Ergebnis 1 bis 2 von 2

Thema: Bilderspammer mit Hosting bei Windows?

  1. #1
    Medien- & Kaffeeguru Avatar von truelife
    Registriert seit
    28.01.2006
    Ort
    Vals (Graubünden)
    Beiträge
    17.187

    Standard Bilderspammer mit Hosting bei Windows?

    TestoUltra wird Ihr Sexleben revolutionieren!
    upload


    header:
    01: Return-Path: <lemonde [at] PfmCh88.businessbiz.pw>
    02: Received: from bcv.businessbiz.pw ([107.178.111.20]) by mx-ha.gmx.net (mxgmx116
    03: [212.227.17.5]) with ESMTP (Nemesis) ID: [ID filtered]
    04: Received: from 127.0.0.1 (EHLO mx-amrcnbankr-a.sailthru.com) (192.64.237.33) by
    05: mta4475.mail.ne1.yahoo.com with SMTP; Fri, 08 Mar 2019 xx:xx:xx +0000
    06: DKIM-Signature: v=1; a=rsa-sha1; c=relaxed; s=pt; d=pmta.sailthru.com;
    07: h=Date:From:To:Message-ID:Subject:MIME-Version:Content-Type:List-Unsubscribe;
    08: bh=LS3L0gufy6n8zmYRrdYP1J5JY78=;
    09: b=RRvRLIXkOLxis4nb/snWkp4xEhx8AtI2Inr2mj18kqpnR3qex4yr7ixIoxpQ2/FKUDSJmgf2BLvo
    10: kdM1ncgOvaDb2Ciu7XWaSs6PMJD/LS9wBWrrsfsS3+QZBUJuXCHIV8RCzsE2v7/4BVmjqXGg05+l
    11: YMl3lYBznRY3chrnEKw=
    12: Received: from njmta-20.sailthru.com (173.228.155.20) by mx-amrcnbankr-a.sailthru.com
    13: ID: [ID filtered]
    14: Received: from nj1-wrylilac.flt (172.18.20.8) by njmta-20.sailthru.com ID: [ID filtered]
    15: DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/simple; t=1552057551;
    16: s=sailthru; d=email.paymentssource.com;
    17: h=Date:From:To:Message-ID:Subject:MIME-Version:Content-Type:List-Unsubscribe;
    18: bh=K7OW/9j422DF2xbUzOLxzcjKI7S080Rya0ev2R1Kv6E=;
    19: b=vTkOUcdT79VB4g2Tp+rM5lT9VSb0htt6mTBHmFikpjanXQi/6CH2Q9lpDeE8zfb3
    20: +AnB/Oehomoml+oLsTskPX+iCWgvyJPjeiQ68e+uAdfsjxAVENSeDRw9+cZFEwUlBbb
    21: 5g6TDpX7u0SC0amoW22WD9KLMJmZywRWwtfFDCg4=
    22: Date: Sat, 9 Mar 2019 xx:xx:xx -0500 (EST)
    23: From: -=?UTF-8?B?VGVzdG9VbHRyYQ==?=- <paymentssource [at] email.businessbiz.pw>
    24: To: *snip*
    25: Message-ID: [ID filtered]
    26: Subject: =?UTF-8?B?VGVzdG9VbHRyYSB3aXJkIElociBTZXhsZWJlbiByZXZvbHV0aW9uaWVyZW4h?=
    27: MIME-Version: 1.0
    28: Content-Type: multipart/alternative;
    29: boundary="----=_Part_21742513_1753342937.1552057551727"
    30: Precedence: bulk
    31: X-TM-ID: [ID filtered]
    32: X-Info: Message sent by sailthru.com customer PaymentsSource
    33: X-Info: We do not permit unsolicited commercial email
    34: X-Info: Please report abuse by forwarding complete headers to
    35: X-Info: abuse [at] sailthru.com
    36: X-Mailer: sailthru.com
    37: X-Unsubscribe-Web: https://link.email.paymentssource.com/oc/*snip*
    38: List-Unsubscribe: <https://link.email.paymentssource.com/oc/*snip*>, <mailto:
    39: *snip*@mx.sailthru.com>
    40: X-rpcampaign: stgrh16223494
    41: Content-Length: 33175
    42: Envelope-To: <*snip*>
    43: X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;
    44: X-Spam-Flag: NO

    Die Weiterleitung geht über whois:testoultra.blob.core.windows.net zur eigentlichen Werbeseite. Aber wie geht denn das? Wie bekommt Spammy seine Weiterleitung über Windows hin?

    whois:https://testoultra.blob.core.windows.net/host/molaks1.html
    "Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009
    Spende an Antispam / Hilfe für Neulinge / Forenregeln / Nettiquette / Das Antispam - Lexikon / Werden Sie Mitglied
    "Das Internet ist für uns alle Neuland." - Bundeskanzlerin Angela Merkel (19.06.2013)
    smayer@public-files.de smayer@fantasymail.de

  2. #2
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    8.097

    Standard

    Über einen meta refresh:
    Code:
    <meta http-equiv="refresh"content="0; url=http://cbdmail.pw/r.php?t=c&d=0&l=0&c=0&cr=1783">
    Für die Windows-User kann man diese recht einfach über die Windows Powershell ermitteln:
    Code:
    (Invoke-WebRequest -Uri "https://testoultra.blob.core.windows.net/host/molaks1.html").rawContent
    Das Ergebnis:
    Code:
    HTTP/1.1 200 OK
    Content-MD5: Ld8scRjS4pDOThUnDeinnA==
    x-ms-request-id: 954fd3ce-001e-009b-0db1-d8fae6000000
    x-ms-version: 2009-09-19
    x-ms-lease-status: unlocked
    x-ms-blob-type: BlockBlob
    Content-Length: 91
    Content-Type: text/html
    Date: Tue, 12 Mar 2019 08:54:00 GMT
    ETag: 0x8D6A3F3A7B5713E
    Last-Modified: Fri, 08 Mar 2019 18:27:00 GMT
    Server: Windows-Azure-Blob/1.0 Microsoft-HTTPAPI/2.0
    
    <meta http-equiv="refresh"content="0; url=http://cbdmail.pw/r.php?t=c&d=0&l=0&c=0&cr=1783">
    Sieht dann in Summe so aus:
    whois:http://cbdmail.pw/r.php?t=c&d=0&l=0&c=0&cr=1783
    whois:http://metacanal.com/?E=OxnVy4/3IqnjKL1u0dL/ejfQ7pxo0kCN&s1=0&s2=0_0&s3=0&s4=0
    whois:http://wallegg.com/?E=OxnVy4/3IqnjKL1u0dL/ejfQ7pxo0kCN&s1=0&s2=0_0&s3=0&s4=0&ckmguid=db0d05e0-f765-4c69-8fa8-03c1b12e636d
    whois:http://clik.fastrf.com/aff_c?offer_id=5278&aff_id=3080&source=11547&aff_sub=11547&aff_sub2=0&aff_sub3=9 7695993
    whois:https://vikingtrck.com/?a=292666&oc=3047&c=1369&s1=3080&s2=102cbb20752475dcd1065f7ef0b2ef&s3=11547
    whois:https://rx24enhancer.com/flux3/

    Um die Sahne tropfen zu lassen [TM]:
    Code:
    (1..60000).Foreach{ Invoke-WebRequest -Uri "https://testoultra.blob.core.windows.net/host/molaks1.html" | Out-Null }
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen