Da qualche giorno ho notato nei log in incremento esponenziale di referrer relativi a ricerche effettuate su Windows Live, inizialmente non ho dato un gran peso alla cosa, ma col passar dei giorni la cosa ha iniziato ad essere quanto meno sospetta, anche considerando che quasi tutte le ricerche consistevano di una singola parola. Tutti gli indizzi sembrano portare alla conclusione che Microsoft Windows Live faccia referrer spam. Che Microsoft abbia deciso di adottare una diversa strategia di marketing?!
Circa 800 richieste sembrano confermare l’ipotesi.
http://search.live.com/results.aspx?q=ifconfig&form=QBHP
Lo user agent non desta particolari sospetti, e sembra escludere che si tratti di un bot/spider:
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; .NET CLR 1.1.4322)
Particolare (molto) sospetto gli IP di provenienza: 323 (trecentoventitre!) IP univoci! Tutti appartenenti a 2 sole classi C: 65.55.109.0 e 65.55.110.0. Entrambi fanno parte di un blocco di IP assegnato a Microsoft:
OrgName: Microsoft Corp
OrgID: MSFT
Address: One Microsoft Way
City: Redmond
StateProv: WA
PostalCode: 98052
Country: US
NetRange: 65.52.0.0 – 65.55.255.255
CIDR: 65.52.0.0/14
Di certo, dunque, non si tratta di normali “utenti”, in quel caso l’IP sarebbe stato quello di un ISP. A meno che improvvisamente una immane quantita` di dipendenti di Redmond non siano diventati fan sfegatati di eth0.it (anche considerando che cercando “ifconfig” su Windows Live eth0.it risulta al primo posto nei risultati).
Dunque, gli elementi sembrerebbero condurre tutti ad una conclusione! Microsoft Windows Live fa referrer spam!
La cosa, ovviamente, e` tanto assurda quanto ridicola. Dunque, altrettanto ovviamente, deve esserci qualcosa dietro.
Il fatto che, come dicevo, tutte le ricerche fossero relative ad un singolo termine (ifconfig, nella maggior parte dei casi) mi fa pensare ad una attivita` di tagging, mappatura o categorizzazione. Il fatto che lo user agent non indichi pero` che si tratta di un bot sembra strano. Ma evidentemente di questi periodi mandare in palla le statistiche dei siti web e` uno sport particolarmente apprezzato (mi riferisco ad AVG Link Checker: http://www.theregister.co.uk/2008/06/13/avg_scanner_skews_web_traffic_numbers/).
Un po’ di ricerche in rete e scopro di non essere il solo ad aver notato questo “strano” comportamento. Anche altri, inoltre, ipotizzano che si possa trattare di quell’attivita` di categorizzazione a cuia vevo pensato.
Inizialmente, pero`, mi era sfuggito un particolare, In tutti i casi, il referrer URL termina con QBHP. Se sta la, (1) non puo` essere una coincidenza e (2) deve significare qualcosa.
Un indizio in piu` per la soluzione del mistero. Altro giro di ricerche e, finalmente, trovo qualcosa in piu`: System: Referer Spam from Live Search! Bingo! Tutte le ipotesi che avevo fatto confermate! Accetto volentieri una utile ricetta per mod_rewrite:
RewriteCond %{REMOTE_ADDR} ^65.55.(109|110|165|232) [OR]
RewriteCond %{REMOTE_ADDR} ^131.107.0.9[56]
RewriteCond %{HTTP_REFERER} FORM=(LIVSOP|QBHP)$ [NC]
RewriteRule .* - [F]
Se non altro avro` un po’ meno spazzatura nei log!
Piccolo consiglio agli “sviluppatori” (virgolette quanto mai d’obbligo!) Microsoft: verificare che il cervello sia in uso prima di avvicinarsi alla tastiera?! No? Grazie!
Link interssanti:
- Microsoft is lying and intentionally screwing up your log files
- Microsoft Search Live – Strange Referrer Activity
- Possible Bot or Spammer?
- Live.com Sexually Explicit Search Terms
- Odd stats from “microsoft.com”
- MSN spam to continue says the Live Search Blog
- Live Search Webmaster Center Blog : Live Search and Cloaking Detection
Le ultime news da linuxSecurity.it:
La Baia dei Pirati nel Parlamento svedese?
Open Source Encryption Vs. FBI: 1-0!
[...] Leggendo qua e là ho trovato un articolo sullo stesso argomento sul blog di eth0. A [...]