kjz,
Weiss das Architektur-Büro Hellmann von den Spams?
Mir ist die Webadresse ohne das Java-Script aufgefallen und da hab ich mir erlaubt Herrn Gurgel damit zu füttern. whois:
[Link nur für registrierte Mitglieder sichtbar. ] gibts tatsächlich und ich glaube die Herren dürften es überhaupt net lustig finden, dass jemand mit ihrer Webadresse Unfug treibt.
An den Provider habe ich es gemeldet und per wget erhält man nur noch:
Code:
<html><head>
<title>403 Forbidden</title>
</head><body>
<h1>Forbidden</h1>
<p>You don't have permission to access /ajaxam.js
on this server.</p>
</body></html>
Da hat der Provider wohl reagiert.
mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.
03: by spammotel.com (Postfix) with ESMTP ID: [ID filtered]
04: for xxxxx; Fri, 9 Dec 2011 xx:xx:xx -0500 (EST)
05: Received: from apache by bbb.org with local (Exim 4.67)
06: (envelope-from <service [at] bbb.org>)
07: ID: [ID filtered]
08: for xxxxx; Fri, 9 Dec 2011 xx:xx:xx +0100
Attn: Owner/Manager
The Better Business Bureau has been sent the above-referenced complaint
from one
of your associates in respect of their business relations with you.
The detailed information about the consumer's concern is presented in
attached
document.
Please examine this matter and let us know about your position.
Please click here whois:
[Link nur für registrierte Mitglieder sichtbar. ] to respond this
complaint.
We look forward to your urgent attention to this matter.
Council of Better Business Bureaus
4200 Wilson Blvd, Suite 800
Arlington, VA 22203-1838
Phone: 1 (703) 276.0100
Fax: 1 (703) 525.8277
Die Redirect-Kette:
whois:
[Link nur für registrierte Mitglieder sichtbar. ]
whois:
[Link nur für registrierte Mitglieder sichtbar. ] whois:
[Link nur für registrierte Mitglieder sichtbar. ] whois:
[Link nur für registrierte Mitglieder sichtbar. ] whois:
[Link nur für registrierte Mitglieder sichtbar. ]
whois:
[Link nur für registrierte Mitglieder sichtbar. ]
Die Dreckskiste in der Türkei ist also noch immer online. Aber seit RBN-Tagen ist man von türkischer Seite ja leider nichts anderes gewöhnt: entweder sind die Admins völlig merkbefreit oder man unterstützt bewusst Kriminelle. Da hat man sich anscheinend entschieden, den 'chinesischen Weg' zu gehen.
mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.
03: by spammotel.com (Postfix) with ESMTP ID: [ID filtered]
04: for xxxxx; Tue, 13 Dec 2011 xx:xx:xx -0500 (EST)
05: Received: from (192.168.1.1) by bbb.org (70.45.55.50) with Microsoft
06: SMTP Server ID: [ID filtered]
Redirect-Kette:
whois:
[Link nur für registrierte Mitglieder sichtbar. ]
whois:
[Link nur für registrierte Mitglieder sichtbar. ] whois:
[Link nur für registrierte Mitglieder sichtbar. ] whois:
[Link nur für registrierte Mitglieder sichtbar. ] whois:
[Link nur für registrierte Mitglieder sichtbar. ]
whois:
[Link nur für registrierte Mitglieder sichtbar. ]
IP: 63.223.78.199 ---> PTR1.sentris.net
Zu letzterem Server meint Spamhaus:
Ref: SBL114743
63.223.78.199/32 is listed on the Spamhaus Block List (SBL)
14-Dec-2011 10:41 GMT | SR04
Zeus/SpyEye C&C server hosting
Update Dec 14, 2011
Problem still exists (since july!).
Blackhole exploit kit located here:
Wenn die Dreckskiste seit Juli online ist, dann kann man kaum noch von Merkbefreiung ausgehen, da ist dann krimineller Vorsatz zu vermuten.
mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.
Heute war die Virenschleuder wieder als Nacha getarnt:
header:
01: Received: from [87.97.216.148] (unknown [87.97.216.148])
02: by spammotel.com (Postfix) with ESMTP ID: [ID filtered]
03: for xxxxx; Wed, 14 Dec 2011 xx:xx:xx -0500 (EST)
04: Received: from apache by nacha.org with local (Exim 4.67)
05: (envelope-from <payments [at] nacha.org>)
06: ID: [ID filtered]
07: for xxxxx; Wed, 14 Dec 2011 xx:xx:xx +0200
Da ist wohl der Apache nicht gepatcht, IP: 87.97.216.148 ---> Eurocom Cable Management Bulgaria
Transaction status:pending
In order to resolve this matter, please review the transaction details
using the link below as soon as possible.Yours truly,Paul
VavraAccounting Manager
whois:
[Link nur für registrierte Mitglieder sichtbar. ]
Der Provider hat aber erfreulicherweise fix und deutlich reagiert, denn auf der obigen Seite erscheint nur noch:
You will not get away with abusing our service. We utilize human review checking as well as automated abuse checks which will suspend and ban your account. Don't bother wasting your time with our service if you aim to abuse it.
mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.
28: X-AntiVirus: checked (incoming) by AntiVir MailGuard (Version: 10.0.1.42; AVE:
29: 8.2.8.8; VDF: 7.11.19.153)
The ACH transaction (ID: 0568505227294), recently initiated from your checking account (by you or any other person), was canceled by the Electronic Payments Association.
Canceled transaction
Transaction ID: 0568505227294
Rejection Reason See details in the report below
Transaction Report report_0568505227294.doc (Microsoft Word Document) Link Adresse des Word doc.: whois:
[Link nur für registrierte Mitglieder sichtbar. ]
13450 Sunrise Valley Drive, Suite 100 Herndon, VA 20171 (703) 561-1100
Als BBB getarnt, und mal wieder alles dabei, was bei den Merkbefreiten so Rang und Namen hat:
header:
01: Received: from inetia.pl (77-254-180-135.adsl.inetia.pl [77.254.180.135])
02: by spammotel.com (Postfix) with ESMTP ID: [ID filtered]
03: for xxxxx; Tue, 20 Dec 2011 xx:xx:xx -0500 (EST)
04: Received: from apache by bbb.org with local (Exim 4.63)
05: (envelope-from <admin [at] bbb.org>)
06: ID: [ID filtered]
07: for xxxxx; Tue, 20 Dec 2011 xx:xx:xx +0100
Attention: Owner/Manager
Here with the Better Business Bureau notifies you that we have been filed a
complaint (ID 04362207) from one of your customers related to their
dealership
with you.
Please open the COMPLAINT REPORT whois:
[Link nur für registrierte Mitglieder sichtbar. ] below
to view the details on this issue and suggest us about your position as
soon as
possible.
mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.
Wohl mal wieder ein nicht gepatchter Apache bei den Vlads:
header:
01: Received: from [92.82.18.196] (unknown [92.82.18.196])
02: by spammotel.com (Postfix) with ESMTP ID: [ID filtered]
03: for xxxxx; Wed, 21 Dec 2011 xx:xx:xx -0500 (EST)
04: Received: from apache by bbb.org with local (Exim 4.63)
05: (envelope-from <service [at] bbb.org>)
06: ID: [ID filtered]
07: for xxxxx; Wed, 21 Dec 2011 xx:xx:xx +0200
IP: 92.82.18.196 ---> Romtelecom, Romania
Attention: Owner/Manager
Here with the Better Business Bureau informs you that we have been sent a
complaint (ID 87386208) from a customer of yours in regard to their
dealership
with you.
Please open the COMPLAINT REPORT whois:
[Link nur für registrierte Mitglieder sichtbar. ]
below to
find more information on this matter and suggest us about your point of
view as
soon as possible.
mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.
03: by spammotel.com (Postfix) with ESMTP ID: [ID filtered]
04: for xxxxx; Thu, 26 Jan 2012 xx:xx:xx -0500 (EST)
05: Received: from (192.168.1.137) by nacha.org (89.136.66.73) with
06: Microsoft SMTP Server ID: [ID filtered]
Dear Sir or Madam, This message contains an important information
regarding the ACH debit transfer sent on your behalf, that was detained
by our bank: Transaction No.:640454582872833
Transaction status:under consideration
In order to resolve this matter, please use the link below to review the
transaction details as soon as possible.Faithfully yours,Paul
VavraAccounting Manager
Redirect-Kette:
whois:
[Link nur für registrierte Mitglieder sichtbar. ]
IP: 46.4.73.74 ---> ns130.altervista.org/Hetzner
whois:
[Link nur für registrierte Mitglieder sichtbar. ]
IP: 95.110.228.187 ---> host187-228-110-95.serverdedicati.aruba.it
whois:
[Link nur für registrierte Mitglieder sichtbar. ]
IP: 67.23.231.109 ---> server1.dominiok.net
whois:
[Link nur für registrierte Mitglieder sichtbar. ]
IP: 200.26.189.20 ---> host20.baires01.com.ar
whois:
[Link nur für registrierte Mitglieder sichtbar. ]
IP: 119.110.111.122 ---> TM IT Complex, Malaysia
und hier lauert dann die Malware:
whois:
[Link nur für registrierte Mitglieder sichtbar. ]
IP: 173.213.93.203 ---> Fiberdistribution/Infinitie, Niederlande
Warum sind eigentlich immer die Niederlande so auffällig? Ich erinnere an Cyberservices, Leaseweb, Ecatel, jetzt Infinitie...
(Motto: wir sind liberal bis zum Gehtnichtmehr?)
Geändert von kjz1 (27.01.2012 um 09:50 Uhr)
mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.
Die Vlads schlagen wieder zu, es geht immer auf eine im Usenet geharvestete Adresse:
header:
01: Received: from lan-78-157-75-174.vln.skynet.lt (unknown [78.157.75.174])
02: by spammotel.com (Postfix) with ESMTP ID: [ID filtered]
03: for xxxxx; Fri, 27 Jan 2012 xx:xx:xx -0500 (EST)
04: Received: from [105.223.115.150] (port=49500 helo=[192.168.5.80])
05: by 78.157.75.174 with asmtp
06: ID: [ID filtered]
07: for xxxxx; Fri, 26 Jan 2012 xx:xx:xx +0200
The ACH transfer (ID: 473735239035), recently initiated from your
checking account (by you or any other person), was canceled by the
other financial institution. Rejected transfer
Transaction ID: 473735239035
Reason of rejection See details in the report below
Transaction Report report_473735239035.doc (Microsoft Word
Document)
13450 Sunrise Valley Drive, Suite 100Herndon, VA 201712011 NACHA - The
Electronic Payments Association
Anscheinend cracken die Vlads Server direkt im Hunderterpack:
whois:
[Link nur für registrierte Mitglieder sichtbar. ]
IP: 74.200.195.170 ---> laguna.statussecure.com
whois:
[Link nur für registrierte Mitglieder sichtbar. ]
IP: 195.88.6.244 ---> LinWeb03.ne-ws.it
whois:
[Link nur für registrierte Mitglieder sichtbar. ]
IP: 174.34.172.131 ---> 174.34.172.131.rdns.ubiquityservers.com
whois:
[Link nur für registrierte Mitglieder sichtbar. ]
IP: 176.9.24.198 ---> Hetzner
whois:
[Link nur für registrierte Mitglieder sichtbar. ]
IP: 193.254.241.29 ---> lin11.wmghosting.net
whois:
[Link nur für registrierte Mitglieder sichtbar. ]
IP: 193.254.241.140 ---> wmg01141.ecoms.it
Und hier lauert die Malware:
whois:
[Link nur für registrierte Mitglieder sichtbar. ]
IP: 173.213.93.203 ---> fiberdistribution.com/infinitie.net (NL)
Spamhaus meint zu dieser IP:
black hole exploit site
[Link nur für registrierte Mitglieder sichtbar. ]
Obwohl bereits mehrfach informiert und in Spamhaus gelistet, hat Infinitie die Seite noch nicht vom Netz genommen. Darf man so etwas eigentlich vorsätzliche Beihilfe zur Cyberkriminalität nennen?
mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.
Lesezeichen