Bot. Mit ihrer Hilfe kann man die Signatur des Bots mit POST/GET/HEAD gegen seinen Server testen und somit im Handumdrehen die Funktion seiner .htaccess Regel testen. Super Sache, das
- nichts bringt, weil kein Trackback durchkommt
- den Server belastet, zur Zeit ca. 1200 pro Tag (Ich hatte schon mal erheblich mehr, die können einen Vserver schon lahm legen)
- stinkt.
Ein paar kluge Ideen und auch nicht so kluge Ideen gibt es dazu.
Ich habe nun meine .htaccess um die Zeile
BrowserMatch en-US is_trackback_spammerergänzt. Denn bei mir ist es die Browserkennung (Windows; U; Windows NT 6.0; en-US; rv:1.9), die den allermeisten Trackback Spam verursacht. Da ich auf Trackbacks von den USA sowieso nicht so erpicht bin, halte ich das für eine ganz gute Lösung
# BEGIN ANTI SPAM
# knappe 403 Error-Message
ErrorDocument 403 "403 Forbidden
# Bots, deren Namen mit TrackBack beginnen, markieren
BrowserMatch ^TrackBack is_trackback_spammer
# Bots, die keinen Namen angeben, markieren
BrowserMatch ^$ is_trackback_spammer
# Bots, die (Windows; U; Windows NT 6.0; en-US; rv:1.9)
# en-US
BrowserMatch en-US is_trackback_spammer
# Aussperren
Order Allow,Deny
Allow from all
deny from env=is_trackback_spammer
Ein Problem bleibt noch, wie testet man soetwas eigentlich richtig? Tja, da habe ich was tolles entdeckt. Die Webseite Simulate any User Agent or Bot. Mit ihrer Hilfe kann man die Signatur des Bots mit POST/GET/HEAD gegen seinen Server testen und somit im Handumdrehen die Funktion seiner .htaccess Regel testen. Super Sache, das
Äber eins sollte man sich im klaren sein, ohne diese Maßnahme liefert comment.php den Code 200 mit 87 Byte länge zurück. Mit meinem Eintrag einen 403 mit 13 Bytes. Ist jetzt die Frage, was ist bei Massenweisen Trackbackspam nun besser? Das Browsermatch ist ein Modul im Apache, das auch nicht umsonst arbeitet, verbraucht das nun weniger Resourcen als die php Seite braucht?
Du könntest eventuell bei entsprechenden Browsern die Antwortzeit deines Servers verlangsamen (so rund 2-3 Sekunden ist imho ok). So könnten auch TOR-User usw Tracebacken
Meinst du, erklär mal, komme nicht mit