Spam/DDoS Angriff via TOR

Seit einiger Zeit missbraucht jemand unser Newsletter Anmeldeformular, um die Postfächer von unbeteiligten Dritten zuzumüllen. Zwar wird außer dem üblichen “Vielen Dank für Ihre Anmeldung – bitte klicken Sie hier, um die Anmeldung zu bestätigen” nichts versandt – insbesondere keine Spambotschaft – jedoch haben einige Bounce Messages darauf hingedeutet, dass die Postfächer der Empfänger auch von anderen Seiten geflutet werden.

Um dem ganzen einen Riegel vorzuschieben, habe ich ein Skript vor die eigentliche Newsletteranmeldung geschaltet, dass die Daten und die IP Adresse analysiert. Dabei hat sich herauskristallisiert, dass offensichtlich jemand das TOR Netzwerk benutzt, um seinen Müll abzuladen.

Die zugespammten Adressen gehen quer über alle Länder und Provider, ein Muster konnte ich bis jetzt noch nicht erkennen. Einzig die Namen der angeblichen Newsletter-Interessenten sind immer 13-stellige hexadezimale Zahlen. Mir ist momentan schleierhaft, warum jemand so etwas tun sollte. Konsequenz für den Moment: Alle TOR Exitnodes sperren. Schade eigentlich 🙁

Nachtrag vom 14. April: Nachdem ich die TOR Exitnodes konsequent mit einem HTTP 403 (Forbidden) “bestraft” habe, haben die Missbrauchsversuche nach einigen Stunden aufgehört. Offensichtlich ist der Bot (oder die Bösewichte) hinter dem Angriff klug genug, aufzuhören, wenn man sie effizient blockt.