Ergebnis 1 bis 2 von 2

Thema: Anatomie einer Gästebuch-Attacke

  1. #1
    Mitglied Avatar von Reinhold Jordan
    Registriert seit
    25.09.2006
    Ort
    Bachrain
    Beiträge
    185

    Standard Anatomie einer Gästebuch-Attacke

    Hallo,

    seit gestern ist ein Spammer mal wieder besonders aktiv. Da er eine prima Spur hinterlassen hat und es immer hilfreich ist, zu wissen, wie die arbeiten, schreibe ich mal auf, was ich an Info habe:

    Angefangen hat es mit zwei Zugriffen von ns.km30237.keymachine.de am 29.4. und 3.5. auf das Gästebuch. Da das Formular einen Zeitstempel mit übergibt, lassen sich alle weiteren Zugriffe auf diese beiden zurück führen.

    Als User-Agent wurde "User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)" übergeben. Und das ist kein Tippfehler, daß der User-Agent mit "User-Agent" anfängt.

    Seit dem 6.5. folgten 9 Zugriffe, die anscheinend eine Art Test waren. Immer etwas anders, aber alle ähnlich:

    header:
    01: GB_name :wmmjfgwi
    02: GB_mail :wmmjfgwi [at] yahoo.com
    03: GB_message :korokozabr555
    Was mir auffällt ist, daß anscheinend niemand diesen Test analysiert hat. Denn sonst wäre ja aufgefallen, daß diese Zugriffe mit veraltetem Zeitstempel schlicht ignoriert wurden.

    Und seit gestern habe ich bis jetzt 26 Zugriffe, die auch eine (mehr oder weniger sinnvolle) Nachricht enthalten. Da ich diese Sprache nicht spreche, kann ich das aber nur vermuten:

    header:
    01: GB_name :vcwjajkvuo
    02: GB_mail :vcwjajkvuo [at] yahoo.com
    03: GB_message :korokozabr6
    04: http://carmen935.newmail.ru/wi_de_madison_della_stazione_termale_di_.html wi de Madison
    05: della stazione termale di giorno dell'oasi
    06: http://sacrire1108.newmail.ru/salone_del_tatuaggio_in_illinois.html salone del
    07: tatuaggio in Illinois
    08: http://green1342.hotmail.ru/la_cellula_cellulare_confronta_il_progra.html la cellula
    09: cellulare confronta il programma del telefono del telefono
    10: ...
    und noch weitere 27 Links

    Jeder dieser Zugriffe kommt von einem anderen Rechner irgendwo auf der Welt. Der einzig auffällige Rechner ist ns.km30237.keymachine.de. Eine Suche in Google findet jede Menge Zugriffslogfiles, besonders Gästebücher. Und in meinen eigenen Logfiles finde ich auf einer anderen Seite Zugriffe wie diesen

    header:
    01: "http://www.holzwerken.de/mailto:xxx.yyyy [at] jestaedt.com"
    Und das mit jede Menge Spam-Trap-Adressen

    Gruß, Reinhold

  2. #2
    Mitglied Avatar von Reinhold Jordan
    Registriert seit
    25.09.2006
    Ort
    Bachrain
    Beiträge
    185

    Standard

    Hallo,
    Zitat Zitat von Reinhold Jordan Beitrag anzeigen
    Und seit gestern habe ich bis jetzt 26 Zugriffe, die auch eine (mehr oder weniger sinnvolle) Nachricht enthalten....
    das hat 2 Tage angehalten und dann war komplett Ruhe. 10 Tage später, also am 19., fing es dann wieder an. Seit dem kommen "schön" regelmäßig jeden Tag fast 20 Einträge dieser Art. Alle etwas kürzer gefaßt, aber sonst ähnlich. Und alle mit diesen 2 Zeitstempeln...

    Gruß, Reinhold
    Geändert von Reinhold Jordan (26.05.2007 um 07:52 Uhr) Grund: Tipfehler

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen