Seite 44 von 44 ErsteErste ... 34424344
Ergebnis 431 bis 440 von 440

Thema: niederländische Riesenspams

  1. #431
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    8.829

    Standard

    Zitat Zitat von kjz1 Beitrag anzeigen
    ...] eine Drecks-Affiliate-ID?
    Latürnich.
    Jedoch ist das Muster ganz interessant.

    Nach der ersten URL mit den beiden festen ID-Komponenten und den beiden variablen ID-Komponenten entscheidet die nächste URL zu welcher seriösen Firma es am Ende geht.
    whois:http://www.trackier2.com führt immer zu -> 7sections GmbH, Inside Lead GmbH, Verisure Deutschland GmbH, Bluereen Ltd., Portal Leads Ltd.
    whois:http://gotomaxinfo.com führt immer zu -> Living Vouchers Ltd., toleadoo GmbH
    whois:http://ad1.nat4trck7.com führt immer zu -> Pixel Perfect GmbH, red lemon media GmbH

    Kleiner Nachtrag:
    Das ist einfach Base64-codiert.
    Code:
    MjAyOTA5MDYyPTI2NDExJjI3MzY2NjU9ODImMTM1PWNsaWNrJm01dzY1PTQmbGlkPTcxNjg=
    wird dann zu
    Code:
    202909062=26411&2736665=82&135=click&m5w65=4&lid=7168
    -> <landing page>?202909062=26411&2736665=82&135=click&m5w65=4&lid=7168
    Geändert von schara56 (25.07.2020 um 14:46 Uhr) Grund: kleiner Nachtrag
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  2. #432
    Mitglied
    Registriert seit
    30.12.2007
    Beiträge
    476

    Standard

    (hatte den letzten Beitrag von shara56 nicht gesehen...)

    hoppala
    Geändert von hoppala (25.07.2020 um 20:11 Uhr) Grund: überflüssiger Beitrag

  3. #433
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    8.829

    Standard

    Wenn man die vielen, vielen Spams mal durchforstet kommt man auf folgende stets wiederkehrende, eindeutige Parameter:
    Code:
    202909062=11737
    202909062=24465
    202909062=24467
    202909062=24811
    202909062=24826
    202909062=26411
    202909062=29505
    202909062=30000
    202909062=30036
    202909062=30073
    202909062=30085
    202909062=30913
    202909062=32037
    202909062=32129
    202909062=32345
    202909062=32633
    202909062=32634
    202909062=32676
    202909062=32691
    202909062=32713
    202909062=32715
    2726663=82
    2727122=82
    2727239=82
    2727379=82
    2727516=82
    2727610=82
    2727754=82
    2727761=82
    2728104=82
    2728333=82
    2728508=82
    2728604=82
    2728727=82
    2729066=82
    2729142=82
    2729167=82
    2729371=82
    2729928=82
    2730053=82
    2730214=82
    2730342=82
    2730406=82
    2730685=82
    2731171=82
    2731475=82
    2731661=82
    2731717=82
    2732040=82
    2732113=82
    2732176=82
    2732242=82
    2732430=82
    2732656=82
    2733180=82
    2733262=82
    2733352=82
    2733776=82
    2733942=82
    2734100=82
    2734254=82
    2734543=82
    2734601=82
    2734618=82
    2734647=82
    2734920=82
    2735128=82
    2735579=82
    2735689=82
    2735799=82
    2736226=82
    2736665=82
    2737059=82
    2737085=82
    2737105=82
    2737129=82
    2737203=82
    2737221=82
    2737252=82
    2738969=82
    2767344=82
    135=click
    m5w65=4
    m5w6b=4
    m5w6n=4
    m5w6o=4
    m5w6p=4
    m5w6r=4
    m5w6s=4
    m5w8w=4
    m5w96=4
    m5wcb=4
    lid=7168
    Meine Vermutung hierbei: die konstanten Elemente (202909062, 82, 4, 7168) dürften Spammy identifizieren, die variablen Elemente dienen dann zur Diversifizierung zwischen den verschiedenen Affiliate-Programmen.
    135=click bestätigt Spammy wohl, dass auf den Link geklickt wurde.

    Zudem sind Kombinationen der Parameter an die jeweilige Landing-Page (eg whois:topic.nosathe.de, whois:bag.parcimenter.de) gebunden.
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  4. #434
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    8.829

    Standard

    14.07.2020: 24 Spams
    15.07.2020: 25 Spams
    16.07.2020: 24 Spams
    17.07.2020: 25 Spams
    18.07.2020: 2 Spams
    19.07.2020: 0 Spams
    20.07.2020: 22 Spams
    21.07.2020: 29 Spams
    22.07.2020: 27 Spams
    23.07.2020: 23 Spams
    24.07.2020: 18 Spams
    25.07.2020: 1 Spam
    26.07.2020: 0 Spams
    27.07.2020: 21 Spams

    Was waren wohl jeweils der Samstag und der Sonntag (ohne in den Kalender zu schauen)?
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  5. #435
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    8.829

    Standard

    Der übliche Abo-Dreck:


    header:
    01: Received: from molestiaezhax.bizaglo.de ([81.30.146.46]) by mx-ha.gmx.net
    02: (mxgmx114 [212.227.17.5]) with ESMTP (Nemesis) ID: [ID filtered]
    03: for <x>; Tue, 28 Jul 2020 xx:xx:xx +0200
    Beworbene Domain IP Adresse(n) Weiterleitung (j/n)
    whois:http://trystay.de
    /rd
    /*schnapp*
    whois:45.252.188.102 [X] ja / [ ] nein
    whois:http://trystay.de
    /track
    /*schnapp*
    whois:45.252.188.102 [X] ja / [ ] nein
    whois:https://honest-digi.com
    /0
    /2
    /2425
    /*schnapp*
    /3
    /339-1148
    /*schnapp*
    whois:192.3.34.74 [X] ja / [ ] nein
    whois:https://jupsmenu.com
    /*schnapp*
    /index_2.php?s1=350259
    &s2=*schnapp*
    &s3=1383
    &s4=467
    &ow=17
    whois:2606:4700:3036::ac43:93ce
    whois:2606:4700:3035::681b:a28b
    whois:2606:4700:3030::681b:a38b
    whois:104.27.163.139
    whois:172.67.147.206
    whois:104.27.162.139
    [X] ja / [ ] nein
    whois:https://metalssmile.com
    /*schnapp*
    /?*schnapp*
    whois:2606:4700:3030::681f:4f4b
    whois:2606:4700:3035::ac43:cf91
    whois:2606:4700:3033::681f:4e4b
    whois:104.31.78.75
    whois:172.67.207.145
    whois:104.31.79.75
    [ ] ja / [X] nein

    Zum Beschiss bitte hier entlang:
    Beworbene Domain IP Adresse(n) Weiterleitung (j/n)
    whois:https://voldrips.com
    /click?trvid=10243
    &s2=jjhitjj
    &s1=xxagentidxx
    &s3=xxprogidxx
    &s4=
    &ow=17
    whois:3.126.48.135
    whois:3.125.239.17
    [X] ja / [ ] nein
    whois:https://www.ru3s4trk.com
    /*schnapp*
    /*schnapp*
    /?source_id=BC6DC089
    &sub1=48
    &sub2=*schnapp*
    whois:35.244.245.136 [X] ja / [ ] nein
    whois:https://myextrareward.com
    /de
    /4
    /index?c=958
    &affId=BC6DC089
    &c1=48
    &c2=*schnapp*
    &c3=*schnapp*
    &c4=
    whois:54.72.65.246 [ ] ja / [X] nein
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  6. #436
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    8.829

    Standard

    Die SubID 10R gibt es auch hier.

    header:
    01: Received: from pick.karlshavn.de ([31.210.104.60]) by mx-ha.gmx.net (mxgmx016
    02: [212.227.15.9]) with ESMTP (Nemesis) ID: [ID filtered]
    03: <x>; Wed, 29 Jul 2020 xx:xx:xx +0200
    Beworbene Domain IP Adresse(n) Weiterleitung (j/n)
    whois:http://bag.parcimenter.de
    ?*schnapp*
    whois:45.133.179.173 [X] ja / [ ] nein
    whois:http://gotomaxinfo.com
    /r
    /*schnapp*
    /
    /*schnapp*
    /*schnapp*
    /
    whois:51.222.35.112
    whois:185.176.222.119
    [X] ja / [ ] nein
    whois:https://trckkk.com
    /,mediamarkt,750_36.html
    ?idPartner=26
    &idCampaignAd=0
    &subId=10R
    &subIdentifier=*schnapp*
    whois:52.29.98.107 [X] ja / [ ] nein
    whois:https://preis53.happyumfragen.com
    /campaign_53.html
    ?coyoteAffiliTokenId=11395263
    &
    whois:52.29.98.107 [ ] ja / [X] nein

    Das ist doch merkwürdig: die Testdaten, welche an Greenflamingo übermittelt wurden, werden jetzt auch hier verwendet.

    header:
    01: Received: from completely.airstadaps.pro ([99.198.102.87]) by mx-ha.gmx.net
    02: (mxgmx102 [212.227.17.5]) with ESMTP (Nemesis) ID: [ID filtered]
    03: for <x>; Wed, 29 Jul 2020 xx:xx:xx +0200
    Beworbene Domain IP Adresse(n) Weiterleitung (j/n)
    whois:http://completely.airstadaps.pro
    ?*schnapp*
    whois:99.198.102.87 [X] ja / [ ] nein
    whois:http://zharewardss.com
    /r
    /*schnapp*
    /
    /*schnapp*
    /*schnapp*
    /
    whois:146.71.76.123
    whois:86.106.113.138
    [X] ja / [ ] nein
    whois:https://zharewardss.com
    /r2
    /*schnapp*
    /
    /*schnapp*
    /*schnapp*
    /*schnapp*
    /?fctr=0
    whois:146.71.76.123
    whois:86.106.113.138
    [X] ja / [ ] nein
    whois:https://smallbaobab.com
    /index.php?brand=brand
    &t202kw=M14.DE.WEB
    &clickid=*schnapp*
    &pubid=19B
    &isplit=c3
    &wsplit=c4
    &i=*schnapp*
    &c5=c5
    &c6=c6
    &c7=c7
    &subindex=subindex
    &rg=*schnapp*
    &t=*schnapp*
    whois:104.238.196.199 [X] ja / [ ] nein
    whois:https://ticketsurveys.com
    /?*schnapp*
    whois:104.238.196.199 [ ] ja / [X] nein
    Geändert von schara56 (30.07.2020 um 16:09 Uhr) Grund: Nachschlag
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  7. #437
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    8.829

    Standard Spam für Inside Lead GmbH / ebike-auswahl24.com


    header:
    01: Received: from mighty.forestard.de ([173.236.85.12]) by mx-ha.gmx.net
    02: (mxgmx114 [212.227.17.5]) with ESMTP (Nemesis) ID: [ID filtered]
    03: for <x>; Thu, 30 Jul 2020 xx:xx:xx +0200
    Beworbene Domain IP Adresse(n) Weiterleitung (j/n)
    whois:http://mighty.forestard.de
    ?*schnapp*
    whois:173.236.85.12 [X] ja / [ ] nein
    whois:https://www.trackier2.com
    /*schnapp*
    /*schnapp*
    /?sub2=*schnapp*
    &sub3=*schnapp*
    whois:34.107.192.170 [X] ja / [ ] nein
    whois:https://www.uninavum.com
    /click
    /*schnapp*
    ?cid=*schnapp*
    &affid=1001
    whois:54.189.245.226
    whois:52.88.128.21
    whois:54.149.183.175
    [X] ja / [ ] nein
    whois:https://www.uninavum.com
    /main
    /d.php?s=1
    &link=*schnapp*
    whois:54.189.245.226
    whois:52.88.128.21
    whois:54.149.183.175
    [X] ja / [ ] nein
    whois:http://ebike-auswahl24.com
    /?PR_ID=AF-gps142-7595
    &token-id=*schnapp*
    &sub-id=
    &sub-id2=
    &
    whois:213.238.42.217 [ ] ja / [X] nein
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  8. #438
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    8.829

    Standard Spam für CEOO Marketing GmbH / mac-gts.1a-gewinner.de


    header:
    01: Received: from fontzowtis.nl ([31.210.106.162]) by mx-ha.gmx.net (mxgmx014
    02: [212.227.15.9]) with ESMTP (Nemesis) ID: [ID filtered]
    03: <x>; Thu, 30 Jul 2020 xx:xx:xx +0200
    Beworbene Domain IP Adresse(n) Weiterleitung (j/n)
    whois:http://bag.parcimenter.de
    ?*schnapp*
    whois:45.133.179.173 [X] ja / [ ] nein
    whois:http://gotomaxinfo.com
    /r
    /*schnapp*
    /
    /*schnapp*
    /*schnapp*
    /
    whois:185.176.222.119
    whois:51.222.35.112
    [X] ja / [ ] nein
    whois:https://gewinn-ometer.com
    /de,porsche,macan,gts,2020,aff_1471.html
    ?idPartner=1042
    &idCampaignAd=0
    &subId=10R
    &subIdentifier=*schnapp*
    whois:130.255.79.239 [X] ja / [ ] nein
    whois:https://mac-gts.1a-gewinner.de
    /campaign_2354.html
    ?coyoteAffiliTokenId=393491525
    &
    whois:130.255.79.239 [ ] ja / [X] nein

    Code:
    CEOO Marketing GmbH
    Hedwigstrasse 3
    
    8032 Zürich
    
    Schweiz
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  9. #439
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    8.829

    Standard

    Aufschlussreiche Verhaltensmuster.
    1) Dienstag ist Großspamtag.
    2) Samstag ist eher ein Ruhetag.
    3) Sonntag ist ein Ruhetag
    4) Und grundsätzlich wird ausgeschlafen und nicht vor 10.00 Uhr mit dem Tagwerk begonnen.

    In Summe habe ich dann 476 eindeutige URLs welche seit dem 01.07.2020 beworben werden.
    Angehängte Grafiken Angehängte Grafiken
    Geändert von schara56 (01.08.2020 um 14:25 Uhr) Grund: Update auf Monatsende
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  10. #440
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    8.829

    Standard Spam für Inside Lead GmbH / ebike-auswahl24.com


    header:
    01: Received: from government.forestard.de ([173.236.85.7]) by mx-ha.gmx.net
    02: (mxgmx016 [212.227.15.9]) with ESMTP (Nemesis) ID: [ID filtered]
    03: for <x>; Sat, 01 Aug 2020 xx:xx:xx +0200
    Beworbene Domain IP Adresse(n) Weiterleitung (j/n)
    whois:http://government.forestard.de
    ?*schnapp*
    whois:173.236.85.7 [X] ja / [ ] nein
    whois:https://www.trackier2.com
    /*schnapp*
    /*schnapp*
    /?sub2=*schnapp*
    &sub3=*schnapp*
    whois:34.107.192.170 [X] ja / [ ] nein
    whois:https://www.uninavum.com
    /click
    /*schnapp*?cid=*schnapp*
    &affid=1001
    whois:52.88.128.21
    whois:54.189.245.226
    whois:54.149.183.175
    [X] ja / [ ] nein
    whois:https://www.uninavum.com
    /main
    /d.php?s=1
    &link=*schnapp*
    whois:52.88.128.21
    whois:54.189.245.226
    whois:54.149.183.175
    [X] ja / [ ] nein
    whois:http://ebike-auswahl24.com
    /?PR_ID=AF-gps142-7595
    &token-id=*schnapp*
    &sub-id=
    &sub-id2=
    &
    whois:213.238.42.217 [ ] ja / [X] nein
    Angehängte Grafiken Angehängte Grafiken
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

Seite 44 von 44 ErsteErste ... 34424344

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen