+ Antworten
Seite 2 von 8 ErsteErste 1 2 3 4 ... LetzteLetzte
Ergebnis 11 bis 20 von 79

Thema: 'Nacha' Exploit

  1. #11
    Mitglied Gaia ist uneingeschränkt vertrauenswürdig Gaia ist uneingeschränkt vertrauenswürdig Gaia ist uneingeschränkt vertrauenswürdig Gaia ist uneingeschränkt vertrauenswürdig Gaia ist uneingeschränkt vertrauenswürdig Gaia ist uneingeschränkt vertrauenswürdig Gaia ist uneingeschränkt vertrauenswürdig Gaia ist uneingeschränkt vertrauenswürdig
    Registriert seit
    09.07.2009
    Beiträge
    380

    Standard

    kjz,
    Weiss das Architektur-Büro Hellmann von den Spams?
    Mir ist die Webadresse ohne das Java-Script aufgefallen und da hab ich mir erlaubt Herrn Gurgel damit zu füttern.
    whois:www.hellmann-architekten.de/ gibts tatsächlich und ich glaube die Herren dürften es überhaupt net lustig finden, dass jemand mit ihrer Webadresse Unfug treibt.

  2. #12
    Urgestein kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru
    Registriert seit
    18.07.2005
    Beiträge
    5.633

    Standard

    An den Provider habe ich es gemeldet und per wget erhält man nur noch:

    Code:
    <html><head>
    <title>403 Forbidden</title>
    </head><body>
    <h1>Forbidden</h1>
    <p>You don't have permission to access /ajaxam.js
    on this server.</p>
    </body></html>
    Da hat der Provider wohl reagiert.
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....

  3. #13
    Urgestein kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru
    Registriert seit
    18.07.2005
    Beiträge
    5.633

    Standard

    Wieder als BBB-Complanit getarnt:


    header:
    01: Received: from def92-4-82-224-197-76.fbx.proxad.net
    02: (def92-4-82-224-197-76.fbx.proxad.net [82.224.197.76])
    03: by spammotel.com (Postfix) with ESMTP ID: [ID filtered]
    04: for xxxxx; Fri, 9 Dec 2011 xx:xx:xx -0500 (EST)
    05: Received: from apache by bbb.org with local (Exim 4.67)
    06: (envelope-from <service [at] bbb.org>)
    07: ID: [ID filtered]
    08: for xxxxx; Fri, 9 Dec 2011 xx:xx:xx +0100

    Attn: Owner/Manager
    The Better Business Bureau has been sent the above-referenced complaint
    from one
    of your associates in respect of their business relations with you.
    The detailed information about the consumer's concern is presented in
    attached
    document.
    Please examine this matter and let us know about your position.
    Please click here whois:http://stasevych.com/350eea/index.html to respond this
    complaint.

    We look forward to your urgent attention to this matter.

    Sincerely yours,
    Paula Tap
    Better Business Bureau

    --------------------------------------------------------------------------------


    Council of Better Business Bureaus
    4200 Wilson Blvd, Suite 800
    Arlington, VA 22203-1838
    Phone: 1 (703) 276.0100
    Fax: 1 (703) 525.8277
    Die Redirect-Kette:

    whois:http://stasevych.com/350eea/index.html

    whois:http://moussediop.yellis.net/jjquery.js
    whois:http://naadenver.com/jjquery.js
    whois:http://216.119.75.210/jjquery.js
    whois:http://moneymaker.zymichost.com/jjquery.js

    whois:http://wonderfulwrench.com/main.php?page=111d937ec38dd17e

    IP: 46.45.137.205 ---> 46-45-137-205.turkrdns.com/Sayfa Net, TR

    Die Dreckskiste in der Türkei ist also noch immer online. Aber seit RBN-Tagen ist man von türkischer Seite ja leider nichts anderes gewöhnt: entweder sind die Admins völlig merkbefreit oder man unterstützt bewusst Kriminelle. Da hat man sich anscheinend entschieden, den 'chinesischen Weg' zu gehen.
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....

  4. #14
    Urgestein kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru
    Registriert seit
    18.07.2005
    Beiträge
    5.633

    Standard

    Heute wieder als BBB:


    header:
    01: Received: from host-70-45-55-50.onelinkpr.net
    02: (host-70-45-55-50.onelinkpr.net [70.45.55.50])
    03: by spammotel.com (Postfix) with ESMTP ID: [ID filtered]
    04: for xxxxx; Tue, 13 Dec 2011 xx:xx:xx -0500 (EST)
    05: Received: from (192.168.1.1) by bbb.org (70.45.55.50) with Microsoft
    06: SMTP Server ID: [ID filtered]

    Redirect-Kette:

    whois:http://al-hop.com/3af63b/index.html

    whois:http://lottocarpets.com/jjquery.js
    whois:http://lucid.co.kr/jjquery.js
    whois:http://www.vmccgroup.biz/jqueri.js
    whois:http://static.beverlyhills-editions.com/jqueri.js

    whois:http://financeportal.sytes.net/main.php?page=111d937ec38dd17e

    IP: 63.223.78.199 ---> PTR1.sentris.net

    Zu letzterem Server meint Spamhaus:

    Ref: SBL114743
    63.223.78.199/32 is listed on the Spamhaus Block List (SBL)

    14-Dec-2011 10:41 GMT | SR04
    Zeus/SpyEye C&C server hosting

    Update Dec 14, 2011

    Problem still exists (since july!).

    Blackhole exploit kit located here:
    Wenn die Dreckskiste seit Juli online ist, dann kann man kaum noch von Merkbefreiung ausgehen, da ist dann krimineller Vorsatz zu vermuten.
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....

  5. #15
    Urgestein kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru
    Registriert seit
    18.07.2005
    Beiträge
    5.633

    Standard

    Heute war die Virenschleuder wieder als Nacha getarnt:


    header:
    01: Received: from [87.97.216.148] (unknown [87.97.216.148])
    02: by spammotel.com (Postfix) with ESMTP ID: [ID filtered]
    03: for xxxxx; Wed, 14 Dec 2011 xx:xx:xx -0500 (EST)
    04: Received: from apache by nacha.org with local (Exim 4.67)
    05: (envelope-from <payments [at] nacha.org>)
    06: ID: [ID filtered]
    07: for xxxxx; Wed, 14 Dec 2011 xx:xx:xx +0200

    Da ist wohl der Apache nicht gepatcht, IP: 87.97.216.148 ---> Eurocom Cable Management Bulgaria

    Transaction status:pending
    In order to resolve this matter, please review the transaction details
    using the link below as soon as possible.Yours truly,Paul
    VavraAccounting Manager
    whois:http://ausnovastudios.99k.org/7d3c99/index.html

    Der Provider hat aber erfreulicherweise fix und deutlich reagiert, denn auf der obigen Seite erscheint nur noch:

    You will not get away with abusing our service. We utilize human review checking as well as automated abuse checks which will suspend and ban your account. Don't bother wasting your time with our service if you aim to abuse it.
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....

  6. #16
    Neues Mitglied Kilian99 scheint in Ordnung zu sein
    Registriert seit
    11.06.2009
    Beiträge
    40

    Standard

    Wir bekommen auch reichlich dieser Mails......



    header:
    01: -------- Original-Nachricht --------
    02: From: - Sat Dec 17 xx:xx:xx 2011
    03: X-Account-Key: account3
    04: X-UIDL: [UID filtered]
    05: X-Mozilla-Status: 0001
    06: X-Mozilla-Status2: 00000000
    07: X-Mozilla-Keys:
    08: Return-Path: <adherence9 [at] roxburypd.com>
    09: Received: from 190-211-77-165.bbt.net.ar (190-211-77-165.bbt.net.ar
    10: [190.211.77.165]) by mail.bghosting01.de with SMTP; Fri, 16 Dec 2011 xx:xx:xx +0100
    11: Received: from mta900.em.linkedin.com (mta900.em.linkedin.com [63.211.90.176])
    12: by roxburypd.com.s6a1.psmtp.com (8.13.8/8.13.8) with ESMTP ID: [ID filtered]
    13: Date: Fri, 16 Dec 2011 xx:xx:xx -0300
    14: From: LinkedIn <linkedin [at] em.linkedin.com>
    15: To: hotel@********.com
    16: Message-ID: [ID filtered]
    17: Subject: SPAM-LOW: ACH transaction declined
    18: List-Unsubscribe:
    19: <mailto:158905-357374800422816057064515996900583169929977168805171838067 [at] em.linkedin.com&g
    20: ;
    21: MIME-Version: 1.0
    22: Reply-To: LinkedIn
    23: <support-443437209566896233267871517247568804184095156704 [at] em.linkedin.com>
    24: Content-type: multipart/alternative; boundary="=0X4O2Y5R427L8PBV3SNR"
    25: X-SmarterMail-Spam: SPF_PermError, HostKarma - Blacklist, Spamhaus - XBL, UCEProtect
    26: Level 1, ISpamAssassin 3 [raw: 2], DK_None, DKIM_None
    27: X-SmarterMail-TotalSpamWeight: 13
    28: X-AntiVirus: checked (incoming) by AntiVir MailGuard (Version: 10.0.1.42; AVE:
    29: 8.2.8.8; VDF: 7.11.19.153)

    The ACH transaction (ID: 0568505227294), recently initiated from your checking account (by you or any other person), was canceled by the Electronic Payments Association.
    Canceled transaction
    Transaction ID: 0568505227294
    Rejection Reason See details in the report below
    Transaction Report report_0568505227294.doc (Microsoft Word Document) Link Adresse des Word doc.: whois:http://dogmagazine.net/c1bdc8/index.html

    13450 Sunrise Valley Drive, Suite 100 Herndon, VA 20171 (703) 561-1100

    © 2011 NACHA - The Electronic Payments Association
    Geändert von Mittwoch (18.12.2011 um 12:47 Uhr) Grund: Whois gesetzt – die Zielseite ist verseucht

  7. #17
    Urgestein kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru
    Registriert seit
    18.07.2005
    Beiträge
    5.633

    Standard

    Als BBB getarnt, und mal wieder alles dabei, was bei den Merkbefreiten so Rang und Namen hat:


    header:
    01: Received: from inetia.pl (77-254-180-135.adsl.inetia.pl [77.254.180.135])
    02: by spammotel.com (Postfix) with ESMTP ID: [ID filtered]
    03: for xxxxx; Tue, 20 Dec 2011 xx:xx:xx -0500 (EST)
    04: Received: from apache by bbb.org with local (Exim 4.63)
    05: (envelope-from <admin [at] bbb.org>)
    06: ID: [ID filtered]
    07: for xxxxx; Tue, 20 Dec 2011 xx:xx:xx +0100

    Attention: Owner/Manager

    Here with the Better Business Bureau notifies you that we have been filed a
    complaint (ID 04362207) from one of your customers related to their
    dealership
    with you.

    Please open the COMPLAINT REPORT
    whois:http://le-cheval.net/a4285d/index.html below
    to view the details on this issue and suggest us about your position as
    soon as
    possible.

    We are looking forward to your prompt reply.

    Faithfully,

    Fernando Grodhaus

    Dispute Counselor
    Better Business Bureau

    --------------------------------------------------------------------------------


    *Council of Better Business Bureaus*
    4200 Wilson Blvd, Suite 800
    Arlington, VA 22203-1838
    Phone: 1 (703) 276.0100
    Fax: 1 (703) 525.8277
    1. Redirector:

    whois:http://le-cheval.net/a4285d/index.html
    IP: 213.186.33.19 ---> cluster010.ovh.net


    2. Redirect:

    whois:http://currylovers.com.au/jscript.js
    IP: 74.52.155.18 ---> obsidian.websitewelcome.com

    whois:http://maler-solms.de/jscript.js
    IP: 85.13.139.178 ---> dd19402.kasserver.com

    whois:http://ra-axelbauer.at/jscript.js
    IP: 85.13.141.93 ---> dd21404.kasserver.com


    Schadserver:

    whois:http://financestuff.serveblog.net/main.php?page=69dbd5a1e3ed6ae9
    IP: 207.210.65.12 ---> delluriebay.igseventos.com/Gnax

    Ref: SBL124431
    207.210.65.12/32 is listed on the Spamhaus Block List (SBL)

    20-Dec-2011 12:34 GMT | SR29
    Blackhole exploit kit @207.210.65.12

    Blackhole exploit kit located here:
    http://www.spamhaus.org/sbl/sbl.lasso?query=SBL124431
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....

  8. #18
    Urgestein kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru
    Registriert seit
    18.07.2005
    Beiträge
    5.633

    Standard

    Wohl mal wieder ein nicht gepatchter Apache bei den Vlads:


    header:
    01: Received: from [92.82.18.196] (unknown [92.82.18.196])
    02: by spammotel.com (Postfix) with ESMTP ID: [ID filtered]
    03: for xxxxx; Wed, 21 Dec 2011 xx:xx:xx -0500 (EST)
    04: Received: from apache by bbb.org with local (Exim 4.63)
    05: (envelope-from <service [at] bbb.org>)
    06: ID: [ID filtered]
    07: for xxxxx; Wed, 21 Dec 2011 xx:xx:xx +0200

    IP: 92.82.18.196 ---> Romtelecom, Romania

    Attention: Owner/Manager

    Here with the Better Business Bureau informs you that we have been sent a
    complaint (ID 87386208) from a customer of yours in regard to their
    dealership
    with you.

    Please open the COMPLAINT REPORT whois:http://punjnud.com/c19979/index.html
    below to
    find more information on this matter and suggest us about your point of
    view as
    soon as possible.

    We are looking forward to your prompt reply.

    Sincerely,

    Arnold Melendez

    Dispute Counselor
    Better Business Bureau

    --------------------------------------------------------------------------------


    *Council of Better Business Bureaus*
    4200 Wilson Blvd, Suite 800
    Arlington, VA 22203-1838
    Phone: 1 (703) 276.0100
    Fax: 1 (703) 525.8277
    IP: 207.55.247.138 ---> saturn.pakistaniclicks.com

    Die Seite ist aber wohl schon entfernt worden.
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....

  9. #19
    Urgestein kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru
    Registriert seit
    18.07.2005
    Beiträge
    5.633

    Standard

    Die Vlads machen weiter:


    header:
    01: Received: from cpe-89-136-66-73.Braila.Astral.Ro
    02: (cpe-89-136-66-73.Braila.Astral.Ro [89.136.66.73])
    03: by spammotel.com (Postfix) with ESMTP ID: [ID filtered]
    04: for xxxxx; Thu, 26 Jan 2012 xx:xx:xx -0500 (EST)
    05: Received: from (192.168.1.137) by nacha.org (89.136.66.73) with
    06: Microsoft SMTP Server ID: [ID filtered]

    Dear Sir or Madam, This message contains an important information
    regarding the ACH debit transfer sent on your behalf, that was detained
    by our bank: Transaction No.:640454582872833
    Transaction status:under consideration
    In order to resolve this matter, please use the link below to review the
    transaction details as soon as possible.Faithfully yours,Paul
    VavraAccounting Manager
    Redirect-Kette:

    whois:http://webfl.altervista.org/N1CmSgdg/index.html
    IP: 46.4.73.74 ---> ns130.altervista.org/Hetzner


    whois:http://95.110.228.187/ZGhLkaUS/js.js
    IP: 95.110.228.187 ---> host187-228-110-95.serverdedicati.aruba.it

    whois:http://elledisalerno.it/iQ9wcQyk/js.js
    IP: 67.23.231.109 ---> server1.dominiok.net

    whois:http://www.matiascipiliano.com/Ugwz64WG/js.js
    IP: 200.26.189.20 ---> host20.baires01.com.ar

    whois:http://www.pix.com.my/xcwrBpwf/js.js
    IP: 119.110.111.122 ---> TM IT Complex, Malaysia

    und hier lauert dann die Malware:

    whois:http://clostescape.com/search.php?page=73a07bcb51f4be71
    IP: 173.213.93.203 ---> Fiberdistribution/Infinitie, Niederlande

    Warum sind eigentlich immer die Niederlande so auffällig? Ich erinnere an Cyberservices, Leaseweb, Ecatel, jetzt Infinitie...
    (Motto: wir sind liberal bis zum Gehtnichtmehr?)
    Geändert von kjz1 (27.01.2012 um 09:50 Uhr)
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....

  10. #20
    Urgestein kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru kjz1 ist Forum Guru
    Registriert seit
    18.07.2005
    Beiträge
    5.633

    Standard

    Die Vlads schlagen wieder zu, es geht immer auf eine im Usenet geharvestete Adresse:


    header:
    01: Received: from lan-78-157-75-174.vln.skynet.lt (unknown [78.157.75.174])
    02: by spammotel.com (Postfix) with ESMTP ID: [ID filtered]
    03: for xxxxx; Fri, 27 Jan 2012 xx:xx:xx -0500 (EST)
    04: Received: from [105.223.115.150] (port=49500 helo=[192.168.5.80])
    05: by 78.157.75.174 with asmtp
    06: ID: [ID filtered]
    07: for xxxxx; Fri, 26 Jan 2012 xx:xx:xx +0200

    The ACH transfer (ID: 473735239035), recently initiated from your
    checking account (by you or any other person), was canceled by the
    other financial institution. Rejected transfer
    Transaction ID: 473735239035
    Reason of rejection See details in the report below
    Transaction Report report_473735239035.doc (Microsoft Word
    Document)
    13450 Sunrise Valley Drive, Suite 100Herndon, VA 201712011 NACHA - The
    Electronic Payments Association
    Anscheinend cracken die Vlads Server direkt im Hunderterpack:

    whois:http://edgecube.com/J2rtfo9P/index.html
    IP: 74.200.195.170 ---> laguna.statussecure.com


    whois:http://actorsmilano.com/9P9FBv2p/js.js
    IP: 195.88.6.244 ---> LinWeb03.ne-ws.it

    whois:http://article-elite.com/jPNmYtFx/js.js
    IP: 174.34.172.131 ---> 174.34.172.131.rdns.ubiquityservers.com

    whois:http://italiabux.altervista.org/Wbsca8bh/js.js
    IP: 176.9.24.198 ---> Hetzner

    whois:http://www.becciafiori.it/MYqcmZDq/js.js
    IP: 193.254.241.29 ---> lin11.wmghosting.net

    whois:http://www.ferramentaseveri.com/Pru3Q0E2/js.js
    IP: 193.254.241.140 ---> wmg01141.ecoms.it

    Und hier lauert die Malware:

    whois:http://clostescape.com/search.php?page=73a07bcb51f4be71
    IP: 173.213.93.203 ---> fiberdistribution.com/infinitie.net (NL)

    Spamhaus meint zu dieser IP:

    black hole exploit site
    http://www.spamhaus.org/sbl/sbl.lasso?query=SBL127477

    Obwohl bereits mehrfach informiert und in Spamhaus gelistet, hat Infinitie die Seite noch nicht vom Netz genommen. Darf man so etwas eigentlich vorsätzliche Beihilfe zur Cyberkriminalität nennen?
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....

+ Antworten
Seite 2 von 8 ErsteErste 1 2 3 4 ... LetzteLetzte

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
Partnerlink:
REDDOXX Anti-Spam Lösungen