PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Spam Opfer



c64doc
07.07.2002, 14:44
http://img.homepagemodules.de/rolling_eyes.gif
Ich habe heute dieses Forum entdeckt und gleich eine Frage:
Vorletzten Monat bekam ich plötzlich täglich ! hunderte von Mails retour, die nicht zugestellt werden konnten. Wenn ich bedenke, daß die meisten zugestellt wurden, muß das eine ganze Menge gewesen sein.
Irgend jemand benutzte eine meiner Domains als Absender um Viagra-Spam zu betreiben. Die "www.c64doc.de" ist nur eine Umleitung auf "www.doc64.de". Die einzige Möglichkeit für mich, war es, die Mailweiterleitung auszuschalten. Mittlerweile ist der Zauber vorbei. Kann mir hier jemand sagen, wer oder was hinter der ganzen Sache dran hängt ?.
Hier einmal eine der Spammails, mit denen ich nichts zu tun habe.

>-----anfang

Received: from yes2now8475.com (pc1.acorn-training.co.uk [194.73.38.242]) by rly-xf05.mx.aol.com (v84.10) with ESMTP ID: [ID filtered]
From: "Linda Sevens" <bmb043098 [at] c64doc.de>
To: poor [at] spamvictim.tld
CC: slalombaby [at] aol.com, antcb [at] aol.com, antcc12 [at] aol.com, slalomeog [at] aol.com,
poor [at] spamvictim.tld
Date: Thu, 9 May 2002 xx:xx:xx -0700
Subject: ~*~Order Viagra Discreet Online!~*~ . 5/9/2002 xx:xx:xx PM
X-Priority: 1
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
MIME-Version: 1.0
Content-Type: text/html; charset=us-ascii
Content-Transfer-Encoding: 7bit
Message-ID: [ID filtered]

>---------Spam gelöscht



href="http://rd.yahoo.com/dir/?http://213.139.76.181/remove.php">here


















[G0BK5NKIYs]


>----Ende

Ich bin gespannt, ob da jemand etwas herauslesen kann.

Gruß Manfred (C64doc)

daWizard
07.07.2002, 16:22
Sind das die kompletten header? Und da waren doch sicherlich Links zu `ner Website in der mail??


daWizard
(frags: http://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gif http://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gif http://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gif http://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gif)

c64doc
07.07.2002, 16:30
Hallo !

Die komplette Mail (Hml-Mail) findest du unter www.doc64.de/b/mail.zip
dort habe ich das Teil einmal untergebracht, im Forum wird der HTM-Code ausgeführt, daher habe ich nur den Header gepostet.
Kannst du damit etwas anfangen ?

daWizard
07.07.2002, 16:32
hier wird (sollte zumindest) kein html-code ausgeführt...
daWizard
(frags: http://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gif http://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gif http://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gif http://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gif)

daWizard
07.07.2002, 16:41
Die Jungs sind für die Website zuständig:

Registrant:
P. GP
2000 Liberty Av., Suite 107
Miami Beach, FL 33131
USA

Domain Name: thebestpills.com

Administrative Contact:
Role Account (KTKB7) poor [at] spamvictim.tld
P. GP
2000 Liberty Av., Suite 107
Miami Beach, FL 33131
USA
Phone: 786-417-3506

Technical Contact:
Role Account (KTKB7) poor [at] spamvictim.tld
P. GP
2000 Liberty Av., Suite 107
Miami Beach, FL 33131
USA
Phone: 786-417-3506

Billing Contact:
Role Account (KTKB7) poor [at] spamvictim.tld
P. GP
2000 Liberty Av., Suite 107
Miami Beach, FL 33131
USA
Phone: 786-417-3506

-----------------------------------------------

Gehosted wird die Site offensichtlich in Indien:

inetnum: 202.62.64.0 - 202.62.95.255
netname: CITYONLINE-IN
descr: CityOnline Services Ltd
descr: Internet Service Provider
descr: Hyderabad,India
country: IN
admin-c: SK207-AP
tech-c: CA41-AP
mnt-by: APNIC-HM
mnt-lower: MAINT-IN-CITSERV
changed: hostmaster [at] apnic.net 20000315
changed: hostmaster [at] apnic.net 20010911
source: APNIC

person: SATISH K
address: 7h Samrat Residential Complex, Saifabad,Hyderabad
country: IN
phone: +91-040-3233042
fax-no: +91-040-3233043
e-mail: ksatish140977 [at] rediffmail.com
nic-hdl: SK207-AP
mnt-by: MAINT-NEW
changed: gerck [at] email.com 20010515
source: APNIC

person: coladmin admin
address: 7h, 7th floor, samrat residential complex,saifabad
country: IN
phone: +91-040-3233042
fax-no: +91-040-3233043
e-mail: admin [at] cityonlines.com
nic-hdl: CA41-AP
mnt-by: MAINT-NEW
changed: gerck [at] email.com 20010525
source: APNIC

------------------------------------------------------

Diese CityOnline Services hängen offensichtlich an einem Backbone der FranceTelecom, sollte obige sich also quer stellen, kannst du auch mal eine mail an diese hier schreiben:

postmaster [at] wanadoo.fr
abuse [at] wanadoo.fr
postmaster [at] francetelecom.com

Wen auch immer du anmailst (abgesehen von der ersten Partei) sei sehr höflich und freundlich, diese Parteien sind nicht für den Spam verantwortlich, können den Spammern aber evtl. das Wasser abdrehen...


daWizard
(frags: http://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gif http://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gif http://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gif http://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gifhttp://img.homepagemodules.de/death.gif)

PS: Interessant finde ich auch, das die denselben remove-Server angeben, wie in der "Here is that link"-Spam für universalmeds.com...