Tak umownie nazwałem budowę linków które pierwszy raz opisane zostały we wpisie o naukowcach niemieckich. Budowa linku to dokladnie 3 razy powtorzona fraza &<znaki>=<znaki. Nie wiedziec czemu ale widac jakiś automat je tworzy. Wychwycenie linków tego typu nie jest same w sobie spamem ale w połączeniu z innymi regułami daje dobre rezultaty.
uri ZABOJCASPAMU_LINK_3FRAZY /(\&[a-zA-Z0-9]+\=[a-zA-Z0-9]+){3}/
describe ZABOJCASPAMU_LINK_3FRAZY Link 3 frazy
score ZABOJCASPAMU_LINK_3FRAZY 0.01
W budowie linka tego spamu zawsze mam coś w stylu gallery.php?h=113&… czy user.php?f=113&…., themes.php?g=113&…. to może do reguły warto dodać „.php?”
Po za tym nadawca zawsze w budowie adresu e-mail ma znak _ np. halina_wojcik@cos.co.uk czy barbara_wisniewski@cos.com
Tak to wiem. Ciekawe jest wlasnie to h-113, to 113 dosc czesto wystepuje. Ale ten link jest bardziej ogolny ( re gule). On daje 0,01 puntku czyli chodzi o sprawdzenie wystapienia.
Tak się zastanawiam czy to nie są czasem 4 frazy?
przykład: http://adres/inc.php?f=113&84gS=YX1qrhEbaM&AKC=H2z&5=KVgHW
No tu sa 3 frazy. Licz od pierwszego znaku &
U mnie ta reguła nie działa dałem score 15 i nie usuwa maili.
Spróbuję z taką kombinacją:
uri ZABOJCASPAMU_LINK_3FRAZY /(+\=[a-zA-Z0-9]+){3}/
a znak &?
Ta reguła jest źle nazwana i źle sformułowana. Chodzi bowiem nie o dowolne linki z kilkoma parametrami zapytań, tylko o linki z lipnymi zapytaniami.
Tak wygląda typowy link generowany przez PHP, używający parametrów zapytania:
http://lipny.adres.invalid/board/viewtopic.php?f=12&t=3456&p=789012&hilite=3FRAZY
Jak widać, FRAZY z parametrami są CZTERY, ale pierwsza jest po znaku zapytania. Taka od zawsze jest standardowa składnia.
Widać też, że w typowym oprogramowaniu napisane w PHP najczęściej używane parametry są oznaczone pojedynczą małą literą: f to forum, t – topic, p – posting. Takie parametry NIE powinny się łapać na regułę, bo w spamerskich linkach użyto losowych alfanumerycznych nazw i wartości parametrów, przy czym nazwy (być może oprócz pierwszej) mają co najmniej DWA znaki.
W obecnej postaci reguła wychwytuje każde powiadomienie emailowe z forum bazującego na PHP, np phpBB, co jest dodatkową karą, bo takie powiadomienia są już punktowane przez regułę ZABOJCASPAMU_UNSUBS.
Jest to co najmniej denerwujące również dlatego, że zwykły użytkownik korzysta z powiadomień bezpośrednio na forum, a powiadomienia emailowe włącza jednorazowo tylko w bardzo ważnych przypadkach, bez możliwości wcześniejszego dopisania nieznanego jeszcze nadawcy powiadomienia do białej listy.
Spojrze na to w weekend.