Math Comment Spam Protection Plugin mit 5 Zeilen geknackt

Samstag, 05. Jan 2008 (15:11) gsyi

Neben SpamKarma und Akismet scheint das Math Comment Spam Protection Plugin das drittbeliebteste Anti-Spam-Plugin unter den Bloggern zu sein, bei dieser Abfrage findet Google z. B. bereits 170k Ergebnisse. Dass das Math Comment Spam Protection Plugin allerdings ziemlich unbrauchbar ist (noch unbrauchbarer als billige Captchas), zeige ich euch anhand von fünf Lines of Codes:

import urllib2, re url=raw_input("URL eingeben: ") blogs=urllib2.urlopen(url) zahl=re.findall('What is the sum of (\d+) .+ (\d+)\?',blogs.read()) print int(zahl[0][0])+int(zahl[0][1])

Dieses kleine Python Script findet mit Hilfe von Regex im Source Code eines Blogs die zwei Zahlen, die man für das Ergebnis von MCSP braucht, dann erfolgt eine Typwandelung von String nach Integer und danach kann man die gefundenen beiden Zahlen einfach zusammenaddieren. Der Autor macht uns Black-Hat SEOs die Arbeit noch leichter, in dem er nur Addition in seinem Plugin eingebaut hat

Die Top10 von hier habe ich mal mit diesem Script durchgetestet und komme auf eine Erfolgsrate von ~~70%~~ 60%:

>>>
URL eingeben: http://blog.ulf-wendel.de/?p=44
4
>>>
URL eingeben: http://blog.ahzf.de/index.php/2007/08/08/first-impressions-of-the-chaos-communication-camp-2007/
Traceback (most recent call last):
File “F:\_sneaky\wordpress math\mathcracker.py”, line 5, in
print int(zahl[0][0])+int(zahl[0][1])
IndexError: list index out of range
>>>
URL eingeben: http://blog.foeo.net/2006/08/25/semester-break-campus/
2
>>>
URL eingeben: http://diekretzschmars.de/impressum/colophon/
11
>>>
URL eingeben: http://www.donvanone.de/donsplugins/
Traceback (most recent call last):
File “F:\_sneaky\wordpress math\mathcracker.py”, line 5, in
print int(zahl[0][0])+int(zahl[0][1])
IndexError: list index out of range
>>>
URL eingeben: http://www.dackworld.de/plugins/
11
>>>
URL eingeben: http://www.teddykrieger-blog.de/2007/06/17/meine-plugins-fuer-wordpress/
11
>>>
URL eingeben: http://blogs.bmj.com/adc-archimedes/2007/07/11/what-is-the-long-term-outcome-for-antenatally-drug-exposed-children/
4
>>>
URL eingeben: http://blog.mueschen.info/?page_id=1276
Traceback (most recent call last):
File “F:\_sneaky\wordpress math\mathcracker.py”, line 5, in
print int(zahl[0][0])+int(zahl[0][1])
IndexError: list index out of range
>>>
URL eingeben: http://www.contentschmiede.de/plugins-used/
11

Update: Ein etwas aussagekräftigerer Test findet sich hier, von 150 getesteten Blogs konnte mein 5-Zeiler 66% der Blogs knacken.

15000 x gelesen

Postname: Math Comment Spam Protection Plugin mit 5 Zeilen geknackt
Kategorien: Spamming, Wordpress

25 Kommentare Kommentar abgeben

1. Teddykrieger | Januar 5th, 2008 um 15:16 | Commentlink

Lustig nur, dass Dein Artikel von heute ist, ich das Plugin aber schon seit Monaten nicht mehr nutze
2. gsyi | Januar 5th, 2008 um 15:20 | Commentlink

Gut, dann 1 richtige Treffer weniger
3. Teddykrieger | Januar 5th, 2008 um 15:25 | Commentlink

Trotzdem schon erschreckend, wie leicht sich das Ganze wirklich austricksen lässt.
4. Jojo | Januar 5th, 2008 um 16:27 | Commentlink

Alles läßt sich austricksen. Ist nur eine Frage des Aufwandes. Seit ich das Plugin benutze muss ich mich nur noch mit manuellem Kommentarspam und Trackbackspam ärgern. Letztlich läßt sich durch eine kleine Änderung des Textes schon erreichen, dass der Spam nicht mehr durchkommt.
5. gsyi | Januar 5th, 2008 um 16:59 | Commentlink

>> Alles läßt sich austricksen. Ist nur eine Frage des Aufwandes.

Klar, aber wenn man bereits mit 5 Zeilen über 60% der Blogs, die dieses Plugin einsetzen, knacken kann, sehe ich keinen großen Aufwand für einen Spammer, das ganze zu implementieren
6. Maik Beckmann | Januar 5th, 2008 um 21:35 | Commentlink

Hallo gsyi

Das gefällt mir. Ich liebe einfach so kleine Hacks für schlampige Software
7. Freetagger | Januar 5th, 2008 um 23:29 | Commentlink

Toll und ich habe das seit gestern im Einsatz, weil alle genervt von reCaptcha waren.
8. gsyi | Januar 6th, 2008 um 0:01 | Commentlink

Du sollst den ganzen Beitrag ja nicht überbewerten, schließlich lesen hier gar kein Spammer mit
9. Apple Bildergalerie Links&hellip | Januar 6th, 2008 um 8:52 | Commentlink

[...] Math-Comment-Spam-Protection-Plugin (knorke Wort!) für Wordpress aushebelt, demonstriert ein findiger Autor. Ein Update des Math-Plugins wird ganz sicher die Tage rauskommen. Das Plugin ist eine Bank in der [...]
10. Math Comment Spam Protect&hellip | Januar 6th, 2008 um 15:46 | Commentlink

[...] Spam in den Kommentaren recht wirksam verhindern. Wirklich? Wenn man sich den Artikel auf dem Webmaster & SEO Blog zu diesem Plugin ansieht, dann kommt man schon ins [...]
11. Basic Thinking Blog | Mat&hellip | Januar 6th, 2008 um 17:06 | Commentlink

[...] Rechnung, die er zu lösen hat, um seinen Kommentar abschicken zu können. Gsyi hat sich die Mühe imho nicht ganz umsonst gemacht aufzuzeigen, dass man das Plugin nicht einfach so einsetzen soll. [...]
12. BlogTopf.de - von Paul Ne&hellip | Januar 6th, 2008 um 18:47 | Commentlink

Math Comment Plugin: Sicherheit und verbessern…

Math Comment Spam Protection scheint nun doch nicht mehr so sicher. Tipps um die Sicherheit zu verbessern.
……
13. karl-tux-stadt.de »&hellip | Januar 6th, 2008 um 22:41 | Commentlink

[...] auch beim Schutz des Blogs vor Kommentarspam. Heute macht ja die “Unsicherheit” des Math Comment Plugin die Runde. Da hat einer ein kleines Pythonskriptchen [...]
14. Wordpress Spam Math Comme&hellip | Januar 7th, 2008 um 1:37 | Commentlink

[...] sich schlampige Software durchsetzt und wie schnell Sicherheitslücken ausgenutzt werden können:http://webmaster-verzeichnis.de/blog/math-comment-spam-protection-plugin-mit-5-zeilen-geknackt/Greetz [...]
15. Ralf | Januar 7th, 2008 um 9:41 | Commentlink

Der Fünfzeiler zeigt aber auch das Blackhat-SEOs wenig effektiv vorgehen Anstatt nach dem Text zu suchen, wäre es wesentlich einfacher im Quelltext nach dem input-Feld zu suchen. Das ist nämlich immer mit “mcspvalue” bezeichnet. Und es wird noch einfacher, danach kommt noch ein Label das ebenfalls mit “mcspvalue” bezeichnet ist.
Auch der Tipp von Robert die Ziffern in Wörter umzubenennen dürfte nicht wirklich sicher sein. Ob ich nun nach 3, drei oder dr3i suche ist nur eine Frage wie gut ich mich mit Regex auskenne.
16. gsyi | Januar 7th, 2008 um 10:36 | Commentlink

>> Der Fünfzeiler zeigt aber auch das Blackhat-SEOs wenig effektiv vorgehen Anstatt nach dem Text zu suchen, wäre es wesentlich einfacher im Quelltext nach dem input-Feld zu suchen. Das ist nämlich immer mit “mcspvalue�? bezeichnet. Und es wird noch einfacher, danach kommt noch ein Label das ebenfalls mit “mcspvalue�? bezeichnet ist.

Die Frage ist, wie du mit HIlfe von einer Suchmaschine Blogs mit mcspvalue finden willst
17. Code Icon Porn: Rising Ge&hellip | Januar 7th, 2008 um 11:40 | Commentlink

[...] Code Icon Porn: Rising Generation Jump to Comments Und die URL händisch eingeben : Wer mit dem Kopfrechnen und Taschenrechnerbedienen Probleme hat findet bei gsyi code, der sich drum kümmert. (Math Comment Spam Protection Plugin mit 5 Zeilen geknackt) [...]
18. Ralf | Januar 7th, 2008 um 14:30 | Commentlink

Indem ich z.B. 24/7 einen Bot laufen lasse der verschiedene Dienste (z.B. Technoratie) abhorcht, die neuesten Beiträge abgreift und den Quellcode analysiert. So finde ich nicht nur die Blogs die MCSP einsetzen, sondern kann alle Blogs gleich mal schön in Listen einsortieren welche Abwehrmaßnahmen sie einsetzen. Somit kann man dann die Blogs in den jeweiligen Listen ganz gezielt beackern anstatt mit Bruteforce oder Try&Error vorzugehen.
Der wesentliche Vorteil an der Methode erst Blogs zu sammeln und sie dann zu bespammen ist der, dass ich i.d.R. keine toten Blogs bespamme in denen eh niemand mehr liest.
Und falls ich selber keine Lust habe zu spammen, kann ich die Listen gewinnbringend verkaufen. Interessenten dürfte es in entsprechenden kreisen mit Sicherheit zur Genüge geben.
19. gsyi | Januar 7th, 2008 um 17:05 | Commentlink

Gut gedacht, allerdings sehe ich dabei einige Probleme:

1. Ist die Vorgehensweise ineffektiv und meines Erachtens das größte Manko.

2.
>> Somit kann man dann die Blogs in den jeweiligen Listen ganz gezielt beackern anstatt mit Bruteforce oder Try&Error vorzugehen.

Ob du die Blogs vorher crawlst und eine DB aufbaust oder erst später, spielt keine Rolle, denn um Regex kommst du nicht rum herum und Try& Error ist programmiertechnisch mit Errorhandling kein Problem, außerdem wird es auch bei deiner Vorgehensweise Try&Error geben

3.
>> Der wesentliche Vorteil an der Methode erst Blogs zu sammeln und sie dann zu bespammen ist der, dass ich i.d.R. keine toten Blogs bespamme in denen eh niemand mehr liest.

Aus diesem Punkt erkenne ich, dass du kein Blackhat SEO bist Denn nur auf toten Blogs werden die Links nicht gelöscht
20. utterone | Januar 20th, 2008 um 18:17 | Commentlink

das war doch eigentlich klar. Ein wirklich dauerhaftes Antispam Plugin kann meiner Meinung nach nur ein individuell entwickeltes oder abgewandeltes Plugin sein, auf dass sich die Spammer nicht einstellen können bzw. wegen zu hohen Aufwands für ein einziges Blog darauf verzichten.
21. Disussion | Januar 29th, 2008 um 21:59 | Commentlink

Trotzdem schon erschreckend, wie leicht sich das Ganze wirklich austricksen lässt.
22. KabelDeluxe | September 1st, 2008 um 15:36 | Commentlink

wofür manche leute ihre zeit verschwenden… witzig
23. Aas | November 29th, 2008 um 14:31 | Commentlink
24. Smiley | Februar 21st, 2009 um 12:38 | Commentlink

erschreckend wie einfach dies geht
mir war das bisher nicht bewusst
jaja, ..blutige anfänger eben
25. Seblon | Juni 18th, 2009 um 8:52 | Commentlink

Interessanter Beitrag. Wusste ich noch nicht das es so einfach geht.