Aunque no se trata de un sistema de spam novedoso, en el último mes vengo sufriéndolo en mis carnes, ya laceradas por los comentarios basura de diversos sitios, de los que sólo me libra el uso de Askimet, que diligentemente y con absoluta eficiencia se dedica a clasificarlos y eliminarlos por mí. Hablo hoy del spam en los referers o en la referencia que incluye la cabecera de una petición GET de un cliente web al servidor. Es esta referencia la que nos permite saber de qué dirección provienen nuestros visitantes, posibilitando así la creación de aplicaciones estadísticas (por ejemplo, saber de qué sitio viene tal o cual visitante, qué cadena usó en el buscador para encontrar nuestro sitio web, etc).
En el caso de Lobosoft, hace bastantes meses incluí una opción (la barra lateral “Nos encuentran por”) que permitía ver a los lectores del blog la proveniencia de aquellos que les precedieron. Quería así mostrar un poco más de información de aquello que estaba siendo buscado en un determinado momento, puesto que la temática del blog, aun girando siempre en torno al mundo de la informática, ha ido diversificándose con el transcurso del tiempo. El caso es que (en particular) desde que sufrí la sucesión de ataques que tantas líneas y cambios en el blog han venido provocando aportando últimamente (incluyendo este retorno que contaré otro día a la imagen originaria del mismo) uno de los problemas que ha venido sumándose es el del spam en forma de “visitas” desde sitios web pornográficos, que prometen hacernos ricos en un santiamén, o de los que simplemente se intuye que albergan en sus entrañas los más sofisticados malwares. Una delicia para los sentidos, vaya. Este tipo de spam ha proliferado junto a la expansión sin precedentes de los blogs, ya que ha encontrado en éstos el caldo de cultivo adecuado para contar con multitud de sitios web de interés, muy visitados y dotados de contenido que se actualiza con relativa frecuencia. El ataque es sencillo: se basan en bots que van recorriendo las webs usando como “trampolín” aquéllas que quieren publicitar, simulando un salto a través de un enlace que realmente no existe en éstas. Es decir, que si quiero hacer publicidad de misitioguay.com en el blog de elpardillo.es, hago una petición a elpardillo.es a través de un GET modificado que le indica al servidor que provengo de misitioguay.com, y el bueno de mi víctima creerá ver que misitioguay.com contiene un enlace a elpardillo.es, cuando no es así. Gano con ello que Pardillo me verá en sus estadísticas y puede ser que me visite, y si además es tan gentil de tener en su blog una lista de los sitios que le apuntan o desde los que lo visitaron, que sus potenciales lectores puedan ver el enlace y venir también a mi sitio. Hay páginas que han sufrido este tipo de ataques en el pasado, como la archiconocida Microsiervos, y por desgracia seguirá ocurriendo día sí y día también en Internet.
Ante este percal, ¿qué se puede hacer? Como apuntaba antes, poca cosa. Si nos han “fichado” y ven que nuestro sitio les proporciona visitas, seguirá habiendo bots que acudan cada cierto tiempo simulando el paso de usuarios reales. El perjuicio para nuestro sitio web viene determinado por el consumo de ancho de banda que realizan (ya que nuestro servidor les devolverá el contenido de la página que solicitaban), por contar con unas estadísticas “sucias”, y por una pérdida de credibilidad por parte de los usuarios y buscadores. Sin embargo, no está todo perdido. Precisamente gracias a mis queridos atacantes rusos he tenido que refrescar un poco los conocimientos sobre .htaccess (que ya mencioné en su día al hablar del spam en los comentarios) y sobre el que hablaré más a fondo en un futuro próximo. Con el “spam referer” también podrá ayudarnos, si no evitando que siga produciéndose, sí al menos controlando lo que nuestro servidor envía a estos molestos visitantes. Podemos sobrescribir así las directivas de .htaccess para que Apache no devuelva más que una cabecera, o proporcione un error 403 (Forbidden), evitando el consumo de ancho de banda, aunque suponga en cualquier caso un trabajo mayor para el servidor.
El .htaccess resultante podría asemejarse a:
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^http://(www\.)?.*(-|.)?adult(-|.).*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?.*(-|.)?casino(-|.).*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?.*(-|.)?porn(-|.).*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?.*(-|.)?sex(-|.).*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?.*(-|.)?pus*y(-|.).*$ [OR]
RewriteCond %{HTTP_REFERER} ^http://(www\.)?.*(-|.)?nude(-|.).*$ [OR]
...
RewriteRule .* - [F,L]
La línea con el RewriteRule hará que Apache devuelva un forbidden a aquellos visitantes provenientes de dominios que coincidan con la expresión indicada. Si deseamos por el contrario que el visitante sea redirigido a otra página, podríamos sustituirla por
RewriteRule \.*$ http://www.sitio_al_que_redirigir.com [R=300,L]o incluso “devolverle la pelota” para que consuman también un poco de ancho de banda, haciendo que se produzca una petición a su propio servidor:
RewriteRule /* %{HTTP_REFERER} [R=301,L]
Similar a este tipo de spam es el que se incluye en los trackbacks a entradas de nuestros blogs. En particular, Drupal parece muy sensible a dicho tipo de ataque (aunque es fácil de controlar mediante la moderación de trackbacks, aun sin dejar de ser un latazo), y es el que más ha venido sufriendo Lobosoft en las semanas que este CMS ha sustituido a Wordpress para darme un poco de descanso vacacional :) .
Para saber más:
No hay comentarios:
Publicar un comentario