Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 17

Thema: Spam mit Unsinn im Inhalt

  1. #1
    Neues Mitglied
    Registriert seit
    20.12.2009
    Ort
    Stralsund
    Beiträge
    5

    Standard Spam mit Unsinn im Inhalt

    Hallo zusammen,
    ich bekomme seit einigen Monaten immer mal wieder eine oder reihenweise Spammails als Zuschriften zu meiner Homepage. Da sie von Harvestern stammen, lässt sich das leicht abfangen. Was mich interessiert ist der Sinn dieser Spammails, denn sie enthalten fast keine sinnvollen Worte oder Domains. Beispiel:

    Ihr Name.VoeyYT lumshcdbzpaa, luigqghzpbxg, whois: [Link nur für registrierte Mitglieder sichtbar. ], whois: [Link nur für registrierte Mitglieder sichtbar. ] FÜR BILD...

    Die großbuchstabigen Worte stammen als Bezeichner aus meinem Formular, alles andre hat der Spammer eingetragen. Alle Domains darin existieren offenbar gar nicht. Einzig die Zeichenkette unmittelbar hinter Name ergibt Suchtreffer bei Google, etwa 8 Stück und alle in zweifelhaften Zusammenhängen jedoch ohne sinnbringende Verbindung zu einer funktionierenden Website etc.

    Die Mails gehen selten ein. Mal einzeln, mal 100 Stück in etwa im Minutentakt, abgesendet von jeweils einer andren Unterseite meine Webpäsenz (auf jeder ist ein kleines Formular). Die IP-Adresse des Formular-Aufrufenden ist in jeder Mail eine andere. Diese IPAs existieren. Besucht man diese, wird manchmal der Zugriff auf den Server verweigert, manchmal erscheint eine leere Seite, manchmal eine ungeschützte XAMPP-Adminoberfläche und manchmal sogar offene Verzeichnislistings mit sensiblen Daten, also alles was so passieren kann.

    Wie gesagt. Die Abwehr dieser Mails in im Moment ein Leichtes. Mich interessiert der Hintergrund der Mails? Fehlfunktionen? Testläufe? Nebenprodukte?


    Neugierige Grüße

    Matthias
    Geändert von cmds (20.12.2009 um 10:03 Uhr) Grund: Spammer URL immer mit Whois entschärfen!

  2. #2
    Forenbarbar Avatar von alariel
    Registriert seit
    02.03.2007
    Ort
    Hennef
    Beiträge
    3.434

    Standard

    Hm... Webformular...
    Dazu will mir nicht viel einfallen. Wären die Mails as-is bei Deinem MTA eingegangen hätte ich auf Testlauf getippt (nimmt der an etc.pp.), aber der Sinn hinter dieser Aktion erschliesst sich mir grad' nicht.
    Vielleicht setzen diese URLs, da sie offiziell nicht existieren, ja auch bereits einen infizierten Rechner voraus, der diese entsprechend umsetzt - aber auch dann sehe ich keinen Sinn darin.

    Ratlos,
    Alariel
    Klickibunti, zur Dunklen Seite dieser Weg Dich führt!
    Isediatur ignoratia vestra ac stupitiatae causa!
    Barbar - und stolz darauf!! ~***~ Nam et ipsa scientia potestas est!

  3. #3
    Verbalakrobat Avatar von Goofy
    Registriert seit
    17.07.2005
    Ort
    Überall und nirgends
    Beiträge
    24.822

    Standard

    Das ist sogenannte "Spamprosa".

    Spamprosa

    Dient dazu, die Spamfilter zu verwirren.

    Manchmal steckt der eigentliche Inhalt des Spams in einem html-Anhang. Manchmal wird aber einfach nur Spamprosa geschickt, verbunden mit einem Link, und der Spammer hofft dann, dass der Super-DAU trotz des Schwachsinns-Texts aus Neugier auf den Link klickt. Und dann bei ihm Schniedelpillen, Klunkeruhren oder sonstwas kauft.
    Goofy
    ______________________________
    Weisheiten des Trullius L. Guficus, 80 v.Chr.:
    "Luscinia, te pedem supplodere audio" - Nachtigall, ick hör dir trapsen
    "Vita praediolum eculeorum non est" - Das Leben ist kein Ponyhof
    "Avia mea in stabulo gallinario rotam automotam vehit" - Meine Oma fährt im Hühnerstall Motorrad
    "Sed illi, dicito: me in ano lambere potest" - Jenem aber, sag es ihm: er kann mich am Arsch lecken

  4. #4
    Neues Mitglied
    Registriert seit
    20.12.2009
    Ort
    Stralsund
    Beiträge
    5

    Standard

    Danke für Eure Antworten! Spamprosa scheint zwar naheliegend und ich hatte das auch schonmal in der Überlegung, aber so ganz passt das nicht auf die Mails. Ich habe noch nie in den Mails auch nur silbenweise irgendetwas sinnhaltiges entdecken können. Nichtmal silbenweise kann man irgendeine Verwandschaft mit einem Wort feststellen, es sei denn irgendwelche exotischen Schriftzeichen, sei es chinesisch oder suaheli rückwärts ergeben so einen Buchstabenschrott wenn man sie fehlerhaft umwandelt oder soetwas.
    Auch keine einzige Domain, die ich aus Neugier immermal wieder auf Existenz prüfe hat nichts mit existierenden Domains gemein. Wäre es Spamprosa, dann muss das Programm, welches das generiert schon gehörig "übergeschnappt" sein, denn es ist ja nichtmal der Ansatz einer nicht funktionierenden Methode erkennbar. Auch ganze Wellen dieser Mails zeigen kein Muster. Da mutieren keine Begriffe. Auch wiederholen sich keine Zeichenketten, soweit das stichprobenartig feststellbar ist. Nichts! Das einzige was bei diesen Mails nicht funktioniert, ist ein Muster zu finden, um es irgendwofür zu verwenden.
    Aber gut, was nicht funktioniert, kann auch kaum Schaden anrichten. Im Moment ist der Traffic den das verursacht, absolut zu vernachlässigen. Zumindestens bei mir. Wie es bei meinem Hoster diesbezüglich domainübergreifend aussieht, weiss ich nicht.


    Grüße

    Matthias

  5. #5
    Verbalakrobat Avatar von Goofy
    Registriert seit
    17.07.2005
    Ort
    Überall und nirgends
    Beiträge
    24.822

    Standard

    Wenn nicht mal ein funktionierender Link in der Mail ist, dann könnten solche Mails evtl. auch zum Listwashing dienen. Manchmal treiben Spammer solche Spamruns mit leeren oder unsinnigen Mails, um nichtexistierende Mailadressen anhand der [Link nur für registrierte Mitglieder sichtbar. ] aus den Listen zu waschen.
    Goofy
    ______________________________
    Weisheiten des Trullius L. Guficus, 80 v.Chr.:
    "Luscinia, te pedem supplodere audio" - Nachtigall, ick hör dir trapsen
    "Vita praediolum eculeorum non est" - Das Leben ist kein Ponyhof
    "Avia mea in stabulo gallinario rotam automotam vehit" - Meine Oma fährt im Hühnerstall Motorrad
    "Sed illi, dicito: me in ano lambere potest" - Jenem aber, sag es ihm: er kann mich am Arsch lecken

  6. #6
    Mitglied Avatar von Huntress
    Registriert seit
    27.09.2007
    Ort
    Oblivion
    Beiträge
    120

    Standard

    Zitat Zitat von fotoskizzierer Beitrag anzeigen
    Hallo zusammen,
    ich bekomme seit einigen Monaten immer mal wieder eine oder reihenweise Spammails als Zuschriften zu meiner Homepage. Da sie von Harvestern stammen, lässt sich das leicht abfangen.
    Wieso von Harvestern (wenn du Formulare hast steht deine Addy doch garnicht auf der Webseite, die Harvester kommen doch garnicht dran)?
    Weiter unten sagst du:

    Zitat Zitat von fotoskizzierer Beitrag anzeigen
    Die großbuchstabigen Worte stammen als Bezeichner aus meinem Formular, alles andre hat der Spammer eingetragen.
    und

    Zitat Zitat von fotoskizzierer Beitrag anzeigen
    Mal einzeln, mal 100 Stück in etwa im Minutentakt, abgesendet von jeweils einer andren Unterseite meine Webpäsenz (auf jeder ist ein kleines Formular). Die IP-Adresse des Formular-Aufrufenden ist in jeder Mail eine andere.
    Sehe ich das richtig das diese Mails über deine Webseite verschickt werden? Wenn ja hast du ein großes Problem, irgendeiner benutzt deine Seiten als Spamschleuder, das solltest du schleunigst abstellen!!


    Zitat Zitat von fotoskizzierer Beitrag anzeigen
    Die Abwehr dieser Mails in im Moment ein Leichtes.
    Die Abwehr ist auch nicht das Problem, sondern die Entsehung der Mails (das kann bösen Ärger geben).

    Zitat Zitat von fotoskizzierer Beitrag anzeigen
    Mich interessiert der Hintergrund der Mails? Fehlfunktionen? Testläufe? Nebenprodukte?
    Hört sich an als wäre es von allem etwas.

    Huntress
    Der beste Hinweis, dass deine Freundin dein Email-Kennwort kennt:
    Die Mails mit den Porno-Zugangsdaten verschwinden immer, dafür kommen die Penisverlängerungs-Spams immer aus dem Mülleimer ins Postfach zurück.

  7. #7
    Mitglied Avatar von carsten.gentsch
    Registriert seit
    22.04.2008
    Ort
    immer und überall
    Beiträge
    946

    Standard Spam

    @fotoskizzierer

    Hallo
    Ich würde als erstes mal die cgi Einträge im Formular checken und / oder PHP mailer?
    Dann die Logfiles ansehen und die IPs sperren.
    Brauchst Du auf jeder Seite ein Formular? Wenn ja dann lege doch ein Zentrales Formular im cgi Ordner ab und verweise als Link darauf bzw. binde es ein.

    Prüfe deine Robot txt und sperre die Zugänge für Bots zum auslesen für die Ordner.
    Dann würde ich test weise mal zu einen free Anbieter für Webformulare wechseln und sehen was passiert. Kommen die Emails weiter hast du irgendwo ein Leck und jemand nutzt deine cgi oder phps aus.

    gruß Carsten

    PS. Aber bitte schnell reagieren sonst kann es auch für dich Ärger geben.

  8. #8
    Mitglied Avatar von schmubo
    Registriert seit
    18.02.2007
    Ort
    53 miles west of venus
    Beiträge
    463

    Standard

    Zitat Zitat von Huntress Beitrag anzeigen
    Sehe ich das richtig das diese Mails über deine Webseite verschickt werden?
    Das stimmt: Ein Skript auf der Webseite generiert die E-Mails. Aber: Die Formular-Eintragungen werden nicht über den ganzen Globus verteilt, sondern nur an den im Skript definierten Empfänger weitergeleitet. Dass fotoskizzierer haufenweise Mails erhält, ist die unmittelbare Folge des Ansturms auf sein Formular. Um Spam an weitere Empfänger auszuliefern, sind Änderungen am Skript erforderlich. Das große Problem sehe ich also nicht.

    @fotoskizzierer: Vielleicht verpasst Du ja einen Teil der Informationen, weil nicht genügend Eingabefelder zur Verfügung stehen. Du kannst mit CSS zusätzliche, für Menschen unsichtbare Felder in das Formular einfügen. Die Spam-Bots werden sich darauf stürzen.
    Scambaiter Deutschland - wir sind der Sand im Getriebe der Betrugsmaschine!

  9. #9
    Mitglied Avatar von Huntress
    Registriert seit
    27.09.2007
    Ort
    Oblivion
    Beiträge
    120

    Standard

    Zitat Zitat von schmubo Beitrag anzeigen
    Das stimmt: Ein Skript auf der Webseite generiert die E-Mails. Aber: Die Formular-Eintragungen werden nicht über den ganzen Globus verteilt, sondern nur an den im Skript definierten Empfänger weitergeleitet. Dass fotoskizzierer haufenweise Mails erhält, ist die unmittelbare Folge des Ansturms auf sein Formular. Um Spam an weitere Empfänger auszuliefern, sind Änderungen am Skript erforderlich. Das große Problem sehe ich also nicht.
    Das konnte ich aber so nicht aus seinem Post herauslesen, bei einem fehlerhaften Script ist es problemlos möglch zusätzliche Headerzeilen einzufügen, die Mail geht dann an den im Script definierten Empfänger und wird über den ganzen Globus verteilt.

    Huntress

    PS

    Zitat Zitat von carsten.gentsch Beitrag anzeigen
    @fotoskizzierer
    Ich würde als erstes mal die cgi Einträge im Formular checken und / oder PHP mailer?
    Gute Idee (wenn die Mails aber wie schmubo vermutet nur an den hinterlegten Empfänger gehen gibt es nichts zu checken - QED)

    Zitat Zitat von carsten.gentsch Beitrag anzeigen
    Dann die Logfiles ansehen und die IPs sperren.
    Das Sperren von IPs mittels .htaccess ist ein zweischneidiges Schwert und hilft auch nicht wirklich - diese IPs werden in der Regel einmal benutzt und dann nie wieder, damit hechelt man nur hinterher und bremst sich irgendwann den Server aus etc.

    Zitat Zitat von carsten.gentsch Beitrag anzeigen
    Brauchst Du auf jeder Seite ein Formular? Wenn ja dann lege doch ein Zentrales Formular im cgi Ordner ab und verweise als Link darauf bzw. binde es ein.
    Das löst das Problem nicht, die bekommen nach einiger zeit mit das das Ziel verschoben wurde und passen sich an. Neue Spammer sind von der Aktion sowieso nicht betroffen.

    Zitat Zitat von carsten.gentsch Beitrag anzeigen
    Prüfe deine Robot txt und sperre die Zugänge für Bots zum auslesen für die Ordner.
    Huh? Zeig mir einen Harvester der sich an die robots.txt hält, die schauen da höchstens rein um zu erfahren wo es sich lohnt rumzuschnüffeln.

    Zitat Zitat von carsten.gentsch Beitrag anzeigen
    Dann würde ich test weise mal zu einen free Anbieter für Webformulare wechseln und sehen was passiert. Kommen die Emails weiter hast du irgendwo ein Leck und jemand nutzt deine cgi oder phps aus.
    Nö, schauen ob die Mails über die Formulare versendet werden, schauen ob zusätzliche Headerzeilen eingefügt werden können und dieses abstellen.
    Btw. viele Bots haben ihre eigenen Formulare und kippen deren Inhalt dann beim Ziel aus (wird aber nur gemacht wenn der Server als Spamschleuder missbraucht werden kann, und bei Gästebüchern, nicht um nur den Webmaster mit Spam zu beglücken), deswegen müssen immer auch die verarbeitenden Scripte gelöscht/verändert werden nur das Formular runternehmen langt nicht.

    Zitat Zitat von carsten.gentsch Beitrag anzeigen
    PS. Aber bitte schnell reagieren sonst kann es auch für dich Ärger geben.
    Ja, Spamschleudern können eine Menge Ärger bedeuten.
    Geändert von Huntress (20.12.2009 um 18:24 Uhr) Grund: laaanges PS angefügt
    Der beste Hinweis, dass deine Freundin dein Email-Kennwort kennt:
    Die Mails mit den Porno-Zugangsdaten verschwinden immer, dafür kommen die Penisverlängerungs-Spams immer aus dem Mülleimer ins Postfach zurück.

  10. #10
    Neues Mitglied
    Registriert seit
    20.12.2009
    Ort
    Stralsund
    Beiträge
    5

    Rotes Gesicht

    Zitat Zitat von schmubo Beitrag anzeigen
    Das stimmt: Ein Skript auf der Webseite generiert die E-Mails. Aber: Die Formular-Eintragungen werden nicht über den ganzen Globus verteilt, sondern nur an den im Skript definierten Empfänger weitergeleitet. Dass fotoskizzierer haufenweise Mails erhält, ist die unmittelbare Folge des Ansturms auf sein Formular. Um Spam an weitere Empfänger auszuliefern, sind Änderungen am Skript erforderlich.

    Richtig! Es gibt keine mir bekannte Möglichkeit den Mailempfänger zu ändern, denn der wird im verabeitenden Script eingesetzt, quasi fest eingemeißelt. Ich hab Carstens Mail trotzdem ernst genommen und beäuge gerade das Script und suche nach Ideen, wie ich es austricksen würde. Ich hab da keine Idee, obwohl ich ja den Vorteil habe, das Script lesen zu können, was der Spammer ja nicht kann. (Danke an Carsten für den Hinweis, dass da kein Harvester beteiligt war. Hab da einen andren Gedankengang reingewürfelt.)


    Zitat Zitat von schmubo Beitrag anzeigen
    @fotoskizzierer: Vielleicht verpasst Du ja einen Teil der Informationen, weil nicht genügend Eingabefelder zur Verfügung stehen. Du kannst mit CSS zusätzliche, für Menschen unsichtbare Felder in das Formular einfügen. Die Spam-Bots werden sich darauf stürzen.
    Ja diese Taktik ist unter anderen in dem Script enthalten und danach wird entschieden, ob die Zuschrift es überhaupt in die Datenbank schafft oder nur eine Infomail an mich geht.
    Allerdings sehe ich gerade, dass mir da auch ein Versäumnis unterlaufen ist. Ich sammle ja die E-Mailadresse ein und diese wird mir gar nicht übermittelt in der Mail. Das werd ich mal ausbessern. Vielleicht liegt ja in der Mailadresse irgendein rudimentärer Nutzen, den die Spammer sich erhoffen.


    Grüße

    Matthias

    P.S. Jetzt bin ich sogar gespannt auf den nächsten Besuch des Spammers. Komisch!

Seite 1 von 2 12 LetzteLetzte

Ähnliche Themen

  1. IP-Blacklist -Sinn oder Unsinn?
    Von Nordin im Forum 2.5 Weblog-, Guestbook- , Wiki- und Forenspam
    Antworten: 3
    Letzter Beitrag: 11.10.2007, 23:56
  2. Diskussion über Sinn und Unsinn von SMS-Chat
    Von michi28 im Forum 4.2 Diskussion
    Antworten: 21
    Letzter Beitrag: 21.03.2007, 16:26
  3. spam ohne inhalt
    Von Buzzbomb im Forum 4.2 Diskussion
    Antworten: 2
    Letzter Beitrag: 10.09.2003, 21:10
  4. Spam mit ekligem Inhalt - wie geht man am besten vor?
    Von spaetzle42 im Forum 1.1 deutschsprachig
    Antworten: 1
    Letzter Beitrag: 17.04.2002, 00:24

Stichworte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen