Eigentlich wollte ich keinen eigenen Text schreiben sondern einen Kommentar auf den Post "Der RES ist ihnen egal" auf barrierefreie-webloesungen.de verfassen, aber leider hat der Besitzer die Kommentarfunktion deaktiviert. Trotzdem ist der Text dort empfehlenswert, viele Ungereihmtheiten vom PixRay-Bot werden dort angesprochen.
Kurz erklärt ist der Pixray-Bot ein Bot der das Web durchkämmt auf der Suche nach Urheberrechtsverstößen bei Bildern. Allerdings ist das Ding ausnahmsweise mal ein deutsches Produkt. Bei mir ist der Bot über den User-Agent "*pixray*" schön länger gesperrt. Eben war er nochmal getarnt da, aufgefallen ist er mir nur weil AWStats die IP zu "node-5-9-25-73.cluster.eu.webcrawler.pixray.com" aufgelöst hat. Laut den Logs kam der Aufruf wirklich von der IP 5.9.25.73, die aber nur 30 min später nur noch zu " static.5-9-25-73.clients.your-server.de" auflöst. Anscheinend möchte Pixray nicht erkannt werden. Der User-Agent (UA) war übrigens dieser halbe Roman:
"Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; WOW64; Trident/4.0; BTRS124307; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.5.21022; .NET CLR 3.5.30729; .NET CLR 3.0.30618; InfoPath.2; .NET4.0C; eMusic DLM/4; .NET CLR 1.1.4322; .NET4.0E;
Es sind verdammt viele .Net CLRs installiert.. auf einer Debian Kiste. Woher ich das weiss? Öh, ich muss dann mal weg. Wenn man Project Honeypot zu der IP befragt, dann kriegt man folgende User-Agents genannt:
-
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; WOW64; Trident/4.0; BTRS124307; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.5.21022; .NET CLR 3.5.30729; .NET CLR 3.0.30618; InfoPath.2; .NET4.0C; eMusic DLM/4; .NET CLR 1.1.4322; .NET4.0E;
-
Pixray-Seeker/2.0 (Pixray-Seeker; http://www.pixray.com/pixraybot; crawler@pixray.com)
Da ist er wieder, der Pixray-Bot. Er tut also alles um sich zu tarnen. Vielleicht hat er es bei mir mit den anderen UAs probiert, weil er bei mir als Pixray-Seeker schon gesperrt ist. So als verdeckter Ermittler, obwohl Pixray behauptet "Wir sind keine Schnüffler".
Gehostet werden die Pixray-Crawler übrigens u.a. bei Hetzner, meiner Meinung nach übrigens der größte Dreckschleuder-Hoster in Deutschland. Viele deutschsprachige Spammails kommen direkt von Hetzner-Kunden oder die beworbenen Webseiten sind bei Hetzner gehostet. Ich schicke die Mails brav an Spamcop, aber Spamcop schickt keine Meldungen an Hetzner. Meldung ist "reports disabled for abuse@hetzner" ohne Angabe weiterer Gründe. Ob Spamcop nicht mit Hetzner will oder Hetzner nicht mit Spamcop, das bleibt leider offen.
Nachtrag 03.10.2012
in den letzten 14h war der Bot noch 67 mal da, von 15 weiteren IPs und mit diesem Tarn-UA von oben. Für diese IPs habe ich selbst frühere Einträge mit dem korrekten Pixray-UA. Alle Server sind wieder bei Hetzner gehostet:
-
5.9.25.67
-
5.9.25.68
-
5.9.25.70
-
5.9.25.71
-
5.9.25.72
-
5.9.25.73
-
5.9.25.74
-
5.9.25.75
-
5.9.25.77
-
5.9.25.79
-
5.9.25.80
-
5.9.25.81
-
5.9.25.83
-
5.9.25.84
-
5.9.25.85
5.9.25.67 - 85 sind übrigens auch bei Project Honeypot als Pixray Seeker bekannt. Alle übrigens wieder ohne Reverse-DNS Namen. Wer will kann mit 5.9.25.64/27 die IPs 5.9.25.64-95 in einem Rutsch sperren. Wer denkt dass von Hetzner eh nur Schrott kommen kann der nimmt 5.9.0.0/16 und sperrt das Hetzner-AS AS24940 komplett.
Aber nein, Pixray schnüffelt nicht...
Recent comments