PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Spammer und ihr DNS



Goofy
12.02.2006, 20:27
Nur, um einmal einen Eindruck zu verschaffen, was die Spammer momentan alles unternehmen, um ihre Domains zu schützen:



awesomereplicawatches1.com. A IN 86400 221.11.133.147

awesomereplicawatches1.com. NS IN 86400 ns8.r3questx.com.

awesomereplicawatches1.com. NS IN 86400 ns9.c0mpany4.com.

awesomereplicawatches1.com. NS IN 86400 ns9.c0olcatz.com.

awesomereplicawatches1.com. NS IN 86400 ns9.r3questx.com.

awesomereplicawatches1.com. NS IN 86400 ns1.c0mpany4.com.

awesomereplicawatches1.com. NS IN 86400 ns1.c0olcatz.com.

awesomereplicawatches1.com. NS IN 86400 ns1.r3questx.com.

awesomereplicawatches1.com. NS IN 86400 ns2.c0mpany4.com.

awesomereplicawatches1.com. NS IN 86400 ns2.c0olcatz.com.

awesomereplicawatches1.com. NS IN 86400 ns2.r3questx.com.

awesomereplicawatches1.com. NS IN 86400 ns3.c0mpany4.com.

awesomereplicawatches1.com. NS IN 86400 ns3.c0olcatz.com.

awesomereplicawatches1.com. NS IN 86400 ns3.r3questx.com.

awesomereplicawatches1.com. NS IN 86400 ns4.c0mpany4.com.

awesomereplicawatches1.com. NS IN 86400 ns4.c0olcatz.com.

awesomereplicawatches1.com. NS IN 86400 ns4.r3questx.com.

awesomereplicawatches1.com. NS IN 86400 ns5.c0mpany4.com.

awesomereplicawatches1.com. NS IN 86400 ns5.c0olcatz.com.

awesomereplicawatches1.com. NS IN 86400 ns5.r3questx.com.

awesomereplicawatches1.com. NS IN 86400 ns6.c0mpany4.com.

awesomereplicawatches1.com. NS IN 86400 ns6.c0olcatz.com.

awesomereplicawatches1.com. NS IN 86400 ns6.r3questx.com.

awesomereplicawatches1.com. NS IN 86400 ns7.c0mpany4.com.


3 DNS-Domains mit über 20 Subdomains sichern das DNS für diesen Uhrenladen - neben vielen anderen dort gehosteten Spammerdomains.

schara56
12.02.2006, 21:28
3 DNS-Domains mit über 20 Subdomains
Soweit ich das sehe sind das jeweils nur A-Einträge (ns1.c0mpany4.com etc.)

Ja, die haben sich echt Gedanken gemacht, wie man providerunabhängig das DNS aufzieht.
Folgende Gemeinsamkeiten haben alle Zonen:
1. Alle Zonen sind exakt 8 Zeichen lang (ohne TLD / ausgenommen awesomereplicawatches1.com)
2. Alle Zonen sind identisch von den SOA-Angaben
3. Alle Zonen (ausgenommen von awesomereplicawatches1.com) haben 9 NS-Einträge
4. www.awesomereplicawatches1.com zeigt immer auf den ns1.jeweilige Domain.com
5. Für keine der NS IP-Adressen existiert ein Pointereintrag

Die Überlappung der NS-Einträge bezogen auf die jeweilige IP-Adresse des Nameservers ist interessant.
Egal wer die gerade abklemmt; durch die vielen Nameserver bleibt die Zone und damit der Inhalt vom DNS
gut erreichbar.
Was mich ein bisschen wundert ist die relative hohe TTL für die Zoneneinträge.

BTW: bei dem Thread http://www.antispam-ev.de/forum/showthread.php?t=9882&page=3 wurde die Technik wieder vollkommen auf dynamische IP-Adressen der Nameserver umgestellt. Leider verlieren die Spammertrottel nach ca. 2 Tagen aufgrund von Beschwerden Ihre Domain wieder (ICANN und die Registrare kicken die jetzt recht zuverlässig raus). :clown:

SOA-Eintrag awesomereplicawatches1.com
Registrar: BEST REGISTRATION SERVICES, INC
Primary DNS server: ns1.managednameservers.com.
Responsible Name: techsupport [at] managednameservers.com.
Serial: 2006020703
Refresh: 10800 (3h)
Retry: 3600 (1h)
Expire: 604800 (1w)
Minimum/NegTTL: 86400 (1d)


SOA-Eintrag c0mpany4.com
Registrar: NETWORK SOLUTIONS, LLC.
Primary DNS server: ns1.managednameservers.com.
Responsible Name: techsupport [at] managednameservers.com.
Serial: 2006012601
Refresh: 10800 (3h)
Retry: 3600 (1h)
Expire: 604800 (1w)
Minimum/NegTTL: 86400 (1d)
ns1.c0mpany4.com 221.11.133.147 CNC Group Hainan province network
ns2.c0mpany4.com 221.4.152.197 CNC Group Guangdong province network
ns3.c0mpany4.com 221.4.152.198 CNC Group Guangdong province network
ns4.c0mpany4.com 59.188.1.173 I-Services (HK) Ltd
ns5.c0mpany4.com 61.31.214.74 Taiwan Fixed Network CO.,LTD.
ns6.c0mpany4.com 211.144.147.200 Beijing Xiao Xiang Commerce Co.,Ltd

SOA-Eintrag c0olcatz.com
Registrar: NETWORK SOLUTIONS, LLC.
Primary DNS server: ns1.managednameservers.com.
Responsible Name: techsupport [at] managednameservers.com.
Serial: 2006012601
Refresh: 10800 (3h)
Retry: 3600 (1h)
Expire: 604800 (1w)
Minimum/NegTTL: 86400 (1d)
ns1.c0olcatz.com 221.11.133.147 CNC Group Hainan province network
ns2.c0olcatz.com 221.4.152.197 CNC Group Guangdong province network
ns3.c0olcatz.com 61.31.214.173 Taiwan Fixed Network CO.,LTD
ns4.c0olcatz.com 59.188.1.173 I-Services (HK) Ltd
ns5.c0olcatz.com 61.31.214.74 Taiwan Fixed Network CO.,LTD.
ns6.c0olcatz.com 211.144.147.200 Beijing Xiao Xiang Commerce Co.,Ltd

SOA-Eintrag r3questx.com
Registrar: NETWORK SOLUTIONS, LLC.
Primary DNS server: ns1.managednameservers.com.
Responsible Name: techsupport [at] managednameservers.com.
Serial: 2006012601
Refresh: 10800 (3h)
Retry: 3600 (1h)
Expire: 604800 (1w)
Minimum/NegTTL: 86400 (1d)
ns1.r3questx.com 221.11.133.147 CNC Group Hainan province network
ns2.r3questx.com 221.11.133.148 CNC Group Hainan province network
ns3.r3questx.com 61.31.214.173 Taiwan Fixed Network CO.,LTD.
ns4.r3questx.com 59.188.1.173 I-Services (HK) Ltd
ns5.r3questx.com 61.31.214.74 Taiwan Fixed Network CO.,LTD.
ns6.r3questx.com 211.144.147.200 Beijing Xiao Xiang Commerce Co.,Ltd

Goofy
12.02.2006, 22:49
Was mich ein bisschen wundert ist die relative hohe TTL für die Zoneneinträge.


Bei vielen Spammerdomains sieht man typischerweise sehr kurze TTL-Werte, z.B. 5 min. oder noch kürzer - wie auch bei den dynamischen, auf botnets laufenden Nameservern.

Längere TTL-Zeiten haben vielleicht den Zweck, die Domain noch länger in den Caches der Public- und Provider-Nameserver zu halten, wenn sie mal vom Registrar abgeschossen wurde.
Die Spammer probieren da aber viel hin und her, für mich ist es unklar, ob die immer selbst wissen, was sie da machen.

Die Aufteilung der ns-Domains auf 9 verschiedene IP´s:

221.7.209.68
221.11.133.97
221.12.161.103
211.144.147.200
61.31.214.74
59.188.1.173
61.31.214.173
221.4.152.197
221.11.133.147

soll wohl eine Art Load-Balancing gegen Attacken bezwecken, sowie zusätzliche Sicherheit, falls einer der Server ausfällt.
Die Spammer scheinen eine Menge Schiß um ihre Domains zu haben.

Für die 211.144.147.200 gibt es übrigens zwei Listings bei Spamhaus.

http://www.spamhaus.org/sbl/sbl.lasso?query=SBL27765 Daniel Mankani
http://www.spamhaus.org/sbl/sbl.lasso?query=SBL37201 Leo Kuvayev

Vermutlich ist Leo der Webhoster, der die IP´s kontrolliert (die übrigen sind bei Spamhaus nicht gelistet).

kjz1
13.02.2006, 10:11
Ist wahrscheinlich 'Luxury Replica' Spam? Wunderte mich auch schon, denn der Spam sah ganz nach Leos Handschrift aus, angeblich soll aber laut Spamhaus Mankani dahinterstecken. Eine Kooperation würde mich aber nicht wundern, denn Leo macht ja in Spam 'en gros' und scheint da mit einigen anderen zu kooperieren.

- kjz

schara56
13.02.2006, 11:43
Schöne Beispielmail für Replikaspam:

Return-Path: <marcusdickersonyy [at] pandore.qc.ca>
X-Flags: 0000
Delivered-To: GMX delivery to xxx
Received: from xxx [82.149.228.140]
by localhost with POP3 (fetchmail-6.2.5.2)
for xxx (single-drop); Mon, 13 Feb 2006 xx:xx:xx +0100 (CET)
Received: from glide.net.in ([195.115.115.10])
by xxx (8.12.10/8.12.10) with SMTP ID: [ID filtered]
for <xxx>; Mon, 13 Feb 2006 xx:xx:xx +0100
Message-ID: [ID filtered]
From: "Marcus Dickerson" <marcusdickersonyy [at] pandore.qc.ca>
To: xxx
Subject: {Spam?} Your woman wants a replica
Date: Mon, 13 Feb 2006 xx:xx:xx -0400
MIME-Version: 1.0
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1158
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
X-MailScanner: Found to be clean
X-MailScanner-SpamCheck: spam, SpamAssassin (Wertung=10.305, benoetigt 6,
BAYES_99 5.40, RCVD_IN_BL_SPAMCOP_NET 1.50, RCVD_IN_DSBL 0.71,
RCVD_IN_DYNABLOCK 2.60, RCVD_IN_SORBS 0.10)
X-MailScanner-SpamScore: ssssssssss
X-MailScanner-From: marcusdickersonyy [at] pandore.qc.ca
X-Collected-By: GMX/xxx
X-GMX-Antivirus: 0 (no virus found)
X-GMX-Antispam: 2 (GMX Team content blacklist)
X-GMX-UID: [UID filtered]

Get the Finest Rolex Watch Replica

We only sell premium watches. There's no battery in these replicas just
like the real ones since they charge themselves as you move. The second
hand moves JUST like the real ones, too. These original watches sell in
stores for thousands of dollars. We sell them for much less.

- Replicated to the Smallest Detail

- 98% Perfectly Accurate Markings lol - wenn die schon sagen 98 % am Original tippe ich auf eine Haltbarkeit von 12 bis mittag. Wie sieht dann wohl die Reklamation aus :clown:?

- Signature Green Sticker w/ Serial Number on Watch Back

- Magnified Quickset Date

- Includes all Proper Markings

Visit us: http://thegenuinewatchs.info/

/Marcus

SOA-Eintrag für thegenuinewatchs.info (221.11.133.147):
Sponsoring Registrar:eNom, Inc. (R126-LRMS)
Primary DNS server: ns1.managednameservers.com.
Responsible Name: techsupport [at] managednameservers.com
Serial: 2006020703
Refresh: 10800 (3h)
Retry: 3600 (1h)
Expire: 604800 (1w)
Minimum/NegTTL: 86400 (1d)

sis
13.02.2006, 13:30
lol - wenn die schon sagen 98 % am Original tippe ich auf eine Haltbarkeit von 12 bis mittag. Wie sieht dann wohl die Reklamation aus?Wie an anderer Stelle bereits erwähnt, hatte ich mir 1999 in Bangkok selber eine handvoll Rolex-Quartzuhren für je 20 US$ auf einem der vielen dortigen Marktstände gekauft (der Mengenpreis stimmt wirklich). Rolex-Automatik-Uhren gab es je nach Verhandlungsgeschick schon ab 40 US-$.

Die Replica-Uhren hatten (zumindest damals) eine ausgezeichnete Qualität und stammten entweder aus Thailand oder aus Hong Kong. Auch wenn das "Gold" nur sehr dünn aufgetragen war, von Wasserdichtigkeit nicht die Rede sein konnte, und die "Diamanten" wohl aus geschliffenem Glas waren, konnte man nichts gegen das Preis-/Leistungsverhältnis sagen.

Ob der um 500-1.000% überhöhte Spammer-Preis gerechtfertig ist, bleibt dahingestellt. Ach ja, die Uhren hatte ich damals ohne Gewinn an Freunde weitergegeben (ich bevorzuge Casio). Nicht dass hier noch eine Hausdurchsuchung stattfindet.

kjz1
13.02.2006, 20:59
Ob der um 500-1.000% überhöhte Spammer-Preis gerechtfertig ist, bleibt dahingestellt.

Und genau das ist der Punkt. Irgendwoher müssen die Spammer ja ihre (leider) fetten Gewinne einstecken, also sind die Preise in den Spammerbuden für die gebotene Leistung masslos überteuert. Auch das scheint die DAUs nicht zu stören, die da kaufen. Na ja, wenn die Ware (mindestens) aus der legalen Grauzone stammt...

- kjz

Goofy
05.03.2006, 14:01
Inzwischen hat die Domain "awesomereplicawatches1.com" leider einen höchst bedauerlichen DNS-Kollaps erlitten. :p
Und zwar zusammen mit 111 anderen, ebenfalls auf dieser Nameserverbatterie gehosteten Klunkeruhrendomains, s. hier:
http://www.spamhaus.org/sbl/sbl.lasso?query=SBL36397
:D :smoke:

Thoni
26.04.2006, 11:54
Moin.

bin auch auf diese Spamseite von luxury replica gestossen und wollte mir sogar eine Uhr bestellen.

Kommen die überhaut an??

Was ist mit dem Zoll??

Kann mir da einer helfen??

Stalker2002
26.04.2006, 12:13
Moin.

bin auch auf diese Spamseite von luxury replica gestossen und wollte mir sogar eine Uhr bestellen.
[...]
Kann mir da einer helfen??
Wer dort wirklich bestellen will, dem kann keiner mehr helfen.:sick:

MfG
L.
(mit dem Kopf auf die Tastatur hämmernd)

Wuschel_MUC
26.04.2006, 12:40
Wer dort wirklich bestellen will, dem kann keiner mehr helfen.:sick:
Nur, wenn er die Uhr wirklich haben wollte. Ich nehme aber an, der Kollege wollte ausprobieren, was im Fall einer Bestellung passiert.

z.B:
- geht das nur auf Vorkasse / Kreditkarte?
- bekommt man vom Lieferanten eine Adresse (in Hongkong oder so)?
- wird dann wirklich geliefert?
- Wird einem die Ware vom Zoll wieder abgeknöpft?

Weiß jemand, was die Hersteller der Originalware in solchen Fällen machen?

Wuschel

Goofy
26.04.2006, 17:29
Ich nehme mal an, dort wird über Kreditkarte abgerechnet. Ich persönlich hätte aber wirklich keine Lust, das auszuprobieren. :sick:

Man sollte bedenken, dass man dabei chinesischen Produktfälschern und russischen kriminellen Spammerbanden mit direktem Draht zur Russenmafia folgendes ausliefert:

-seine Personalien
-seine Kreditkartennummer

Man sollte sich dann aber nicht wundern, wenn:

-man eine nachgemachte Uhr teils miesester chinesischer Machart erhält

-die Bande die Personaldaten und Kartennummer dann für Identitätsbetrug weiterverwendet

-der Zoll evtl. die Ware beschlagnahmt (theoretisch möglich. ->Produktpiraterie!).