Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 12

Thema: bit.ly und andere short URL Provider

  1. #1
    Mitglied Avatar von nlnn
    Registriert seit
    21.04.2011
    Beiträge
    187

    Beitrag bit.ly und andere short URL Provider

    Derzeit fällt mir eine besonders hohe Dichte an Spam mit bit.ly Links auf (aber auch andere url shortner).

    postfix kann das leicht abwehren, aber es ist auch eine besonders harte Methode in den body_checks.pcre:
    Code:
    /(L2JpdC5seS8|bit\.ly\/)/  REJECT suspicious shortcut URL
    Inzwischen habe ich einen Filter, dessen Output über das Support Formular weiter gegeben werden kann. Aber offensichtlich sind diese Links auch nach 2 Tagen noch immer erreichbar.
    Kennt jemand das Verfahren bei bit.ly besser oder sollte man die Links einfach weiterhin ablehnen?
    Geändert von nlnn (17.09.2020 um 11:57 Uhr)
    Chuck Norris isst keinen Honig, er kaut die Bienen!

  2. #2
    Senior Mitglied Avatar von RA Meier-Bading
    Registriert seit
    17.07.2005
    Beiträge
    4.130

    Standard

    Hier auch zu Hauf. Wenn man die URL mit wget aufruft, landet man über ein paar Weiterleitungen bei duckduckgo, im Browser möchte ich sie lieber nicht aufrufen.
    Markant sind die immer wechselnden Sonderzeichen im Subject:
    Re:⭐[Emailadresse] (Nummer)

  3. #3
    Mitglied Avatar von nlnn
    Registriert seit
    21.04.2011
    Beiträge
    187

    Standard

    Code:
    /(LmR1Y2tkbnMub3JnL|\.duckdns\.org\/)/
    ist auch einer dieser Kandidaten
    Diese Weiterleitungen zu duckduck finden offensichtlich dann statt, wenn die eigene abgehende ip bzw. der Agent erkannt werden. Hier hilft es evtl. curl mit anderer Agent Angabe auszuführen.
    Code:
    curl -A "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:59.0) Gecko/20100101 Firefox/59.0" https://bit.ly/2grml
    Chuck Norris isst keinen Honig, er kaut die Bienen!

  4. #4
    Mitglied Avatar von nlnn
    Registriert seit
    21.04.2011
    Beiträge
    187

    Standard

    Um an die Empfänger Adresse zu gelangen hilft es im Browser ein '+' Zeichen bei bit.ly
    anzuhängen um an die tatsächliche Dest zu kommen.
    Besonders häufig fällt dann whois:[URL]http://19682799699.onestreete.com/index[/URL] mit
    wechselnden Ziffern auf.
    Beispiel:
    Code:
    curl -v -A "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:59.0)
    Gecko/20100101 Firefox/59.0" https://bit.ly/3mlcIZv 2>&1 | less
    Auf der commandline ohne plus findet sich diese Angabe im Header unter "(^)location: ..."
    bzw. natürlich im Body als "href".
    Offensichtlich wird besonders viel davon über die Server
    whois:...outbound.protection.outlook.com abgekippt.

    Am Ende geht es dann über bitcoin Weiterleitungen zu einer Seite, die vorgibt "ZEIT
    ONLINE" zu sein: whois:[URL]http://gerotota.vip/?pl=[/URL]<identifier>&n=<base64 in
    base64>
    wo uns Frank Elstner vorgegauckelt wird.

    Löst man die ganzen base64 auf kommt der Forwarder zum Vorschein
    whois:pl.bitcoinbillionarie.gerotota.vip und
    whois:dh.crypto-codeapp.gerotota.vip/
    Geändert von cmds (17.09.2020 um 14:18 Uhr) Grund: anonymisiert
    Chuck Norris isst keinen Honig, er kaut die Bienen!

  5. #5
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    8.629

    Standard

    Ist wohl einer der schon länger aktiven Ganoven, siehe z. Bsp. hier:http://www.antispam-ev.de/forum/show...l=1#post446068
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  6. #6
    Mitglied Avatar von nlnn
    Registriert seit
    21.04.2011
    Beiträge
    187

    Standard

    ACK - Danke für den Querverweis
    Chuck Norris isst keinen Honig, er kaut die Bienen!

  7. #7
    Mitglied Avatar von nlnn
    Registriert seit
    21.04.2011
    Beiträge
    187

    Standard Wenn die Welle abflacht

    Und wenn sich die Welle wieder gelegt hat kann man postfix entschärfen, statt REJECT reicht dann WARN für weitere Analysen.
    Die Ergebnisse lassen sich dann besser prüfen mit
    Code:
    _Link=https://<gefundene URL>
    _Agent=<search for list-of-user-agent-strings>
    curl -sSL -D - -A "${_Agent}" "${_Link}" -o /dev/null | grep -Po '(?<=location:)[^,]*'
    Geändert von nlnn (17.09.2020 um 16:43 Uhr)
    Chuck Norris isst keinen Honig, er kaut die Bienen!

  8. #8
    Mitglied Avatar von nlnn
    Registriert seit
    21.04.2011
    Beiträge
    187

    Standard

    Wenn die Response location: https://bitly.com/a/warning?... zurück gibt, kann man ein paar Pünktchen vergeben und den restlichen Milter seine Arbeit verrichten lassen. Dieser Link kann Nutzern nicht mehr direkt schaden.

    Hat jemand eine Idee/lua für eine rspamd Erweiterung?
    Chuck Norris isst keinen Honig, er kaut die Bienen!

  9. #9
    Mitglied Avatar von nlnn
    Registriert seit
    21.04.2011
    Beiträge
    187

    Standard

    Ein anderer Kandidat ist derzeit whois:[URL]https://<alpha>.page.link/<alpha>[/URL], wobei alpha beliebig lange sinnlos erscheinende Zeichen sind. Der nächste in der Kette whois:www.smartdrops.club geht erst zum Tracker whois:w.trk180.com, die Bitcoins gibt es dann bei whois:trustableoffering.org unter /bitcoin-code-1-step, damit führt das alles zusammen zu - vorher whois:thebitcoinscode.com.
    Somit ist whois:page.link wohl derzeit auch so ein Sperrkandidat.
    Chuck Norris isst keinen Honig, er kaut die Bienen!

  10. #10
    Mitglied Avatar von nlnn
    Registriert seit
    21.04.2011
    Beiträge
    187

    Standard

    Damit die Suche aus den Logs erfolgreich klappt sollte man den grep aus #7 so abändern, dass er klein/groß nimmt und tatsächlich gibt es Kommas in den Resultaten
    Code:
    grep -Po '(?<=(L|l)ocation:)[^$]*'
    Chuck Norris isst keinen Honig, er kaut die Bienen!

Seite 1 von 2 12 LetzteLetzte

Stichworte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen