Ist gerade bei mir aufgeschlagen.................

From - Sat Mar 15 xx:xx:xx 2008
X-Account-Key: account7
X-UIDL: [UID filtered]
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <internet-security-service [at] web.de>
X-Original-To: webmaster AT meiner einer
Delivered-To: poor [at] spamvictim.tld
Received: from web.de (user-12lmosg.cable.mindspring.com [69.91.99.144])
by server42.publicompserver.de (Postfix) with SMTP ID: [ID filtered]
for <webmaster AT meiner einer>; Sat, 15 Mar 2008 xx:xx:xx +0100 (CET)
Date: Sun, 16 Mar 2008 xx:xx:xx +0900
From: "Internet Security Moers" <internet-security-service [at] web.de>
MIME-Version: 1.0
To: <webmaster AT meiner einer>
Subject: Achtung, bitte Logindaten und Passwort bereithalten
Content-Type: text/plain;
charset="windows-1252"
Content-Transfer-Encoding: 7bit
Message-ID: [ID filtered]

Subject: ACHTUNG, gemeiner VIRUS. Dringend diese Datei auf Ihrem Webserver
einbinden
=========================================================================

Sehr geehrte Damen und Herren,

im Moment werden Millionen Webserver von Viren befallen.


Bitte binden Sie unbedingt den Anhang zum Schutz auf Ihrer Webseite
in folgendes Verzeichnis ein:


meine domain/robots.txt

Die Robots-Datei erstellen Sie mir Ihrem Editor:

_____________________________________________

User-agent: *

Disallow: /

______________________________________________

Diese speichern Sie als robots.txt und binden Sie in Ihrem Hauptverzeichnis
ein.


Nur so ist sicher, dass kein Schaden entsteht indem Sie dem Virus
verbieten, Ihre Webseite zu besuchen.
Bitte beeilen Sie sich, da an diesem Woche mit einem erheblichen Angriff zu
rechnen ist.

Noch Fragen?

Internet-Security-Team
Meisenweg 11

47441 Moers

0900-856473


***************************


meisenweg? da ist der name wohl programm!!!!:skull:

hier identisch - auf 3 Webmasteradressen

Received: from web.de (unknown [190.49.107.219])
Received: from web.de (cpe-67-11-242-72.satx.res.rr.com [67.11.242.72])
Received: from web.de (190-82-189-66.adsl.cust.tie.cl [190.82.189.66])

Thomas

Uh- ich dachte schon, ich sei der einzige.

Hier auch aufgeschlagen. Kann mir im Moment keinen drauf rheimen...

(Text&Header spare ich mir, ist nicht anders als bei euch- @Mods- bitte mein Posting weiter oben löschen)

Moin,

ist bei mir auch angekommen... hab mich erstmal totgelacht

Eingeliefert von:

Received: from web.de (unknown [190.54.166.70])


Moers is bei mir direkt um die Ecke, vllt sollt ich die mal besuchen gehen :D

Gruss

Michael

falls du ein diskutierstäbchen hast, darfst du gerne mit denen eine "angeregte" unterhaltung führen.:D

für alle deppen da draußen:
der anfang meiner robots.txt:
# robots.txt für http://www.example.org
#
# The Robot Laws by (Isaac Asimov)
#
# A robot may not injure a human being or through inaction allow a human being to come to harm.
# A robot must obey the orders given it by human beings, except where such orders would conflict with the First Law
# A robot must protect its own existence, as long as such protection does not conflict with the First or Second Laws.
#
# Some bots are known to be a real pain in the ass.
#
# So please fucking obey my robots.txt.
#

jetzt kommt die 2. welle von dem mist *grrr*


und das kommt auch durch sämtliche spamfilter :skull::skull::skull:

Die Machart kommt mir ziemlich bekannt vor. Das ist bei weitem nicht die erste Welle dieser Typen...

Mit der vorgeschlagenen robots.txt sperrt man afaik alle Suchmaschinen von seiner Seite aus. Auch eine Methode, den eigenen Pagerank zu optimieren.

Riecht nach Joejob. :suspect:

Riecht nach Joejob. :suspect:

Irgendwie schon, allerdings spricht dagegen die nicht existente 0900er Rufnummer
Suchergebnis BNetz

Keine Adressdaten verfügbar zu Rufnummer 0900 - 858136

ab dem 2. Run mit robots.txt im Anhang

der 5. Run ist inzwischen bei mir durch

Thomas

PS: Ich glaube in einer der Nächsten ist was ausführbares im Anhang.

Nächster Run läuft und mir fällt gerade auf, das die angebene Rufnummer jeweils unterschiedlich ist.

Thomas

Bäng!
...und ich hab sie auch :p

Received: from [202.47.69.222] (helo=web.de)
by xxx.stratoserver.net with smtp (Exim 4.66)
(envelope-from <internet-security-service [at] web.de>)
ID: [ID filtered]
for poor [at] spamvictim.tld; Sun, 16 Mar 2008 xx:xx:xx +0100
Date: Sun, 16 Mar 2008 xx:xx:xx +0200
Reply-To: "Internet Security Moers" <internet-security-service [at] web.de>
From: "Internet Security Moers" <internet-security-service [at] web.de>


Received: from 207-244-167-197-dhcp.mia.fl.atlanticbb.net ([207.244.167.197] helo=web.de)
by xxxx.stratoserver.net with smtp (Exim 4.66)
(envelope-from <internet-security-service [at] web.de>)
ID: [ID filtered]
for poor [at] spamvictim.tld; Sun, 16 Mar 2008 xx:xx:xx +0100
Date: Sun, 16 Mar 2008 xx:xx:xx +0200
From: "Internet Security Moers" <internet-security-service [at] web.de>

Received: from 68-25-224-253.area2.spcsdns.net ([68.25.224.253] helo=web.de)
by xxx.stratoserver.net with smtp (Exim 4.66)
(envelope-from <internet-security-service [at] web.de>)
ID: [ID filtered]
for poor [at] spamvictim.tld; Sun, 16 Mar 2008 xx:xx:xx +0100
Date: Mon, 17 Mar 2008 xx:xx:xx +0000
Reply-To: "Internet Security Moers" <internet-security-service [at] web.de>
From: "Internet Security Moers" <internet-security-service [at] web.de>

Den Header von drei Mails, insgesamt habe ich 12 (!) E-Mails mit dem ßiehcS bekommen.


Intelligenterweise immer an die webmaster [at] ... Adresse.

Dummerweise gleich massenweise, sodass es für mich sofort an Glaubwürdigkeit verliert.

Blöderweise ist der Code so offensichtlich mit dem Disallow... Wer sich nur 2 Minuten mit den Robots.txt mal beschäftigt hat, der weiß sofort bescheid.

--> Nur was ist der Sinn, wenn weniger Seiten bei Google auftauchen? Was hat der Spammer davon?


BTW, meine 0900er ist:

0900-856473
in allen Mails.

Received: from web.de (unknown [61.36.101.19])

hier die nummer 0900-856872

Ich nu auch:

Received: from web.de (89-139-128-163.bb.netvision.net.il [89.139.128.163])

Nächster Run läuft - diesmal sogar mit validen 0900 Rufnummern(die letzten waren 6stellig - jetzt 7stellig)
3 Mails 3 unterschiedliche Rufnummern
Diemal ohne Anhang.

Thomas

Jetzt brauchen sie nur noch den Anhang ausfuehrbar machen, dann kann ein Trojaner mitprotokollieren, mit welchen Usernamen und Kennwort man sich auf welchem Server per FTP einloggt um die neuangelegte robots.txt hochzuladen.

Dann haben Phisher und Co einen neuen kostenlosen Webserver, um ihre naechsten PayPal- und Sparkasse.de-Websites zu hosten. Zumindest sieht das fuer mich so aus.

Zitiere mich mal selbst


PS: Ich glaube in einer der Nächsten ist was ausführbares im Anhang.

ist zwar bisher noch nicht eingetreten - die Gefahr ist real.

Eben sind nochma 2 eingetroffen.

Thomas

Return-Path: <internet-security-serviceu [at] web.de>
Delivery-Date: Mon, 17 Mar 2008 xx:xx:xx +0100
Received: from web.de (67-197-40-100.dsl.comporium.net [67.197.40.100])
by mx.kundenserver.de (node=mxeu23) with ESMTP (Nemesis)
ID: [ID filtered]
Message-ID: [ID filtered]
Date: Mon, 17 Mar 2008 xx:xx:xx +0200
From: "Internet Security Moers" <internet-security-serviceu [at] web.de>
X-Accept-Language: en-us
MIME-Version: 1.0
To: <poor [at] spamvictim.tld>
Subject: Achtung, bitte Logindaten und Passwort bereithalten
Content-Type: text/plain;
charset="windows-1252"
Content-Transfer-Encoding: 7bit
X-PhishingScore: 0
tests=
X-SpamScore: 3.4
tests= DATE_IN_FUTURE_12_24 RDNS_DYNAMIC
Envelope-To: poor [at] spamvictim.tld



Subject: ACHTUNG, gemeiner VIRUS. Dringend diese Datei auf Ihrem Webserver einbinden =========================================================================

Sehr geehrte Damen und Herren,
im Moment werden Millionen Webserver von Viren befallen.
Bitte binden Sie unbedingt den Anhang zum Schutz auf Ihrer Webseite in folgendes Verzeichnis ein:
www.xxxxxxxxxxxx.de/robots.txt

Die Robots-Datei erstellen Sie mir Ihrem Editor:
_____________________________________________
User-agent: *
Disallow: /
______________________________________________
Diese speichern Sie als robots.txt und binden Sie in Ihrem Hauptverzeichnis ein.
Nur so ist sicher, dass kein Schaden entsteht indem Sie dem Virus verbieten, Ihre Webseite zu besuchen. Bitte beeilen Sie sich, da an diesem Wochenende mit einem erheblichen Angriff zu rechnen ist.
Noch Fragen?
Internet-Security-Team
Meisenweg 11
47441 Moers
0900-8688882


Gem. Auskunft der BNetz gibt es die Nummer 0900-8688882 NICHT. Des weiteren gibt es zur Zeit auch KEINE Rufnummern mit der Kennzahl 0900(8) ...