PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Cleverer(?) Spammer-Trick?



kjz1
16.05.2006, 21:04
Habe heute einen Medz-Spam mit 'seltsam cleverem' Whois erhalten. Selbstverständlich bei unseren 'Freunden' in D'dorf registriert:

domain: pillsdirect.net ---> 222.122.20.169 ---> KORNET
owner: Christopher Shepherds
email: webmaster [at] invalid-dns.com
address: Belushis Bar
address: 13-15 Bush Green
city: London
state: --
postal-code: W12
country: GB
phone: +44 207 403 7715
admin-c: webmaster [at] invalid-dns.com#0
tech-c: webmaster [at] invalid-dns.com#0
billing-c: webmaster [at] invalid-dns.com#0
reseller: Please contact us for all enquires regarding this
reseller: domain. We are managing this domain until issues
reseller: have been resolved. abuse [at] domaindisbutes.com
nserver: ns1.pillsdirect.net 222.122.20.169
nserver: ns2.pillsdirect.net 222.122.20.169
status: lock
created: 2006-05-15 xx:xx:xx UTC
modified: 2006-05-16 xx:xx:xx UTC
expires: 2007-05-15 xx:xx:xx UTC

Dazu 3 Bemerkungen:

- Selbstverständlich lösen die Nameserver zu einer (bei SBL bekannten) IP in Korea auf.

- invalid-dns.com ist eine Domain wie jede andere. Da sollte schon 'Registrar Hold' stehen, wenn die Domain tatsächlich abgeklemmt wäre.

- domaindisbutes.com gibt es nicht, und Domain Disputes schreibt sich auch anders.

Also ein sich vermeintlich 'oberschlau' gebährender Spammer?

- kjz

Wurgl
16.05.2006, 21:12
Niemals whois Daten veröffentlichen!

So macht man das: http://www.pillsdirect.net

Goofy
16.05.2006, 21:19
Ungültiger Parameter
Ist das wirklich eine gute Idee, Wurgl? :confused:

Bei Spammerdomains mit offensichtlich gefälschtem whois würde ich das nicht immer ganz so eng sehen, solange es keine DENIC-Domain ist, und solange keine Falschdaten tatsächlich existierender, Unbeteiligter da drinstehen.

kjz1
16.05.2006, 22:31
Niemals whois Daten veröffentlichen!

Das sehe ich in DIESEM Fall nicht so eng: erstens ist es nicht DENIC und zweitens sind die Daten von A-Z gefälscht. Es gibt keine unschuldig Beteiligten. Wen soll man da schonen: den Spammer? Ich wäge da schon ab, keine Sorge. Aber in diesem Fall war es auch zur Verdeutlichung der Spammer-Taktik geboten.

- kjz

Mycroft
17.05.2006, 04:11
Also, das sollte man schon veröffentlichen.
Es gibt nämlich ein ein Jugendhotel namens "St Christopher's Shepherds Bush" in London, England (War da mal vor Jahren...), per Adresse
Belushis Bar, 13-15 Shepherds Bush Green, London. W12 (http://www.hostels.com/de/hosteldetails.php/HostelNumber.506).
Belushi's Bar ist definitiv anti-spam (http://www.gumtree.com/london/02/4650002.html).
Das wird die nicht freuen, von dieser Registrierung zu hören...
Die Seite ist übrigens nicht mehr erreichbar...

Goofy
17.05.2006, 17:55
Die Seite ist übrigens nicht mehr erreichbar...

Doch, sie ist.

Und sie leitet weiter nach:
http://pillstoday.net/

pillstoday.net. A IN 300 222.122.20.199

Bisher kein Spamhaus-Listing.

kjz1
17.05.2006, 18:09
Bisher kein Spamhaus-Listing.

Spamhaus ist aber informiert.

- kjz

Mycroft
17.05.2006, 19:44
@Goofy
Ja, heute morgen auf Relay gestellt - auf eine gestern Nachmittag, 16:18 Uhr angemeldete domain. Man kommt ja (fast) nicht mehr mit als Amateur.
Im übrigen ist das ein ganz interessantes Nest:
Da haben wir einmal die Nameserver ns1 und ns2 http://invalid-dns.com,
Registrant: Belushi's Bar, Host: Xiamen Telecom IDC, CN
Diese Nameserver verweisen u.a. auf:
http://todayget.com
http://pillsdirect.net
http://myownstore.net
http://whyfuss.net
die leiten alle um auf
http://pillstoday.net
Registrant in allen Fällen: Belushi's Bar, Host: Korean Telecom
Registrar ist in allen Fällen J*ker.com, D*Dorf. Die Domains sind teils im 6-Sekunden-Takt angemeldet worden. Soviel zur Prüfung der Voraussetzungen. Aber bei Stammkunden kann man schon mal darüber hinwegsehen, oder?

Goofy
17.05.2006, 20:13
Die Domains sind teils im 6-Sekunden-Takt angemeldet worden. Soviel zur Prüfung der Voraussetzungen. Aber bei Stammkunden kann man schon mal darüber hinwegsehen, oder?

Für gut zahlende Kunden der RSG haben die vielleicht ein per login zu erreichendes Sonderskript, wo die Domains gleich am Stapel registriert werden.
Mit Eingabefeldern für beliebig wählbare Fake-Whois-Daten.
Mit einem cgi- oder php-Skript wäre tatsächlich die Registrierung für gut zahlende Stammkunden viel einfacher. :sick:

homer
18.05.2006, 07:57
Für gut zahlende Kunden der RSG haben die vielleicht ein per login zu erreichendes Sonderskript, wo die Domains gleich am Stapel registriert werden.
Die größeren Registrare bieten für Reseller ein Mail-Interface und meist auch noch die Möglichkeit per Web Massenregistrierungen (viele Domains mit identischen Whois-Daten und DNS) durchzuführen. Der Registrar kann trotzdem seriös sein (J* aus Düsseldorf mal ausgenommen).