攻击者利用自动工具操纵Blogger-BlogSpot服务,创建数以千计包含有指向特定Web 网站(其中包括住房抵押、纸牌赌博、烟草网站)链接的虚假网志。
CNET 科技资讯网10月21日国际报道 垃圾邮件的幽灵也出现在了博客世界里,这种现象被专家称为“splog ”。 Google的处境相当尴尬。
Google的Blogger 网志创作工具和BlogSpot托管服务是Web 上最流行的免费网志服务,在上周末受到了最大规模的splog 攻击。这次攻击阻塞了RSS 阅读软件,在收件箱中塞满了垃圾邮件,而且可能操纵了搜索引擎的排名。
攻击者利用自动工具操纵Blogger-BlogSpot服务,创建数以千计包含有指向特定Web 网站(其中包括住房抵押、纸牌赌博、烟草网站)链接的虚假网志。这次攻击旨在修改搜索结果,通过欺骗“搜索引擎蜘蛛”增加这些网站的流量。
这些虚假的网志还会触发数以千计的RSS feed和电子邮件通知,使RSS 读者陷入无用信息的“汪洋大海”中。Sun 负责Web 技术的主管布雷表示,虚假网站的数量是惊人的,生成这些虚假网志的软件相当复杂,初一看,用户会认为这些网站是合法的。
一名专家表示,这次攻击的范围、用于完成攻击的复杂的自动化技术标志着“splog ”的一个转折点,这一问题酝酿已经有一段时间了。运营着MetaFilter网志的马特说,它已经酝酿有数个月了,上周末出现了大爆发。黑客利用bot 创建了数以千计的虚假网站。
网志搜索和跟踪服务PubSub的技术总监怀曼表示,与电子邮件软件不同,网志服务不能方便地发现和过滤掉垃圾邮件。攻击者执行一个脚本文件,在网志搜索引擎上搜索特定的关键字,特别是一些知名博客的名字,例如温纳、皮埃罗。然后,攻击者会收集搜索结果,然后利用Blogger- BlogSpot的API 创建数以万计、包含有来自博客的真实网站内容以及指向其它网站链接的网志。
怀曼说,在网志搜索引擎中查询知名博客名字的人,以及通过PubSub、Technorati、Feedster等服务跟踪这些博客及其他们最新更新的内容的人会收到指向这些虚假网志的feed,RSS 阅读软件会收到大量无用的链接。
PubSub可能会不再在向用户发送的结果中包含Blogger-BlogSpot feed ,它还可能会要求用户明确的选择他们希望接受来自Blogger-BlogSpot 的搜索结果。
怀曼说,我们可能会被迫过滤掉BlogSpot的所有内容,这就有点儿因噎废食了,是非常不幸的。IceRocket.com 还表示,如果不能部署splog 过滤技术,它可能会停止对Blogger-BlogSpot中的内容进行索引。
怀曼表示,尽管很难精确地衡量这次splog 攻击的规模,在攻击期间,他的服务每天发送给用户的RSS feed数量由正常情况下每天的600 万条翻了一番。Google表示,在攻击期间它删除了13000 多个网志。网志搜索服务提供商Technorati在其《博客现象报告》中估计说,5.8% 的新网志━━约50000 万条网志是虚假风声或可能是虚假网志。
一些受影响的博客抱怨称,Google应当对此负责。周一,皮埃罗在其网志中说,Google已经毁了BlogSpot. 他写道,BlogSpot已经成了垃圾场,Google的品牌受到了影响,它应当投入资源解决这一问题。
Google负责Blogger 的产品经理詹森表示,一段时间以来,Google一直在努力解决这一问题,制订了一些预防措施,例如使用户能够将怀疑的网志标识为可能是虚假网志,使网志创作者确认它是由人而不是由机器“创作的”。
詹森承认,上周末的攻击表明,这些预防性措施是有问题的,只起到了威慑作用,而不是一种彻底的解决方案。他说,受到攻击的并非只有Google一家。
怀曼表示,Blogger-BlogSpot和其它网志服务应当在监测帖子方面多下点儿功夫,将垃圾邮件发送者挡在大门之外。他为Google 进行了辩护,他说,Google成为攻击目标的原因是它的易用性、发布了API 、是一种免费服务。Google已经尽力了。