PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Sie vernascht dich



alicesophie
04.07.2008, 16:12
Return-path: <axialyzeot [at] scarlet.an>
X-Flags: 1001
Delivered-To: GMX delivery to <meine Adresse>
Received: (qmail invoked by alias); 04 Jul 2008 xx:xx:xx -0000
Received: from mail.scarlet.an (EHLO caribmail2.carib-online.net)
[65.163.241.9] by mx0.gmx.net (mx008) with SMTP; 04 Jul 2008 xx:xx:xx +0200
Received: from scarlet.an (unverified [190.2.157.70]) by
caribmail2.carib-online.net (Vircom SMTPRS 4.5.654.0) with SMTP id
<B0092473910 [at] caribmail2.carib-online.net>; Fri, 4 Jul 2008 xx:xx:xx -0400
Received-SPF: none (caribmail2.carib-online.net: domain of axialyzeot [at] scarlet.an does not designate any permitted senders)
X-Modus-BlackList: 190.2.157.70=OK;axialyzeot [at] scarlet.an=OK
X-Modus-Trusted: 190.2.157.70=NO
X-Modus-Audit: FALSE;0;0;0
Message-ID: [ID filtered]
Date: Fri, 04 Jul 2008 xx:xx:xx +0200
Reply-To: "Latashia Bryant" <axialyzeot [at] scarlet.an>
From: "Latashia Bryant" <axialyzeot [at] scarlet.an>
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.0; en-US; rv:1.5) Gecko/20031007
MIME-Version: 1.0
To: "Britteny Armstrong" <meine Adresse>
Cc: "Cinderella Vasquez" <noch 'ne Adresse>, Olympia <noch 'ne andere Adresse>, Bee <noch 'ne dritte Adresse>
Subject: Ragnhild williges Luder- grins
Content-Type: text/plain; charset="ISO 8859-1"
Content-Transfer-Encoding: 8bit
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Htest: 0.75
X-GMX-Antispam: 0 (Mail was not recognized as spam)
X-GMX-UID: [UID filtered]


Hey mein geiler Mann!

Ich bin das suesse Luda Dorote. Trotz meiner 17 Jahre bin ich naturgeil und
total versaut. Dabei habe ich fast keine Grenzen, zumindest habe ich noch
nichts gefunden. Du darfst mich auch gerne knebeln und mich hart erziehen,
denn ich liebe die haertere Machart genauso wie Deine Wuensche!

Wer fikkt mich Live vor der Cam?
http://www.vn.sie-vernascht-dich.net

Gruss, Dorothea Dorothee Jenkins

Alle per To und CC bespammten Adressen lagen bei GMX.net. Die Absende-Adresse scheint tatsächlich scarlet.an zu sein, also niederländische Antillen. Die Domain ist angeblich auf einen Russen registriert.

Falls das irgendwo dran gehört, bitte löschen oder tackern und meine präventive Entschuldigung - die Suche hat nix ausgespuckt.

schara56
04.07.2008, 17:48
Der im Cache bummelnde A-Eintrag von der Schmuddeldomain zeigt nach Teledata Mozambique (196.22.53.186) - dort ist leider noch ein bisschen was am Start.

HTTP/1.1 200 OK
Content-Length: 2942
Content-Type: text/html
Content-Location: http://sie-vernascht-dich.net/Default.htm
Last-Modified: Fri, 04 Jul 2008 xx:xx:xx GMT
Accept-Ranges: bytes
ETag: W/"2a4c1329e6ddc81:7e0"
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
Date: Fri, 04 Jul 2008 xx:xx:xx GMT
Connection: close
Der Zuständige Nameserver ist schon mit seinem A-Eintrag aus dem DNS geflogen: NS1.VBGKJSGNJKSFJKSCLKSCV.INFO

Created On:03-Jul-2008 xx:xx:xx UTC
Last Updated On:04-Jul-2008 xx:xx:xx UTC
Expiration Date:03-Jul-2009 xx:xx:xx UTC
Sponsoring Registrar:Moniker Online Services Inc. (R245-LRMS)
Status:CLIENT DELETE PROHIBITED
Status:CLIENT TRANSFER PROHIBITED
Status:CLIENT UPDATE PROHIBITED
Status:TRANSFER PROHIBITED
:p

schara56
04.07.2008, 18:42
Auf der beworbenen Seite werden weiterführend Inhalte von live.sex.s3x.xxx.cams.live.fuck.sexcam.free.porn.amateure.private.xxx.dgshfs.net beworben. Diese Inhalte liegen auf türkischen Webservern von Sistemnet Telekomunikasyon ve Bilgi Tek. Tic. Ltd. Sti.

Einer der dafür zuständigen Nameserver (NS1.DGSHFS.NET - Korea) kennt noch folgende Domains:

blutjungeschlampen13.net NS ns1.dgshfs.net
langbeinigeblondine.net NS ns1.dgshfs.net
naturgeilestute.net NS ns1.dgshfs.net
arschfikken.net NS ns1.dgshfs.net
kleinesmaedchenfikken.net NS ns1.dgshfs.net
a-nal-geritten.net NS ns1.dgshfs.net
analgeilestuten.net NS ns1.dgshfs.net
blondinewilles.net NS ns1.dgshfs.net
dgshfs.net NS ns1.dgshfs.net
ns1.dgshfs.net A 211.174.185.155
blutjungeteenys.net NS ns1.dgshfs.net
in-den-po-gefikkt.net NS ns1.dgshfs.net
popo-gefikkt.net NS ns1.dgshfs.net
extremegefikkt.net NS ns1.dgshfs.net
feuchtgefikkt.net NS ns1.dgshfs.netSoweit ich das sehe wurden diese Domains am 23-jun-2008 registriert via moniker.

alicesophie
04.07.2008, 18:45
Das ist jetzt etwas off topic, aber ich bin ja stets bestrebt, dazu zu lernen. Wie kommt man an diese Listen, welche Domains auf einem NS noch mit einer IP konnektiert sind? Oder verstehe ich die NS-Liste aus deinem Beitrag, Schara, einfach nur falsch? Ich nehme die Antwort auch gerne als PN entgegen, um das Thema hier nicht zu entgleisen.

Gerlach
04.07.2008, 21:32
Ich steuere auch nochmal einen Header bei:
Return-Path: <sunnysypfxixi [at] eandrmfg.com>
Delivery-Date: Fri, 04 Jul 2008 xx:xx:xx +0200
Received-SPF: neutral (mxeu4: 78.157.9.138 is neither permitted nor denied by domain of eandrmfg.com) client-ip=78.157.9.138; envelope-from=sunnysypfxixi [at] eandrmfg.com; helo=eandrmfg.com;
Received: from eandrmfg.com ([78.157.9.138])
by mx.kundenserver.de (node=mxeu4) with ESMTP (Nemesis)
ID: [ID filtered]
Message-ID: [ID filtered]
Date: Fri, 04 Jul 2008 xx:xx:xx +0300
From: "Amy Barnes" <sunnysypfxixi [at] eandrmfg.com>
User-Agent: Mozilla 4.79 [en]C-CCK-MCD {SillyDog} (Win98; U)
MIME-Version: 1.0
To: "Rosalinda Davis" <???@???.de>
Subject: Rajalakshmi im Seex Chat 5 Camcoins gra.tis
Content-Type: text/plain;
charset="ISO 8859-1"
Content-Transfer-Encoding: 8bit
Envelope-To: ???@???.de

Beworben wird
http://www.huro.hureliveficken.net

Angezeigt wird dann in einem per Javascript verschleiertem IFrame
http://live.sex.s3x.xxx.cams.live.fuck.sexcam.free.porn.amateure.private.xxx.amateurewe bcamlolita.com/

Und unter dem Frame kann man glatt seine E-Mail-Adresse verifizieren:
http://64.94.105.35:8088/

Wo man dann den tollen Text

Newsletter abbestellen
Sende eine Email mit dem Betreff REMOVE an:
newsletter.abmelden [at] gmail.com
Deine E-Mail Adresse wird innerhalb 48-72 Stunden geloescht.

Contact
MailSpace Marketing Ltd.
Bratislavskaja Street 31
107207 Moscow
Russian Federation
angezeigt bekommt.

Von der Machart der Spams ist der Verursacher normalerweise für Cyberservices unterwegs und hat dort die WMID=71972. Siehe beispielsweise hier (http://www.antispam-ev.de/forum/showthread.php?t=8345&page=38) (in dem Thread muss man ein klein wenig herumblättern).

deekay
04.07.2008, 21:39
Auch die Domainnamen (sehr nahe an KiPo "kleinemaedchen....") riechen nach Cyberservices

Goofy
04.07.2008, 22:21
Wie kommt man an diese Listen, welche Domains auf einem NS noch mit einer IP konnektiert sind?

Ich nehme da immer www.robtex.com.

Links oben im Eingabefeld kann man eine IP oder eine Domain eingeben. Kann auch eine Nameserver-Domain sein. Dann kann man sich mit den dort ausgegebenen Angaben und Links weiterhangeln. Man erfährt dort z.B., welche weiteren Domains auf derselben IP liegen, welche anderen Domains von dem Nameserver verwaltet werden etc.

alicesophie
04.07.2008, 23:03
Icke schmeiß auch noch einen nach.

Return-path: <croscarayzdu [at] kbronet.com.tw>
X-Flags: 1001
Delivered-To: GMX delivery to <meine Adresse>
Received: (qmail invoked by alias); 04 Jul 2008 xx:xx:xx -0000
Received: from 118-232-128-197.dynamic.kbronet.com.tw (HELO kbronet.com.tw)
[118.232.128.197] by mx0.gmx.net (mx025) with SMTP; 04 Jul 2008 xx:xx:xx +0200
Message-ID: [ID filtered]
Date: Fri, 04 Jul 2008 xx:xx:xx +0200
From: "Gema Gonzales" <croscarayzdu [at] kbronet.com.tw>
User-Agent: Mozilla/5.0 (Windows; U; Win 9x 4.90; en-US; rv:1.4) Gecko/20030624 Netscape/7.1 (ax)
X-Accept-Language: en-us
MIME-Version: 1.0
To: "Mail User" <Nicht meine Adresse>
Cc: "Mail costumer" <neun Mal nicht ich>, Costumer
<meine Adresse>,
Subject: Makadisa scharfe Mus.chi-...!
Content-Type: text/plain; charset="us-ascii"
Content-Transfer-Encoding: 8bit
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Htest: 0.75
X-GMX-Antispam: 0 (Mail was not recognized as spam)
X-GMX-UID: [UID filtered]

Abgekippt scheinbar in Taiwan. Bespammt diesmal http://www.hgy.blutjung-und-unerfahren.net, und über Post gefreut haben sich mit mir neun weitere Nutzer von GMX.net in Kopie. Laut Goofys Taschenmesser befindet sich unter der zugehörigen IP auch nur diese Domain, irgendwo in Mozambique, registriert von - ihr ahnt es...

Gerlach
04.07.2008, 23:08
Der Spammer hier arbeitet meiner Beobachtung nach vollständig mit gehackten Accounts, sowohl beim Mailversand wie auch bei der Landingpage, die auf gehackten Servern abgelegt wird. Dadurch wird die Rückverfolgung ähnlich wie beim Spam/Landingpage auf Botnetzen sehr erschwert. Außerdem scheint die Resource der gehackten Accounts/Server unerschöpflich zu sein.

Gerlach
05.07.2008, 00:16
Und er kann den Hals nicht voll genug bekommen ...
Return-Path: <theridgesvvonu [at] tcol.com.tw>
Delivery-Date: Sat, 05 Jul 2008 xx:xx:xx +0200
Received: from tcol.com.tw (13.141.209.210.static.tcol.com.tw [210.209.141.13])
by mx.kundenserver.de (node=mxeu14) with ESMTP (Nemesis)
ID: [ID filtered]
Message-ID: [ID filtered]
Date: Fri, 04 Jul 2008 xx:xx:xx -0300
From: "Kimbery" <theridgesvvonu [at] tcol.com.tw>
User-Agent: Mozilla 4.73 [de]C-CCK-MCD DT (Win98; U)
MIME-Version: 1.0
To: "Mail Costumer" <???@???.de>
Subject: Shenandoah versaute An-alsau *grins
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: 8bit
Envelope-To: ???@???.de

http://www.es.blutjung-und-zart.net

Sonst alles wie vorher.

schara56
05.07.2008, 10:13
Received: from static-66-15-77-131.bdsl.verizon.net (HELO verizon.net) [66.15.77.131]
by mx0.gmx.net (mx059) with SMTP; 05 Jul 2008 xx:xx:xx +0200
http://www.klgc.meinedild0sh0w.net

Als ob ich danach gefragt hätte :sick:
Jetzt hat zumindest die Ar***nase den Nameserver nach Russland umgezogen (NS1.VBGKJSGNJKSFJKSCLKSCV.INFO -> 217.15.152.114 -> Yartelecom Ltd.)

schara56
06.07.2008, 05:03
Received: from 92-235-71-61.cable.ubr04.brom.blueyonder.co.uk (HELO blueyonder.co.uk) [92.235.71.61]
by mx0.gmx.net (mx031) with SMTP; 05 Jul 2008 xx:xx:xx +0200
http://www.uqiv.hurewillgleichficken.net -> registriert am 05.07. via moniker und wird über
NS1.GJKDGNJFSGDKSNSDKJ.NET aufgelöst - der Schmuddelserver kennt folgende Inhalte:

devotesmaedchen69.net NS ns1.gjkdgnjfsgdksnsdkj.net
luder-leckt-dich.net NS ns1.gjkdgnjfsgdksnsdkj.net
luderwilldich.net NS ns1.gjkdgnjfsgdksnsdkj.net
gjkdgnjfsgdksnsdkj.net NS ns1.gjkdgnjfsgdksnsdkj.net
ns1.gjkdgnjfsgdksnsdkj.net A 217.15.152.114
privates-fick-treffen.net NS ns1.gjkdgnjfsgdksnsdkj.net
hurewillgleichficken.net NS ns1.gjkdgnjfsgdksnsdkj.net
ichlutschedeinen.net NS ns1.gjkdgnjfsgdksnsdkj.net
live-cam-luder.net NS ns1.gjkdgnjfsgdksnsdkj.net
hureanalprivat.net NS ns1.gjkdgnjfsgdksnsdkj.net
amateurinnen-nackt.net NS ns1.gjkdgnjfsgdksnsdkj.net
dildo-in-der-pussy.net NS ns1.gjkdgnjfsgdksnsdkj.net
Die Inhalte kommen unverändert von amateurewebcamlolita.com -> 04.07. via moniker und die Namensauflösung für diese Zone passiert nun über NS1.VBGKJSGNJKSFJKSCLKSCV.INFO und das sieht dann so aus:

amateurewebcamlolita.com NS ns1.vbgkjsgnjksfjksclkscv.info
vbgkjsgnjksfjksclkscv.info NS ns1.vbgkjsgnjksfjksclkscv.info
ns1.vbgkjsgnjksfjksclkscv.info A 217.15.152.114
privathure69.net NS ns1.vbgkjsgnjksfjksclkscv.info
amateureluder69.net NS ns1.vbgkjsgnjksfjksclkscv.info
gierignachsperma.net NS ns1.vbgkjsgnjksfjksclkscv.info
blutjungeschlampe.net NS ns1.vbgkjsgnjksfjksclkscv.info
kleineprivathure.net NS ns1.vbgkjsgnjksfjksclkscv.info
dildoshow-live.net NS ns1.vbgkjsgnjksfjksclkscv.info
hobbyhurenlive.net NS ns1.vbgkjsgnjksfjksclkscv.info
feuchtundwillig.net NS ns1.vbgkjsgnjksfjksclkscv.info
ganzfeuchtundwillig.net NS ns1.vbgkjsgnjksfjksclkscv.info
sie-vernascht-dich.net NS ns1.vbgkjsgnjksfjksclkscv.info
l0litawilldich.net NS ns1.vbgkjsgnjksfjksclkscv.info
privatehurencam.net NS ns1.vbgkjsgnjksfjksclkscv.info
blutjunges-maedchen.net NS ns1.vbgkjsgnjksfjksclkscv.info
hureliveficken.net NS ns1.vbgkjsgnjksfjksclkscv.info
blutjung-und-unerfahren.net NS ns1.vbgkjsgnjksfjksclkscv.info
siewilleswissen.net NS ns1.vbgkjsgnjksfjksclkscv.info
blutjungesluder.net NS ns1.vbgkjsgnjksfjksclkscv.info
amateurseexcams.net NS ns1.vbgkjsgnjksfjksclkscv.info
binschonfeucht.net NS ns1.vbgkjsgnjksfjksclkscv.info
binganzfeucht.net NS ns1.vbgkjsgnjksfjksclkscv.info
blutjung-und-zart.net NS ns1.vbgkjsgnjksfjksclkscv.info
fikk-mich-jetzt.net NS ns1.vbgkjsgnjksfjksclkscv.info
nimm-mich-jetzt.net NS ns1.vbgkjsgnjksfjksclkscv.info
meinedild0sh0w.net NS ns1.vbgkjsgnjksfjksclkscv.info
hartedild0sh0w.net NS ns1.vbgkjsgnjksfjksclkscv.info
gierignachseex.net NS ns1.vbgkjsgnjksfjksclkscv.info
Irgendwie habe ich das Gefühl, dass von dem Spacken noch mehr Schrott kommen wird.

BTW:
Unter der IP 64.94.105.35 welche unter Port 8088 das "austragen" ermöglicht ist auch der Port 3389 offen - viel Spaß beim spielen; ist ein Server 2000 ;)

alicesophie
06.07.2008, 08:54
Schara, aus deiner Liste biete ich heute http://www.nl.live-cam-luder.net. Auflösung natülich wie bei dir.

Return-path: <afoianidzobp [at] usp.br>
Received: (qmail invoked by alias); 05 Jul 2008 xx:xx:xx -0000
Received: from tomaz.ifsc.usp.br (HELO usp.br) [143.107.229.209] by
mx0.gmx.net (mx004) with SMTP; 06 Jul 2008 xx:xx:xx +0200
From: "Adriene Henderson" <afoianidzobp [at] usp.br>

Dein Gefühl, dass uns da noch so einiges ins Haus steht, unterschreibe ich mal.

Weissbrot
06.07.2008, 17:35
Dein Gefühl, dass uns da noch so einiges ins Haus steht, unterschreibe ich mal.Das könnte das überfällige Mönch-Projekt sein, dass OOS leichtfertig ausplauderte. ;)

Received: from p153019.amixcom.jp (HELO amixcom.jp) [123.103.153.19]
by mx*** with SMTP; 06 Jul 2008 xx:xx:xx +0200

Received: from 92-238-30-80.cable.ubr09.perr.blueyonder.co.uk (HELO blueyonder.co.uk) [92.238.30.80]
by m*** with SMTP; 06 Jul 2008 xx:xx:xx +0200

Received: from host-190-131-0-21.ecutel.net (HELO ecutel.net) [190.131.0.21]
by mx*** with SMTP; 06 Jul 2008 xx:xx:xx +0200

Received: from host130-155-155-90.butovo.com (HELO butovo.com) [90.155.155.130]
by mx*** with SMTP; 05 Jul 2008 xx:xx:xx +0200

antispam2006
06.07.2008, 19:21
Ich habe den Dreck in allen Ausführungen im 100er Pack bekommen.

Der Müll leitet auf 777livecams.com bzw. 777live.com gehostet auf 87.119.193.166 Inetbone und da schliesst sich der Kreis wieder...

xadmin.777partner.com
avs.777partner.com
www.777partner.com
777livecams.com
777livecams.com
member.777livecams.com
layouts.777livecams.com
www.777livecams.com
counter.live4members.com
777shows.com
superstar4.777shows.com
highheellady.777shows.com
triple7live.net


Gruß Antispam2006

alicesophie
06.07.2008, 23:22
Received: from m83-188-207-145.cust.tele2.se (HELO tele2.se) [83.188.207.145]
by mx0.gmx.net (mx091) with SMTP; 06 Jul 2008 xx:xx:xx +0200

http://www.jw.hobbyhuren-livedate.net

schara56
07.07.2008, 07:27
Der Müll leitet auf 777livecams.com bzw. 777live.com gehostet auf 87.119.193.166 Inetbone und da schliesst sich der Kreis wieder...[...Da hätte ich selber drauf kommen sollen - ein Blick in den Quelltext reicht :o.
Gem. der Namensgebung ist das typisch für Horny Maestro :sick:.
Etwas ungewohnt ist das Spammen via Bots - bisher hat sich die olle Kutte nicht die Mühe gemacht den Ursprungsort der Drecksmails zu verschleiern.

Hat etwas unser kleiner Knorpelfisch [TM] die Zusammenarbeit gekündigt?

kjz1
07.07.2008, 16:18
Und wieder der Kleriker aus dem Osten, der anscheinend auch best Verbindungen zu russ. Spammerkreisen und NL (Cyberservices?) unterhält:

Received: from ll-66.192.223.85.dn.sovam.net.ua (HELO sovam.net.ua)
[85.223.192.66] by mx0.gmx.net (mx054) with SMTP; 06 Jul 2008 xx:xx:xx +0200

http://www.ane.live-cam-luder.net

leitet weiter auf:

http://live.sex.s3x.xxx.cams.live.fuck.sexcam.free.porn.amateure.private.xxx.amateurewe bcamlolita.com

und weiter auf:

http://www.777livecams.com

Letzteres gehostet bei Inetbone, hier ebenfalls bestens bekannt.

Ansonsten hat man reichen Vorrat:


aa.devotesmaedchen69.net[/url] A 84.9.60.113
ya.devotesmaedchen69.net A 84.9.60.113
za.devotesmaedchen69.net A 84.9.60.113
aue.devotesmaedchen69.net A 84.9.60.113
san.devotesmaedchen69.net A 84.9.60.113
oz.devotesmaedchen69.net A 84.9.60.113
ufa.luder-leckt-dich.net A 84.9.60.113
fii.luder-leckt-dich.net A 84.9.60.113
mb.luderwilldich.net A 84.9.60.113
pge.luderwilldich.net A 84.9.60.113
hewe.luderwilldich.net A 84.9.60.113
hf.luderwilldich.net A 84.9.60.113
syh.luderwilldich.net A 84.9.60.113
jj.luderwilldich.net A 84.9.60.113
gl.luderwilldich.net A 84.9.60.113
qx.luderwilldich.net A 84.9.60.113
wy.luderwilldich.net A 84.9.60.113
zwg.privates-fick-treffen.net A 84.9.60.113
uq.privates-fick-treffen.net A 84.9.60.113
vw.privates-fick-treffen.net A 84.9.60.113
sz.privates-fick-treffen.net A 84.9.60.113
pfe.hurewillgleichficken.net A 84.9.60.113
pe.hurewillgleichficken.net A 84.9.60.113
havn.hurewillgleichficken.net A 84.9.60.113
bvfo.hurewillgleichficken.net A 84.9.60.113
au.hurewillgleichficken.net A 84.9.60.113
A 84.9.60.113
dwra.ichlutschedeinen.net A 84.9.60.113
hji.ichlutschedeinen.net A 84.9.60.113
.kjyj.ichlutschedeinen.net A 84.9.60.113
.wo.ichlutschedeinen.net A 84.9.60.113
znr.ichlutschedeinen.net A 84.9.60.113
.yu.ichlutschedeinen.net A 84.9.60.113
byy.ichlutschedeinen.net A 84.9.60.113
.jqo.live-cam-luder.net A 84.9.60.113
.xgp.live-cam-luder.net A 84.9.60.113
cra.hureanalprivat.net A 84.9.60.113
yme.hureanalprivat.net A 84.9.60.113
.qi.hureanalprivat.net A 84.9.60.113
.fk.hureanalprivat.net A 84.9.60.113
qk.hureanalprivat.net A 84.9.60.113
.olo.hureanalprivat.net A 84.9.60.113
.oo.hureanalprivat.net A 84.9.60.113
.oep.hureanalprivat.net A 84.9.60.113
.eoda.amateurinnen-nackt.net A 84.9.60.113
.fa.amateurinnen-nackt.net A 84.9.60.113
de.amateurinnen-nackt.net A 84.9.60.113
qpoe.amateurinnen-nackt.net A 84.9.60.113
eve.amateurinnen-nackt.net A 84.9.60.113
.tymi.amateurinnen-nackt.net A 84.9.60.113
si.amateurinnen-nackt.net A 84.9.60.113
.iiro.amateurinnen-nackt.net A 84.9.60.113
iwqu.amateurinnen-nackt.net A 84.9.60.113
mic.dildo-in-der-pussy.net A 84.9.60.113


xadmin.777partner.com A 87.119.193.166
avs.777partner.com A 87.119.193.166
.777partner.com A 87.119.193.166
777livecams.com A 87.119.193.166
166.193.119.87.in-addr.arpa PTR 777livecams.com
member.777livecams.com A 87.119.193.166
layouts.777livecams.com A 87.119.193.166
777livecams.com A 87.119.193.166
live4members.com A 87.119.193.166
counter.live4members.com A 87.119.193.166
777shows.com A 87.119.193.166
superstar4.777shows.com A 87.119.193.166
highheellady.777shows.com A 87.119.193.166
triple7live.net A 87.119.193.166

- kjz

Gerlach
07.07.2008, 17:13
Return-Path: <gekizuoty [at] cablenet.ne.jp>
Delivery-Date: Mon, 07 Jul 2008 xx:xx:xx +0200
Received: from mail06.cablenet.ne.jp (mail06.cablenet.ne.jp [61.215.160.235])
by mx.kundenserver.de (node=mxeu9) with ESMTP (Nemesis)
ID: [ID filtered]
Received: from cablenet.ne.jp (c157248.net124195.cablenet.ne.jp [124.195.157.248])
by mail06.cablenet.ne.jp (Postfix) with SMTP ID: [ID filtered]
for <???@???.de>; Mon, 7 Jul 2008 xx:xx:xx +0900 (JST)
Message-ID: [ID filtered]
Date: Tue, 08 Jul 2008 xx:xx:xx +1200
Reply-To: "Tommie Hamilton" <gekizuoty [at] cablenet.ne.jp>
From: "Tommie Hamilton" <gekizuoty [at] cablenet.ne.jp>
User-Agent: Mozilla/5.0 (Windows; U; Win98; en-GB; rv:0.9.4) Gecko/20011128 Netscape6/6.2.1
X-Accept-Language: en-us
MIME-Version: 1.0
To: "Melonie" <???@???.de>
Subject: Kaamilee endlich genagelt!
Content-Type: text/plain;
charset="ISO 8859-1"
Content-Transfer-Encoding: 8bit
Envelope-To: ???@???.de

Die beworbene Seite
http://www.qle.luxus-babe-live.net
zeigt bei mir aber gerade nichts an ("You are not authorized to view this page" - ich bin mir nicht ganz sicher was ich von dieser Fehlermeldung halten soll).

alicesophie
07.07.2008, 17:27
Ich überlege schon seit dem ersten Auftreten, was diese Buchstabencodes vor der eigentlichen Bezeichnung bedeuten. Es sind keine Subdomains, weil sie auf dem NS aufgelöst werden. Aber wozu zur Hölle dienen die dann? Irgendeine Art von Tracking?

schara56
07.07.2008, 19:32
...]Es sind keine Subdomains, weil sie auf dem NS aufgelöst werden. Aber wozu zur Hölle dienen die dann? Irgendeine Art von Tracking?Das sind schon Subdomains lt. DNS. Im letzten Fall von Gerlach zum Beispiel ist luxus-babe-live.net die Zone auf dem Nameserver qle ist dann einfach eine Domain in dieser Zone - über nslookup kann man sogar herausbekommen, dass es einen same as parent folder-Eintrag in dieser Zone gibt.
www ist dann einfach nur ein A-Eintrag in dieser Domain - nicht mal ein CNAME/Alias wie man vermuten würde.

> www.qle.luxus-babe-live.net
Nicht-autorisierende Antwort:
Name: www.qle.luxus-babe-live.net
Address: 86.43.115.155
Bei einer Abfrage z. B. von Tante Gurgel wird im DNS klar gekennzeichnet ob es ein CNAME ist oder nicht:

> www.google.de
Nicht-autorisierende Antwort:
Name: www.l.google.com
Addresses: 209.85.129.147
209.85.129.99
209.85.129.104
Aliases: www.google.de
www.google.com"Nicht-autorisierende Antwort" bedeutet der Eintrag wurde über den Cache des Servers aufgelöst und nicht via Abfrage des Gurgel-Nameservers.

Wenn man sich den SOA-Eintrag genauer ansieht mutet die TTL der Zone wie die für ein Botnetzwerk an - sehr kurz; hier: 5 Minuten. Dadurch möchte Spammy sicherstellen, dass im Falle eines NS-Wechsels die Einträge nur 5 Minuten in den Server- und Client-Caches verbleiben.

> set q=soa
> luxus-babe-live.net
Nicht-autorisierende Antwort:
luxus-babe-live.net
primary name server = ns1.sdfokijgtreogtrjuisdcap.info
responsible mail addr = hostmaster.86.43.115.155
serial = 5
refresh = 300 (5 mins)
retry = 300 (5 mins)
expire = 300 (5 mins)
default TTL = 300 (5 mins)

luxus-babe-live.net nameserver = ns1.sdfokijgtreogtrjuisdcap.info
ns1.sdfokijgtreogtrjuisdcap.info internet address = 217.15.152.114

Über den Get-Aufruf in der URL kann zumindest der Spamrun und der daraus resultierende Abfragenverkehr zugeordnet werden. Direkt personalisiert ist das nicht, da immer mehrere Empfänger in einer Spam standen.
BTW: hat irgendjemand mal versucht sich bei Moniker über die Sch***-Domains zu beschweren?

antispam2006
07.07.2008, 20:00
BTW: hat irgendjemand mal versucht sich bei Moniker über die Sch***-Domains zu beschweren?

Bei Monika? Meiner Ansicht nach haben die einen sehr dunklen Hut auf.

Gruß Antispam2006

Gerlach
08.07.2008, 08:44
Return-Path: <druidrywauhi [at] plsc.com>
Delivery-Date: Tue, 08 Jul 2008 xx:xx:xx +0200
Received: from plsc.com ([78.97.145.31])
by mx.kundenserver.de (node=mxeu24) with ESMTP (Nemesis)
ID: [ID filtered]
Message-ID: [ID filtered]
Date: Tue, 08 Jul 2008 xx:xx:xx +0800
From: "Audrie Cunningham" <druidrywauhi [at] plsc.com>
User-Agent: Opera/7.11 (Windows NT 5.0; U)
MIME-Version: 1.0
To: "Venice Dean" <???@???.de>
Subject: Rain richtig hart von dem S-e-x-Dildo gebumst--!!!
Content-Type: text/plain;
charset="ISO 8859-1"
Content-Transfer-Encoding: 8bit
Envelope-To: ???@???.de

Landingpage:
http://www.ue.10-minuten-kostenlos.net
Frameinhalt:
http://live.sex.s3x.xxx.cams.live.fuck.sexcam.free.porn.amateure.private.xxx.amateurewe bcamlolita.com/
Weiterleitung auf:
http://www.777livecams.com
Abbestellen:
http://64.94.105.35:8088/

Die Weiterleitung nach 777 erfolgt jeweils mit Angabe der id=P13985. Das scheint die ID: [ID filtered]

Einiger der Bots versenden aktuell unvollständige Landingpage-Adressen, z.B. "http://www.fwo.".

alariel
08.07.2008, 08:54
X-Envelope-From: <matsuoneg [at] elaninet.com>
X-Envelope-To: <meine [at] adresse>
X-Delivery-Time: 1215465361
X-UID: [UID filtered]
Return-Path: <matsuoneg [at] elaninet.com>
X-RZG-CLASS-ID: [ID filtered]
Received: from elaninet.com (daoss.elaninet.com [195.245.119.22])
by mailin.webmailer.de (blert mi3) (RZmta 16.48)
with SMTP ID: [ID filtered]
Mon, 7 Jul 2008 xx:xx:xx +0200 (MEST)
(envelope-from: <matsuoneg [at] elaninet.com>)
Message-ID: [ID filtered]
Date: Tue, 08 Jul 2008 xx:xx:xx +0800
Reply-To: "Elin Ward" <matsuoneg [at] elaninet.com>
From: "Elin Ward" <matsuoneg [at] elaninet.com>
User-Agent: Mozilla 4.7 [en] (Win95; I)
X-Accept-Language: en-us
MIME-Version: 1.0
To: "Mail costumer" <meine [at] adresse>
Subject: Sheina devotes Teenie-- grins
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: 8bit

Das ging wohl schief, die beworbene Adresse ist http://www.uz. (Punkt. Das wars.) :rolleyes:

X-Envelope-From: <specksfar [at] gz-engineering.at>
X-Envelope-To: <meine [at] adresse>
X-Delivery-Time: 1215492783
X-UID: [UID filtered]
Return-Path: <specksfar [at] gz-engineering.at>
X-RZG-CLASS-ID: [ID filtered]
Received: from gz-engineering.at ([89.33.113.30])
by mailin.webmailer.de (lemon mi20) (RZmta 16.48)
with SMTP ID: [ID filtered]
Tue, 8 Jul 2008 xx:xx:xx +0200 (MEST)
(envelope-from: <specksfar [at] gz-engineering.at>)
Message-ID: [ID filtered]
Date: Tue, 08 Jul 2008 xx:xx:xx +0000
Reply-To: "Roseanna" <specksfar [at] gz-engineering.at>
From: "Roseanna" <specksfar [at] gz-engineering.at>
User-Agent: Mozilla/5.0 (Macintosh; U; PPC; en-US; rv:1.0.1) Gecko/20020823 Netscape/7.0
MIME-Version: 1.0
To: "Mail User" <meine [at] adresse>
Subject: Sidra bumsbares Weib *gg*
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: 8bit

Ob da jemand das Script geplatzt ist? Auch in dieser Mail nur der Rumpf http://www.hea. (Wieder Punkt und Schluss) :D

Erste Mail aus der Ukraine, die zweite via Romania ;)

Gruß,
Ala

alicesophie
08.07.2008, 13:53
Bei mir sind sie noch vollständig. Vielleicht ein anderer Zombie im Netzwerk?

http://www.sf.niedliche-hobbynutte.net

Received: (qmail invoked by alias); 08 Jul 2008 xx:xx:xx -0000
Received: from 122.55.133.15.pldt.net (HELO pldt.net) [122.55.133.15] by
mx0.gmx.net (mx084) with SMTP; 08 Jul 2008 xx:xx:xx +0200

Abgekippt auf den Philippinen, wenn ich die IP richtig interpretiere.

Gerlach
08.07.2008, 18:59
Ja, jetzt sind sie wieder vollständig, allerdings ...
Return-Path: <mollyleonardkaroe [at] blueyonder.co.uk>
Delivery-Date: Tue, 08 Jul 2008 xx:xx:xx +0200
Received-SPF: neutral (mxeu10: 92.235.96.180 is neither permitted nor denied by domain of blueyonder.co.uk) client-ip=92.235.96.180; envelope-from=mollyleonardkaroe [at] blueyonder.co.uk; helo=blueyonder.co.uk;
Received: from blueyonder.co.uk (92-235-96-180.cable.ubr08.wals.blueyonder.co.uk [92.235.96.180])
by mx.kundenserver.de (node=mxeu10) with ESMTP (Nemesis)
ID: [ID filtered]
Message-ID: [ID filtered]
Date: Tue, 08 Jul 2008 xx:xx:xx +0700
Reply-To: "Hyo Stewart" <mollyleonardkaroe [at] blueyonder.co.uk>
From: "Hyo Stewart" <mollyleonardkaroe [at] blueyonder.co.uk>
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.2; en-US; rv:1.6a) Gecko/20031030
MIME-Version: 1.0
To: "Freund" <???@???.de>
Subject: Serafina will lecken *g*
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: 8bit
Envelope-To: ???@???.de
Landingpage:
http://www.gt.chatte-mit-mir.net

... allerdings geht
http://live.sex.s3x.xxx.cams.live.fuck.sexcam.free.porn.amateure.private.xxx.amateurewe bcamlolita.com
zur Zeit nicht.

Gerlach
08.07.2008, 23:27
Alles wieder am Start ...
Return-Path: <efpkjyubu [at] point.ne.jp>
Delivery-Date: Tue, 08 Jul 2008 xx:xx:xx +0200
Received: from point.ne.jp (ls136.opt2.point.ne.jp [222.225.131.136])
by mx.kundenserver.de (node=mxeu7) with ESMTP (Nemesis)
ID: [ID filtered]
Message-ID: [ID filtered]
Date: Sun, 18 Jan 2009 xx:xx:xx +0900
From: "Emmie Armstrong" <efpkjyubu [at] point.ne.jp>
User-Agent: Mozilla/5.0 (Windows; U; Win 9x 4.90; en-US; rv:1.4) Gecko/20030624 Netscape/7.1 (ax)
MIME-Version: 1.0
To: "Costumer" <???@???.de>
Subject: Régine fi.ckbares Miststueck *gg
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: 8bit
Envelope-To: ???@???.de
Landingpage:
http://www.zs.hure-ganz-privat.net
Im Frame:
http://live.sex.s3x.xxx.cams.live.fuck.sexcam.free.porn.amateure.private.xxx.amateurewe bcamlolita.com/
Weiterleitung nach:
http://www.777livecams.com/cam_register.php?id=P46099
Austragen:
http://64.94.105.35:8088/

Interessanterweise eine andere ID: [ID filtered]

Ach nee, die andere ID: [ID filtered]
http://remote.777live.com/showservice.php?affiliateid=P13985

Edit: mag ein Mod vielleicht den Thread umbenennen in "777live Spam" (oder ähnliches)?

ppp
09.07.2008, 14:20
Durch die Spamflter durchgerutscht... :sick:

Return-Path: <dderhakzofut [at] tranquility.net>
X-Original-To: xxx [at] xx.de
Delivered-To: poor [at] spamvictim.tld
X-policyd-weight: NOT_IN_SBL_XBL_SPAMHAUS=-1.5 NOT_IN_SPAMCOP=-1.5 NOT_IN_BL_NJABL=-1.5 IN_IX_MANITU=4.35 CL_IP_EQ_FROM_MX=-3.1; rate: -3.25
X-Greylist: delayed 1879 seconds by postgrey-1.31 at dd15038; Tue, 08 Jul 2008 xx:xx:xx CEST
Received: from tranq1.tranquility.net (tranq1.tranquility.net [206.156.230.1])
by dd15038.kasserver.com (Postfix) with ESMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Tue, 8 Jul 2008 xx:xx:xx +0200 (CEST)
Received: from tranquility.net (n45-110-141-208.tranquility.net [208.141.110.45])
by tranq1.tranquility.net (8.13.8/8.13.8) with SMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Tue, 8 Jul 2008 xx:xx:xx -0500 (CDT)
(envelope-from dderhakzofut [at] tranquility.net)
Message-ID: [ID filtered]
Date: Tue, 08 Jul 2008 xx:xx:xx -0700
Reply-To: "Ngoc Price" <dderhakzofut [at] tranquility.net>
From: "Ngoc Price" <dderhakzofut [at] tranquility.net>
User-Agent: Opera/7.11 (Linux 2.4.20-4GB i586; U) [en]
X-Accept-Language: en-us
MIME-Version: 1.0
To: "Clint" <poor [at] spamvictim.tld>
Subject: Rozsa gleich gepoppt *g
Content-Type: text/plain;
charset="ISO 8859-1"
Content-Transfer-Encoding: 8bit




Na mein Kerl!

Ich bin die Dina und neben lesen und verreisen ist S-e-x mein grosses
Hobby! Es macht mir Spass mit den Gedanken und der Versautheit der Boys zu
spielen und dann meine Leidenschaft auszuleben! Ich habe eine Menge
verdorbene Phantasien, die ich gerne mit Dir erleben moechte! Ich bin ein
richtiges Spermaluder und liebe es Deine warme Sahne zu schlecken.

Nimm mich im Chat
http://www.jz.50-coins-umsonst.net


Gruss, Dolli Robinson

exe
09.07.2008, 14:40
Netter versteckter JavaScript-Code auf der Seite:

<script language="javascript">
var re = new RegExp("http://([-_\.0-9a-zA-Z]+)/?","ig");
var arr = re.exec(location.href);
var d=RegExp.$1;
var ss = d.split(".");
var l = ss.length;
var bd = ss[l-2] + "." + ss[l-1];
if(bd.search("hgh")==-1){
document.title = "Live Sex Cams....";
}else{
document.title = "Live Sex Cams....";
}
url="http://live.sex.s3x.xxx.cams.live.fuck.sexcam.free.porn.amateure.private.xxx.amateurewe bcamlolita.com";
var vc1='abcdef';
var vc2='01234567890abcdefghijklmnopqrstuvwxyz';
var c=Math.floor(Math.random() * 6) + 4;
var dp = vc1.charAt(Math.floor(Math.random() * 6));
for(i=1;i<c;i++){
dp = dp + vc2.charAt(Math.floor(Math.random() * vc2.length));
}
url = url.replace('www', 'www');
document.write("<HTML><HEAD><TITLE>Welcome</TITLE></HEAD><FRAMESET rows=100%,*><FRAME src=\"" + url + "\" scrolling=yes></FRAMESET></HTML>");

</script>

schara56
09.07.2008, 15:03
Der Patient hat bereits eine Akte (https://www.antispam-ev.de/forum/showthread.php?t=20283&page=3) bei uns auf der Station.

@Mods:
bitte tackern

mareike26
09.07.2008, 15:26
[x] done

schara56
09.07.2008, 15:35
BTW: anscheinend geht der Nameserver für amateurewebcamlolita.com mal wieder auf IP-Wanderschaft.
Domain Name:VBGKJSGNJKSFJKSCLKSCV.INFO
Created On:03-Jul-2008 xx:xx:xx UTC
Last Updated On:09-Jul-2008 xx:xx:xx UTC
Expiration Date:03-Jul-2009 xx:xx:xx UTC

Ich bekomme hier keinen A-Eintrag mehr - weder für die Schmuddeldomain noch für den Nameserver.

Gerlach
09.07.2008, 19:30
Return-Path: <carolnefflilax [at] tpgi.com.au>
Delivery-Date: Wed, 09 Jul 2008 xx:xx:xx +0200
Received-SPF: softfail (mxeu24: transitioning domain of tpgi.com.au does not designate 123.243.208.201 as permitted sender) client-ip=123.243.208.201; envelope-from=carolnefflilax [at] tpgi.com.au; helo=tpgi.com.au;
Received: from tpgi.com.au (123-243-208-201.static.tpgi.com.au [123.243.208.201])
by mx.kundenserver.de (node=mxeu24) with ESMTP (Nemesis)
ID: [ID filtered]
Message-ID: [ID filtered]
Reply-To: "Demetrius" <carolnefflilax [at] tpgi.com.au>
From: "Demetrius" <carolnefflilax [at] tpgi.com.au>
To: "Mail User" <???@???.de>
Subject: Shashin scharfes Miststueck *hehe
Date: Wed, 09 Jul 2008 xx:xx:xx -0700
MIME-Version: 1.0
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: 8bit
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1158
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1158
Envelope-To: ???@???.de

Landingpage:
http://www.qee.sie-will-sperma-schlucken.net
Im Frame:
http://live.sex.s3x.xxx.cams.live.fuck.sexcam.free.porn.amateure.private.xxx.amateurewe bcamlolita.com/
Grafiken werden geladen von:
http://remote.777live.com/showservice.php?affiliateid=P46099
Weiterleitung auf:
http://www.777livecams.com/index_deactivated.php

Was lesen wir da?

Site deactivated because of SPAM!

Sollte 777live sich doch von Cyberservices unterscheiden?

Abbestellen:
http://64.94.105.35:8088/

alicesophie
09.07.2008, 19:46
Der Code macht mal so gar keinen Sinn. Ich meine,


if(bd.search("hgh")==-1){
document.title = "Live Sex Cams....";
}else{
document.title = "Live Sex Cams....";
}
macht mal so gar keinen Sinn, und wieso der "Programmierer" mittels


url = url.replace('www', 'www');
etwas mit sich selber ersetzt, muss er mir auch mal erklären. Entweder war das Scriptkiddie, das hinter dem Ding steckt, total besoffen oder hat das Ding von einem Spamkollegen geklaut und modifiziert, ohne zu wissen, was er da eigentlich treibt. Ich tippe auf beides.

Und vermutlich hat er von Spammy noch 'ne Menge Kohle für den Schrott gekriegt. *grummel*

Gerlach
09.07.2008, 20:40
Den Code gab's früher schonmal vom gleichen Spammer. Der macht keinen Sinn, soll wohl nur die Nachverfolgung für automatische Spamanalyse ala Spamcop&Co erschweren. Ist natürlich für erfahrene User ein Witz.

antispam2006
09.07.2008, 21:17
Gerade der Müll für http://www.rx.analschlampelive.net eingetrudelt.

Und dieses leitet weiter auf, na ratet mal, richtig auf Cyberspamsky

http://www.maschinen-fick.com/de/trailer.php?WMID=71972

Der Rotz liegt übrigens auf 189.2.102.6 zusammen mit noch viel mehr von diesem Müll. Das scheint man ja im Tausender Pack registrieren zu können.

Es ist mittlerweile jedes Jahr dasselbe. Und Cyberspam kommt wieder ungeschoren davon.

Gruß Antispam2006

alariel
09.07.2008, 23:11
Für http://www.wyj.gedemuetigt-und-gefikkt.net/brutal und http://www.soh.gedemuetigt-und-gefikkt.net/brutal

Received: from violette.zzn.com ([213.131.37.70])
by mailin.webmailer.de (blert mi22) (RZmta 16.48)
with SMTP ID: [ID filtered]
Wed, 9 Jul 2008 xx:xx:xx +0200 (MEST)
(envelope-from: <jcdusszvegi [at] violette.zzn.com>)
Date: Wed, 09 Jul 2008 xx:xx:xx +0900
From: "Marceline" <jcdusszvegi [at] violette.zzn.com>
To: "Sharen Brooks" <... [at] ...> (ist mir neu, dass ich so heisse *g*)
Subject: Abena durchgefickt *hehe*

Oh Wunder: http://www.memberarea.tv/members/index.php?WMID=71972 ist wieder im Gespräch...
Da allerdings bekomm' ich dann nur ein 401...

Gruß,
Ala

schara56
10.07.2008, 09:11
Und wieder der Kleriker aus dem Osten, der anscheinend auch best Verbindungen zu russ. Spammerkreisen und NL (Cyberservices?) unterhält[...Die hat er aber schon mindestens ein Jahr lang - eher noch länger.
Man schaue sich nur den Admin-C von http://www.nackte-teens.de oder http://www.asia-teens.de an.
Wenigstens spielen die mit offenen Karten: http://www.memberarea.tv/cgi-bin/nph-mailverkauf.pl :sick:

kjz1
10.07.2008, 12:30
Die hat er aber schon mindestens ein Jahr lang - eher noch länger.

Da kann ich immer nur wieder auf meine Signatur verweisen. Geht man den Querverbindungen nach, stösst man immer wieder auf nur (sehr) wenige Hintermänner, die hinter all dem tagtäglichen Müll stehen.

Spam ist insofern kein Massenproblem, da stehen hinter dem großen Teil des Mülls (auch international) letztendlich nur sehr wenige Strippenzieher.

- kjz

Gerlach
29.09.2008, 09:54
Der Spammer ist seinerzeit bei 777live sehr schnell abgeklemmt worden, mal gucken, ob das wieder schnell geht.


Return-Path: <laxityojocc [at] himawarinet.ne.jp>
Delivery-Date: Sun, 28 Sep 2008 xx:xx:xx +0200
Received: from pivot.dgob.de (www.dgob.de [213.239.218.42])
by mx.kundenserver.de (node=mxeu5) with ESMTP (Nemesis)
ID: [ID filtered]
Received: by pivot.dgob.de (Postfix)
ID: [ID filtered]
Delivered-To: ???@???.de
Received: from localhost (localhost [127.0.0.1])
by pivot.dgob.de (Postfix) with ESMTP ID: [ID filtered]
for <???@???.de>; Sun, 28 Sep 2008 xx:xx:xx +0200 (CEST)
Received: from pivot.dgob.de ([127.0.0.1])
by localhost (pivot [127.0.0.1]) (amavisd-new, port 10024) with LMTP
ID: [ID filtered]
Sun, 28 Sep 2008 xx:xx:xx +0200 (CEST)
X-Greylist: delayed 20496 seconds by postgrey-1.21 at pivot; Sun, 28 Sep 2008 xx:xx:xx CEST
Received: from srv1.himawarinet.ne.jp (srv1.himawarinet.ne.jp [219.117.48.20])
by pivot.dgob.de (Postfix) with ESMTP ID: [ID filtered]
for <???@???.de>; Sun, 28 Sep 2008 xx:xx:xx +0200 (CEST)
Received: from himawarinet.ne.jp (user094-224.himawarinet.ne.jp [61.44.224.94])
by srv1.himawarinet.ne.jp (8.13.4/8.13.4) with SMTP ID: [ID filtered]
for <???@???.de>; Mon, 29 Sep 2008 xx:xx:xx +0900 (JST)
(envelope-from laxityojocc [at] himawarinet.ne.jp)
Message-ID: [ID filtered]
Date: Sun, 28 Sep 2008 xx:xx:xx -0200
Reply-To: "Yolando" <laxityojocc [at] himawarinet.ne.jp>
From: "Yolando" <laxityojocc [at] himawarinet.ne.jp>
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.0.2) Gecko/20030208 Netscape/7.02
MIME-Version: 1.0
To: "Wilfredo Robertson" <???@???.de>
Subject: Abby einfach gefic.kt-- grinz
Content-Type: text/plain;
charset="ISO 8859-1"
Content-Transfer-Encoding: 8bit
X-Virus-Scanned: by amavisd-new-20030616-p10 (Debian) at dgob.de
X-Spam-Status: No, hits=-1.7 tagged_above=-999.0 required=6.3 tests=BAYES_00
X-Spam-Level:
Envelope-To: ???@???.de
Hallöchen , mein Suesser.

Ich bin die Abebi und in meiner Frei Zeit geh ich gerne in die Disco oder Party, und dann höre ich total gerne Music. Im Bettchen liebe ich einen dominnanten, erbarmungslosen Mann der gerne die Richtung angibt und mir sagt wo es langgeht!

Ich liebe knallharte Spiele und Fetish-S-ex, vor allem aber dürfen versaute Toys nie und nimmer fehlen! Und wenn Du kommst, dann mache ich gehorsam und geil den Mund auf, damit ich Dir L-I-V-E im S.exchat das S-perma auslutschen kann!

Schmutzige Schlampen vor der live Cam
http://www.fcy.jenny-schluckt.net

Content dann von:
http://live.sex.s3x.xxx.cams.live.fuck.sexcam.free.porn.amateure.private.xxx.privateama teure.tv
http://remote.777live.com/showservice.php?affiliateid=P77234

Da sieht man dann auch gleich die neue Webmaster-ID, unter der unser Cyberservices-Spammer aktuell bei 777live agiert: P77234 (vorher war's die P46099)

Anmeldung leitet dann nach:
http://www.777livecams.com/cam_postregister.php?

schara56
29.09.2008, 10:52
Der Nameserver steht in Russland und ist relativ frisch registriert über den Schwarzhut melbourneit am 27.09.

cncnetwurk.com NS ns1.cncnetwurk.com
ns1.cncnetwurk.com A 82.118.129.135
livecamteenies15.net NS ns1.cncnetwurk.com
nimm-mich-live.net NS ns1.cncnetwurk.com
jetzt-live-******.net NS ns1.cncnetwurk.com
live-gratis-testen.net NS ns1.cncnetwurk.com
livecaml00litas.net NS ns1.cncnetwurk.com
katja-schluckt.net NS ns1.cncnetwurk.com
janine-schluckt.net NS ns1.cncnetwurk.com
susi-schluckt.net NS ns1.cncnetwurk.com
jenny-schluckt.net NS ns1.cncnetwurk.com
von-vorne-hart.net NS ns1.cncnetwurk.com
von-hinten-hart.net NS ns1.cncnetwurk.com
Auch recht interessant (http://www.robtex.com/ip/196.22.53.186.html)...

homer
29.09.2008, 12:36
Und hier die zweite Schiene:

Return-Path: <dgdevinvuadc [at] incompany.ru>
Received: from unknown (HELO hoster.incompany.ru) (83.167.0.5) by 0 with
SMTP; 29 Sep 2008 10:XX:XX -0000
Received-SPF: none (0: domain at incompany.ru does not designate permitted
sender hosts)
Received: by hoster.incompany.ru (Postfix, from userID: [ID filtered]
Mon, 29 Sep 2008 15:XX:XX +0600 (YEKST)
Received: from incompany.ru (uraltorg-2.incompany.ru [83.167.5.225]) by
hoster.incompany.ru (Postfix) with SMTP ID: [ID filtered]
Mon, 29 Sep 2008 13:XX:XX +0600 (YEKST)
Message-ID: [ID filtered]
From: "Hassan Miller" <dgdevinvuadc [at] incompany.ru>
To: "Tayna Scott" <me [at] work>
Subject: Risa artig und geil..
Date: Mon, 29 Sep 2008 09:XX:XX +0100
MIME-Version: 1.0
Content-Type: text/plain; charset="ISO 8859-1"
Content-Transfer-Encoding: 8bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft-Outlook-Express-Macintosh-Edition/5.02.2022
X-MimeOLE: Produced By Microsoft MimeOLE V5.02.2022


Naaa mein Baby!

Ich bin Mechthilde ein blondes, wuschiges Maedel das mit Dir viele schoene
Momente der Lustheit erleben will! Ich stehe zwar auf charmante und softe
Boys aber im Bettchen will ich doch auch gerne mal einen Tick fester
durchgenommen werden. Dazu sind mir heisse R0llenspiele gerade recht.

Ich bin ein Schluckluder
http://www.uo.flirte-mit-mir.net

Gruesse,
Meike Allen

Der Nameserver ns1.netw0rkcnc.com erbricht auch:

netw0rkcnc.com NS ns1.netw0rkcnc.com
ns1.netw0rkcnc.com A 82.118.129.135
teenies-schlucken-live.net NS ns1.netw0rkcnc.com
kostenlos-flirten-live.net NS ns1.netw0rkcnc.com
schluck-du-flittchen.net NS ns1.netw0rkcnc.com
l0lita-will-schlucken.net NS ns1.netw0rkcnc.com
online-cam-flirten.net NS ns1.netw0rkcnc.com
junge-lolita-chatten.net NS ns1.netw0rkcnc.com
flirte-mit-mir.net NS ns1.netw0rkcnc.com
chatte-live-gratis.net NS ns1.netw0rkcnc.com
livecam-se-x-cams.net NS ns1.netw0rkcnc.com
teeny-15-schluckt.net NS ns1.netw0rkcnc.com
kitty-schluckt.net NS ns1.netw0rkcnc.com
l0lita-feucht-versaut.net NS ns1.netw0rkcnc.com

antispam2006
29.09.2008, 18:06
Ich bekomme den Muell auch im Dutzend. Wer hat noch nicht, wer will nochmal...

Bei mir ist es http://www.kala.kitty-schluckt.net. Hier (http://www.bfk.de/bfk_dnslogger.html?query=196.22.53.186) liegt noch viel mehr, das reicht für ein paar Tage.

http://live.sex.s3x.xxx.cams.live.fuck.sexcam.free.porn.amateure.private.xxx.privateama teure.tv/layouts/sexchaty---85.197.104.11 (http://www.bfk.de/bfk_dnslogger.html?query=85.197.104.11) art-customer.net alter Schwede kann ich da nur sagen...

Anonymer Zugang gewährleistet https://www.comonline.net/. Das Whois ist auch nicht ganz sauber.

Auf der Spammerseite wird auch sexcamy.ch erwähnt, welche auf einen Russen registriert und bei der merkbefreiten Turktelekom gehostet wird. Also einmal Ringelpitz mit anfassen :sick:

Die Weiterleitung zu http://remote.777live.com/showservice.php?affiliateID: [ID filtered]

Gruß Antispam2006

schara56
29.09.2008, 19:06
...]Anonymer Zugang gewährleistet https://www.comonline.net/. Das Whois ist auch nicht ganz sauber.[...=> 91.190.153.74 -> 91.190.153.0 - 91.190.153.255 -> Beate Uhse new media :p

antispam2006
29.09.2008, 20:47
tracert in-den-popo.org ---> customers1.teledata.mz (196.22.48.18) meldet: Zielhost nicht erreichbar.

Hat da jemand die Reißleine gezogen? Kann das jemand verifizieren?

Gruß Antispam2006

alfred97
29.09.2008, 20:57
ja , ich -> customer1.teledata.mz ist Ende

Fidul
29.09.2008, 21:30
Alles gute alte Bekannte:
http://www.robtex.com/dns/privateamateure.tv.html
http://www.robtex.com/dns/sexcamy.ch.html

Wer außer der Russenmafia und deren deutschen Kunden hostet schon so etwas in der Türkei?

antispam2006
29.09.2008, 23:00
Im Moment wird http://www.zlz.lives-e-x-69.org/ beworben. Namenserver ist NAMESERVERSERVER123.ORG was zu 79.135.184.20 auflöst, was wiederrum privateamateure.tv auflöst. Und schon ist der Quatsch aufgelöst. Ich wusste das Kreuzworträtseln macht sich irgendwann mal bezahlt.:D

Gruß Antispam2006

schara56
01.10.2008, 14:46
Received: from kw-cpe-062249077206.kabelweb.at (HELO kabelweb.at) [62.249.77.206]
by mx0.gmx.net (mx039) with SMTP; 01 Oct 2008 xx:xx:xx +0200
http://www.rb.triff-mich-heute.org (ganz frisch registriert) -> geht weiter auf
http://privateamateure.tv

Zuständiger Nameserver: NS1.CNCNETWURK.COM

triff-mich-heute.org NS ns1.cncnetwurk.com
jasmin-schluckluder-live.org NS ns1.cncnetwurk.com
junge-maedchen-webcam.org NS ns1.cncnetwurk.com
livewebcamtreffen.org NS ns1.cncnetwurk.com
von-hinten-fjicken.org NS ns1.cncnetwurk.com
lass-uns-chatten.org NS ns1.cncnetwurk.com
willst-du-chatten.org NS ns1.cncnetwurk.com
blutjunge-l00litas.org NS ns1.cncnetwurk.com
junge-teeniees.org NS ns1.cncnetwurk.com
schluckt-alles.org NS ns1.cncnetwurk.com
flirten-und-spass.org NS ns1.cncnetwurk.com
dirty-talk-se-x-chat.org NS ns1.cncnetwurk.com
amateurinnen-sendet.org NS ns1.cncnetwurk.com
amateurin-sendet.org NS ns1.cncnetwurk.com
sarah-schluckt.org NS ns1.cncnetwurk.com
live-treffen-jetzt.org NS ns1.cncnetwurk.com
gratislivecams-e-x.org NS ns1.cncnetwurk.com
nimm-mich-doggy.org NS ns1.cncnetwurk.com
cncnetwurk.com NS ns1.cncnetwurk.com
ns1.cncnetwurk.com A 82.118.129.135
livecamteenies15.net NS ns1.cncnetwurk.com
nimm-mich-live.net NS ns1.cncnetwurk.com
jetzt-live-******.net NS ns1.cncnetwurk.com
live-gratis-testen.net NS ns1.cncnetwurk.com
livecaml00litas.net NS ns1.cncnetwurk.com
katja-schluckt.net NS ns1.cncnetwurk.com
janine-schluckt.net NS ns1.cncnetwurk.com
susi-schluckt.net NS ns1.cncnetwurk.com
jenny-schluckt.net NS ns1.cncnetwurk.com
von-vorne-hart.net NS ns1.cncnetwurk.com
von-hinten-hart.net NS ns1.cncnetwurk.com

schmubo
01.10.2008, 23:05
Bei mir ist es http://www.kala.kitty-schluckt.net.
Kitty schluckt.net mehr. Und Google verweist diesbezüglich nur noch auf antispam.de.

Das hat sich ja verdammt schnell ausgeschluckt...

schara56
05.10.2008, 09:52
Received: from ccnetptb.59.191.153.161.nns.ne.jp (HELO nns.ne.jp) [59.191.153.161]
by mx0.gmx.net (mx020) with SMTP; 05 Oct 2008 xx:xx:xx +0200
http://www.zgu.feuchte-muschi-live.org -> weiter zu
http://www.privateamateure.tv

Der im Whois genannte Nameserver bietet dazu noch folgendes:

blutjunge-teenies-14.org NS ns1.geheime-aufnahmen.org
blutjunge-girlies14.org NS ns1.geheime-aufnahmen.org
hardc0re-fsk18.org NS ns1.geheime-aufnahmen.org
achtung-hardc0re-fsk18.org NS ns1.geheime-aufnahmen.org
deine-schluckschlampe.org NS ns1.geheime-aufnahmen.org
verboten-und-live.org NS ns1.geheime-aufnahmen.org
feuchte-muschi-live.org NS ns1.geheime-aufnahmen.org
amateurchat-live.org NS ns1.geheime-aufnahmen.org
l0lita-strippt-live.org NS ns1.geheime-aufnahmen.org
sie-will-dich-treffen.org NS ns1.geheime-aufnahmen.org
darf-ich-schlucken.org NS ns1.geheime-aufnahmen.org
geheime-aufnahmen.org NS ns1.geheime-aufnahmen.org
ns1.geheime-aufnahmen.org A 82.118.129.135
ns1.geheime-aufnahmen.org A 211.174.185.155
kleine-maedchen-strippen.org NS ns1.geheime-aufnahmen.org
junge-girls-strippen.org NS ns1.geheime-aufnahmen.org
achtung-verb0ten.org NS ns1.geheime-aufnahmen.org
blutjunge-maedchen-chatten.org NS ns1.geheime-aufnahmen.org
amateurin-chatten.org NS ns1.geheime-aufnahmen.org
l0lita-zieht-sich-aus.org NS ns1.geheime-aufnahmen.org

deekay
05.10.2008, 13:10
Mal wieder ganz grenzwertiger P*rn*spam....

Received: from [81.89.80.5] (helo=mail.chel-net.ru)
by mx34.web.de with esmtp (WEB.DE 4.109 #226)
ID: [ID filtered]
Received: from mail.chel-net.ru (localhost [127.0.0.1])
by mail.chel-net.ru (Postfix) with ESMTP ID: [ID filtered]
Sat, 4 Oct 2008 xx:xx:xx +0600 (YEKST)
Received: from chel-net.ru (u21-0.chel-net.ru [81.89.88.91])
by mail.chel-net.ru (Postfix) with SMTP ID: [ID filtered]
Sat, 4 Oct 2008 xx:xx:xx +0600 (YEKST)
Message-ID: [ID filtered]
Date: Sat, 04 Oct 2008 xx:xx:xx +1100
From: "Jamie" <mistrydadalekv [at] chel-net.ru>
User-Agent: Mozilla/5.0 (Macintosh; U; PPC Mac OS X; en-US; rv:1.0.2) Gecko/20021120 Netscape/7.01
MIME-Version: 1.0
To: "Brenda Bennett" <^^^^^^^^@web.de>
Cc: "Ernestine Jenkins" <^^^^^^^^@web.de>,
"Ramona Duncan" <^^^^^^^^@web.de>,
"Holly" <^^^^^^^^@web.de>,
"Bart" <^^^^^^^^@web.de>,
"Fidela" <^^^^^^^^@web.de>,
"Valencia" <l^^^^^^^^@web.de>,
"Clarissa Bishop" <^^^^^^^^@web.de>,
"Johana Garcia" <^^^^^^^^@web.de>,
"Signe" <^^^^^^^^@web.de>,
"Joannie Thomas" <^^^^^^^^@web.de>
Subject: An: Anwaltskanzlei Herta Rivera
Content-Type: text/plain;
charset="ISO 8859-1"
X-Virus-Scanned: ClamAV using ClamSMTP
Content-Transfer-Encoding: quoted-printable
Sender: mistrydadalekv [at] chel-net.ru

Hey mein Freund!

Ich bin Hilda ein langbeiniges, wuschiges Teenichen das mit Dir viele geile
Momente der Lustheit erleben moechte! Ich stehe zwar auf liebevolle und
zaertliche Jungs aber im Bett will ich eher auch gerne mal einen Gang fester
gefikkt werden. Dazu sind mir dreckige R0llenspiele gerade recht.

Gratis 5 Minuten testen
http://www.nfez.kleine-maedchen-strippen.org


Bye,
Hilde Ramirez

schara56
05.10.2008, 13:33
Bekannter Patient (https://www.antispam-ev.de/forum/showthread.php?t=20283&page=6). Interessant ist noch der Eintrag bei Spamhaus dazu (http://www.spamhaus.org/sbl/sbl.lasso?query=SBL65112).

@Mods:
tackern?

Goofy
05.10.2008, 13:37
Ungut ist, dass die o.a. URL ein Javascript laden will, und dass ohne aktiviertes JS aber nichts erscheint (außer Fehlermeldung, dass JS aktiviert werden muss).

Gerade bei Pr0nseiten, die angeblich ohne JS nicht gehen wollen, sind oft Exploits gegen den IE und seine unsichere JS-Implementierung im Spiel.

truelife
05.10.2008, 14:56
document.write( unescape('%3C%73%63%72%69%70%74%20%6C%61%6E%67%75%61%67%65%3D%22%6A%61%76%61%73% 63%72%69%70%74%22%3E%0A%76%61%72%20%72%65%20%3D%20%6E%65%77%20%52%65%67%45%78%70 %28%22%68%74%74%70%3A%2F%2F%28%5B%2D%5F%5C%2E%30%2D%39%61%2D%7A%41%2D%5A%5D%2B%2 9%2F%3F%22%2C%22%69%67%22%29%3B%0A%76%61%72%20%61%72%72%20%3D%20%72%65%2E%65%78% 65%63%28%6C%6F%63%61%74%69%6F%6E%2E%68%72%65%66%29%3B%0A%76%61%72%20%64%3D%52%65 %67%45%78%70%2E%24%31%3B%0A%76%61%72%20%73%73%20%3D%20%64%2E%73%70%6C%69%74%28%2 2%2E%22%29%3B%0A%76%61%72%20%6C%20%3D%20%73%73%2E%6C%65%6E%67%74%68%3B%0A%76%61% 72%20%62%64%20%3D%20%73%73%5B%6C%2D%32%5D%20%2B%20%22%2E%22%20%2B%20%73%73%5B%6C %2D%31%5D%3B%0A%69%66%28%62%64%2E%73%65%61%72%63%68%28%22%68%67%68%22%29%3D%3D%2 D%31%29%7B%0A%09%64%6F%63%75%6D%65%6E%74%2E%74%69%74%6C%65%20%3D%20%22%4C%69%76% 65%20%53%65%78%20%43%61%6D%73%2E%2E%2E%2E%22%3B%0A%7D%65%6C%73%65%7B%0A%09%64%6F %63%75%6D%65%6E%74%2E%74%69%74%6C%65%20%3D%20%22%4C%69%76%65%20%53%65%78%20%43%6 1%6D%73%2E%2E%2E%2E%22%3B%0A%7D%0A%75%72%6C%3D%22%68%74%74%70%3A%2F%2F%6C%69%76% 65%2E%73%65%78%2E%73%33%78%2E%78%78%78%2E%63%61%6D%73%2E%6C%69%76%65%2E%66%75%63 %6B%2E%73%65%78%63%61%6D%2E%66%72%65%65%2E%70%6F%72%6E%2E%61%6D%61%74%65%75%72%6 5%2E%70%72%69%76%61%74%65%2E%78%78%78%2E%74%65%65%6E%79%2E%70%72%69%76%61%74%65% 61%6D%61%74%65%75%72%65%2E%74%76%22%3B%0A%76%61%72%20%76%63%31%3D%27%61%62%63%64 %65%66%27%3B%0A%76%61%72%20%76%63%32%3D%27%30%31%32%33%34%35%36%37%38%39%30%61%6 2%63%64%65%66%67%68%69%6A%6B%6C%6D%6E%6F%70%71%72%73%74%75%76%77%78%79%7A%27%3B% 0A%76%61%72%20%63%3D%4D%61%74%68%2E%66%6C%6F%6F%72%28%4D%61%74%68%2E%72%61%6E%64 %6F%6D%28%29%20%2A%20%36%29%20%2B%20%34%3B%0A%76%61%72%20%64%70%20%3D%20%76%63%3 1%2E%63%68%61%72%41%74%28%4D%61%74%68%2E%66%6C%6F%6F%72%28%4D%61%74%68%2E%72%61% 6E%64%6F%6D%28%29%20%2A%20%36%29%29%3B%0A%66%6F%72%28%69%3D%31%3B%69%3C%63%3B%69 %2B%2B%29%7B%0A%09%20%64%70%20%3D%20%64%70%20%2B%20%76%63%32%2E%63%68%61%72%41%7 4%28%4D%61%74%68%2E%66%6C%6F%6F%72%28%4D%61%74%68%2E%72%61%6E%64%6F%6D%28%29%20% 2A%20%76%63%32%2E%6C%65%6E%67%74%68%29%29%3B%0A%7D%0A%75%72%6C%20%3D%20%75%72%6C %2E%72%65%70%6C%61%63%65%28%27%77%77%77%27%2C%20%27%77%77%77%27%29%3B%0A%64%6F%6 3%75%6D%65%6E%74%2E%77%72%69%74%65%28%22%3C%48%54%4D%4C%3E%3C%48%45%41%44%3E%3C% 54%49%54%4C%45%3E%57%65%6C%63%6F%6D%65%3C%2F%54%49%54%4C%45%3E%3C%2F%48%45%41%44 %3E%3C%46%52%41%4D%45%53%45%54%20%72%6F%77%73%3D%31%30%30%25%2C%2A%3E%3C%46%52%4 1%4D%45%20%73%72%63%3D%5C%22%22%20%2B%20%75%72%6C%20%2B%20%22%5C%22%20%73%63%72% 6F%6C%6C%69%6E%67%3D%79%65%73%3E%3C%2F%46%52%41%4D%45%53%45%54%3E%3C%2F%48%54%4D %4C%3E%22%29%3B%0A%0A%3C%2F%73%63%72%69%70%74%3E%0A%0A' ) );
</script>

Kann das einer "übersetzen"?

schara56
05.10.2008, 14:57
Received: from 122x218x50x32.ap122.ftth.ucom.ne.jp (HELO ucom.ne.jp) [122.218.50.32]
by mx0.gmx.net (mx106) with SMTP; 05 Oct 2008 xx:xx:xx +0200
http://www.oryy.chatte-mit-mir-fsk18.org

schara56
05.10.2008, 15:05
Kuckst Du:
https://www.antispam-ev.de/forum/showthread.php?t=20283&page=6

Auch interessant: http://www.w3schools.com/jsref/tryit.asp?filename=tryjsref_decodeURI
Noch besser: http://www.paulschou.com/tools/xlate/

Dann kommt raus:

<script language="javascript">
var re = new RegExp("http://([-_\.0-9a-zA-Z]+)/?","ig");
var arr = re.exec(location.href);
var d=RegExp.$1;
var ss = d.split(".");
var l = ss.length;
var bd = ss[l-2] + "." + ss[l-1];
if(bd.search("hgh")==-1){
document.title = "Live Sex Cams....";
}else{
document.title = "Live Sex Cams....";
}
url="http://live.sex.s3x.xxx.cams.live.fuck.sexcam.free.porn.amateure.private.xxx.teeny.priv ateamateure.tv";
var vc1='abcdef';
var vc2='01234567890abcdefghijklmnopqrstuvwxyz';
var c=Math.floor(Math.random() * 6) + 4;
var dp = vc1.charAt(Math.floor(Math.random() * 6));
for(i=1;i<c;i++){
dp = dp + vc2.charAt(Math.floor(Math.random() * vc2.length));
}
url = url.replace('www', 'www');
document.write("<HTML><HEAD><TITLE>Welcome</TITLE></HEAD><FRAMESET rows=100%,*><FRAME src=\"" + url + "\" scrolling=yes></FRAMESET></HTML>");

</script>

Goofy
05.10.2008, 15:21
Der hier ist auch gut:
http://www.patzcatz.com/unescape.htm

schara56
05.10.2008, 15:24
Hihi - der Nameserver von dem Drecksspammer lässt den Zonentransfer in jede Richtung zu:

> server NS1.PRIVATEAMATEURE.TV
Standardserver: NS1.PRIVATEAMATEURE.TV
Address: 79.135.184.20

> ls -d PRIVATEAMATEURE.TV
[NS1.PRIVATEAMATEURE.TV]
PRIVATEAMATEURE.TV. SOA ns2.PRIVATEAMATEURE.TV peace.gmail.com. (2008100401 86400 7200 3600000 86400)
PRIVATEAMATEURE.TV. MX 0 PRIVATEAMATEURE.TV
PRIVATEAMATEURE.TV. NS ns1.PRIVATEAMATEURE.TV
PRIVATEAMATEURE.TV. NS ns2.PRIVATEAMATEURE.TV
PRIVATEAMATEURE.TV. A 79.135.184.20
* A 79.135.184.20
cpanel A 79.135.184.20
ftp CNAME PRIVATEAMATEURE.TV
localhost A 127.0.0.1
mail CNAME PRIVATEAMATEURE.TV
webdisk A 79.135.184.20
webmail A 79.135.184.20
whm A 79.135.184.20
www CNAME PRIVATEAMATEURE.TV
PRIVATEAMATEURE.TV. SOA ns2.PRIVATEAMATEURE.TV peace.gmail.com. (2008100401 86400 7200 3600000 86400)

schara56
09.10.2008, 16:37
Received: from chello089074114097.chello.pl (HELO chello.pl) [89.74.114.97]
by mx0.gmx.net (mx011) with SMTP; 09 Oct 2008 xx:xx:xx +0200
http://www.ldo.mit-natalie-chatten.net -> weiter zu
http://privateamateure.tv :sick:

So tief lässt der Nameserver blicken:

flirte-mit-natalie.net NS ns1.natlie-ist-ganz-feucht.net
chatte-mit-natalie.net NS ns1.natlie-ist-ganz-feucht.net
natalie-will-schlucken.net NS ns1.natlie-ist-ganz-feucht.net
mit-natalie-flirten.net NS ns1.natlie-ist-ganz-feucht.net
mit-natalie-chatten.net NS ns1.natlie-ist-ganz-feucht.net
natlie-ist-ganz-feucht.net NS ns1.natlie-ist-ganz-feucht.net
ns1.natlie-ist-ganz-feucht.net A 82.118.129.135
natalie-schluckt.net NS ns1.natlie-ist-ganz-feucht.net
natalie-will-es-hart.net NS ns1.natlie-ist-ganz-feucht.net

Mittwoch
09.10.2008, 16:48
Bei mir schlägt der Mist auch alle halbe Nase lang auf, wobei ich mich schon wundere, zu welchen Taktiken des Social Engineering die mittlerweile greifen:



Empfänger: "Kunde" [sic!] <schnipp [at] schnapp.tld>
Betreff: Hast Du Deine Nacktfotos online gestellt?

Naaa mein mein Freund!

habe Deine Nacktfotos auf http://www.zj.natalie-schluckt.net gefunden, bist
Du echt das?

Gruss,
Sophia Wilson


Schön, wenn ich als "Kunde" direkt mit "Du" und "mein Freund" tituliert werde. Erhoffen die sich ernsthaft einige Neukunden, wenn die derart abschreckend auf ihr Angebot aufmerksam machen?

Gruß
Mittwoch

Fidul
09.10.2008, 21:52
Ist eigentlich schon jemandem die pillendienst.com-Werbung vom Klosterbruder ganz unten auf den Seiten aufgefallen? Dazu edsapotheke.com, viagra-und-cialis.com und was weiß ich noch.

antispam2006
10.10.2008, 04:46
Ist eigentlich schon jemandem die pillendienst.com-Werbung vom Klosterbruder ganz unten auf den Seiten aufgefallen? Dazu edsapotheke.com, viagra-und-cialis.com und was weiß ich noch.

Mir gestern und ich dachte noch so der F*cki Viktor das passt ja zu dem Pornospam. Wenn man sich mal 211.174.185.155 (http://www.bfk.de/bfk_dnslogger.html?query=211.174.185.155) anschaut sieht man das Spammie, wie jedes Jahr, im hunderter Pack registriert hat.

Weiterleitung erfolgt, wie gehabt, zu Privateamateure.tv

Gruß Antispam2006

Usman Bello
10.10.2008, 14:09
Hat nicht der Datenaufheber T.H. erst vor wenigen Tagen die Seriosität des "Dr." M. gerühmt? Wer solche Kumpels hat, braucht sich um den eigenen Ruf in der Branche nicht zu sorgen.

schara56
11.10.2008, 12:47
Received: from eur68-3-88-172-164-89.fbx.proxad.net (HELO proxad.net) [88.172.164.89]
by mx0.gmx.net (mx049) with SMTP; 10 Oct 2008 xx:xx:xx +0200
http://www.ac.lara-will-hart-fjicken.net -> geht natürlich zu
http://www.privateamateure.tv
Der Nameserver ns1.lara-mit-riesendild0.net spuckt folgendes aus:

lara-mit-riesendild0.net NS ns1.lara-mit-riesendild0.net
ns1.lara-mit-riesendild0.net A 82.118.129.13
ns1.lara-mit-riesendild0.net A 211.174.185.155
geile-tattooschlampe-lara.net NS ns1.lara-mit-riesendild0.net
flirte-mit-lara.net NS ns1.lara-mit-riesendild0.net
chatte-mit-lara.net NS ns1.lara-mit-riesendild0.net
triff-dich-mit-lara.net NS ns1.lara-mit-riesendild0.net
lara-blaest-gerne.net NS ns1.lara-mit-riesendild0.net
lara-feucht-und-willig.net NS ns1.lara-mit-riesendild0.net
lara-fech-und-neugierig.net NS ns1.lara-mit-riesendild0.net
lara-fickt-anal.net NS ns1.lara-mit-riesendild0.net
blutjung-vor-der-cam.net NS ns1.lara-mit-riesendild0.net

NS ns1.lara-mit-riesendild0.net
nimm-lara-hart-ran.net NS ns1.lara-mit-riesendild0.net
lara-will-hart-fjicken.net NS ns1.lara-mit-riesendild0.net
lara-will-sperma-schlucken.net NS ns1.lara-mit-riesendild0.net
lara-will-schlucken.net NS ns1.lara-mit-riesendild0.net
lara-braucht-es-hart.net NS ns1.lara-mit-riesendild0.net
lara-ist-vollrasiert.net NS ns1.lara-mit-riesendild0.net

Ficki-Viktor möchte über die Bannerwerbung via wbm=105 etwas Geld verdienen.
http://www.pillendienst.com/?wbm=105
Der Webserver ist mal wieder schlampig konfiguriert - unter http://www.pillendienst.com/images/ kann man durch die Verzeichnisse stöbern.
Auch darf man drei mal raten wer die Namensauflösung für eine Ficki-Viktor-Domain bereitstellt...

Fidul
11.10.2008, 17:51
Übrigens sollte sich jeder von diesem Spam Betroffene auch bei der BNetzA über die für den "Sofortzugang" verwendete 0900-Nummer beschweren.

schara56
11.10.2008, 18:04
...] der BNetzA über die für den "Sofortzugang" verwendete 0900-Nummer beschweren.Auf privateamateure.tv finde ich keine 0900 - bin ich blind?

antispam2006
11.10.2008, 18:17
Auf privateamateure.tv finde ich keine 0900 - bin ich blind?

Hier zum Beispiel
https://www.comonline.net/pay_template/?open=form&pay_ext=1&partner_id=202&product_id=5&domain_or_group_key=scheres&skin=t7live&language_id=1&url=http%3A%2F%2Fgratis.privateamateure.tv%2Fbilling%2Fvoicecall_back.php&account_type_ids=12&access_id=26&aff=45964&tri=77234%3AVC_P77234_vc458533&session=VC_P77234_vc458533&user_id=5979667&country_id=1&currency_id=1&transid=ebd778de&account_type_id=12&action=ignition&

Gruß Antispam2006

gation
11.10.2008, 19:21
comonline.net? Ist das nicht Uhse NL?

schara56
13.10.2008, 18:55
Received: from ded-139-12.eglobalreach.net (HELO eglobalreach.net) [202.124.139.12]
by mx0.gmx.net (mx002) with SMTP; 13 Oct 2008 xx:xx:xx +0200
http://www.lry.fikk-mich-hart-durch.org/ -> weiter auf
http://live.sex.s3x.xxx.cams.live.fuck.sexcam.free.porn.amateure.private.xxx.privateama teure.tv

Fidul
13.10.2008, 21:35
80% des momentanen Spamaufkommens hier ist dieser Dreck.

antispam2006
20.10.2008, 16:58
Nachdem ich mal eine Latte Complaints (nach vorherigen Hinweis an Monika) geschickt habe ist bei mir schlagartig Ruhe.

Wie sieht das bei Euch aus?

Gruß Antispam2006

Fidul
20.10.2008, 21:12
Bei mir kommt immer noch fast nur dieser Dreck an. Offenbar hat jemand ein großes auf Deutschland gerichtetes Botnet komplett angemietet, das jetzt statt Viagra diesen Müll verbreitet. Da steckt eine erhebliche kriminelle Energie dahinter.

Die beworbenen Domains liegen momentan alle auf den beiden IPs 89.255.66.27 (RU) und 211.174.185.155 (KR). Mal sehen...

antispam2006
21.10.2008, 04:26
Dann habe ich wohl nur Glück gehabt oder hier wird Listwashing betrieben. Ich tendiere zu letzteren, da ich seit nun fast 24h von diesem Dreck verschont geblieben bin.

Jetzt ist die Ordnung von 80% Euro-Casino-Spam und 20% Restmüll wieder hergestellt.

Gruß Antispam2006

Fidul
24.10.2008, 22:10
Seit zwei Tagen ist auch hier Ruhe und der "normale" Spam ist zurück.

antispam2006
25.10.2008, 01:26
Das deckt sich auch mit der Mail die ich gestern bekommen habe




Hello,

Thank you for the information.

We have shut down the account and deactivated the domains.

Please let us know if you continue to receive any emails from domains
registered here.


Sincerely,
Moniker.com Support Center

Moniker.com
More Than A Name!
Phone:800-350-6923
Fax: (954) 969-9155

Fidul
17.11.2008, 14:03
Heute kam die Antwort der BnetzA auf meine detaillierte Beschwerde. Es war der "Wir sind für Spam nicht zuständig!" Serienbrief. Ach ja... :sick:

Gerlach
21.12.2008, 22:36
Return-Path: <ws.marketingservicesku [at] tvkg.net>
Delivery-Date: Sun, 21 Dec 2008 xx:xx:xx +0100
Received-SPF: fail (mxeu5: domain of tvkg.net does not designate 88.220.144.217 as permitted sender) client-ip=88.220.144.217; envelope-from=ws.marketingservicesku [at] tvkg.net; helo=tvkg.net;
Received: from tvkg.net (ip-88-220-144-217.isp.tvkg.net [88.220.144.217])
by mx.kundenserver.de (node=mxeu5) with ESMTP (Nemesis)
ID: [ID filtered]
Message-ID: [ID filtered]
Date: Sun, 21 Dec 2008 xx:xx:xx -0300
Reply-To: "Shena" <ws.marketingservicesku [at] tvkg.net>
From: "Shena" <ws.marketingservicesku [at] tvkg.net>
User-Agent: Mozilla/4.79C-CCK-MCD {C-UDP; EBM-APPLE} (Macintosh; U; PPC)
MIME-Version: 1.0
To: "Shena" <???@???.de>
Subject: french amateur sex
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: 8bit
Envelope-To: ???@???.de
Hallo Maenner! [...]
Gib folgende URL einfach ohne die Leerzeichen in Deinen Browser ein:
www . sexcamy . ch

http://www.sexcamy.ch
leitet dann weiter nach
http://gratis.privateamateure.tv/cam_register.php?id=P77234&targeturl=%2Findex.php%3Fid%3DP77234&camid=8784&name=Leikade&id=P77234&l=black

Da haben wir dann mal wieder 777live am spammen lassen.

kjz1
22.12.2008, 12:32
Ja, man hat anscheinend jetzt die Russen-Mafia (AKA RBN AKA TR-SISTEMNETTELECOM) beauftragt:

Received: from botanika.convex.ru (HELO convex.ru) [195.64.203.26] by mx0.gmx.net (mx023) with SMTP; 22 Dec 2008 xx:xx:xx +0100

Received: from 81-180-162-86.it4web.ro (HELO it4web.ro) [81.180.162.86] by mx0.gmx.net (mx095) with SMTP; 21 Dec 2008 xx:xx:xx +0100

Bespammt:

http://www.sexcamy.ch

IP: 79.135.184.18

http://www.spamhaus.org/sbl/sbl.lasso?query=SBL65112

als Weiterleitung auf:

http://gratis.privateamateure.tv

Da liegt dann auch noch:


777tool.com A 87.119.193.166
www.777tool.com A 87.119.193.166
777livecams.com A 87.119.193.166
166.193.119.87.in-addr.arpa PTR 777livecams.com
member.777livecams.com A 87.119.193.166
www.777livecams.com A 87.119.193.166
member.memberinfos.com A 87.119.193.166
www.memberinfos.com A 87.119.193.166
live4members.com A 87.119.193.166
counter.live4members.com A 87.119.193.166
777shows.com A 87.119.193.166
behaarte-schlampe.777shows.com A 87.119.193.166
asia-transex.777shows.com A 87.119.193.166
ns1.777systems-dns.net A 87.119.193.166

Das Bild von 'Datacenter' dieser Trümmertruppe sagt wohl alles:

Bitte keine Hotlinks setzen

- kjz

Gerlach
22.12.2008, 15:43
Received: from unnet.ru (ip-100.13.223.89.net.unnet.ru [89.223.13.100])
by mx.kundenserver.de (node=mxeu25) with ESMTP (Nemesis)
ID: [ID filtered]

Landingpage
http://www.sexcamy.ch
leitet wie gehabt weiter auf
http://gratis.privateamateure.tv/cam_register.php?id=P77234

Fidul
22.12.2008, 23:30
Bitte auch immer die für den "anonymen Zugang" auf der beworbenen Seite verwendete 0900-Nummer bei der BNetzA melden, damit dem Spammer die Einnahmen gesperrt werden. Hoffentlich.

schara56
25.12.2008, 01:05
Received: (qmail invoked by alias); 24 Dec 2008 xx:xx:xx -0000
Received: from 213.246.3.178.satgate.net (HELO satgate.net) [213.246.3.178]
by mx0.gmx.net (mx042) with SMTP; 24 Dec 2008 xx:xx:xx +0100
http://www.privateamateure.tv
Received: (qmail invoked by alias); 24 Dec 2008 xx:xx:xx -0000
Received: from 94-40-90-72.idk.net.pl (HELO idk.net.pl) [94.40.90.72]
by mx0.gmx.net (mx094) with SMTP; 24 Dec 2008 xx:xx:xx +0100
http://www.sexcamy.ch

antispam2006
25.12.2008, 11:45
Hier auch massiv

Received: from vpn-179-ch140.uln.ru (HELO uln.ru) [213.59.179.140]

privateamateure.tv

Auch wieder dabei live4members.com was interessanter Weise auf 87.119.193.166 liegt mit

777tool.com
777livecams.com
memberinfos.com
live4members.com
777shows.com
ns1.777systems-dns.net
gratis.privateamateure.tv

Schaut man sich mal nach ns1.nsx77.com um stolpert man schnell über privatamateure.de bzw. 777partner.com. Schaut man bei letzteren mal in die AGB (http://777partner.com/agbs.php) fällt auf das spammen gar nicht verboten ist... Ausserdem wird gross mit einer Mehrausschüttung (http://777partner.com/news.php) geworben.

http://www.pillendienst.com/?wbm=105 ist auch, oh wunder, mit dabei.

viagra-service.com
edsapotheke.com

Gruß Antispam2006

schara56
25.12.2008, 11:59
Warum landet man bei solchen Konstellationen in der Administration immer tendenziell bei einer bestimmten Adresse in Düsseldorf? :rolleyes:

antispam2006
25.12.2008, 14:40
Ich habe keine Ahnung. Das muss aber ein ganz grosser Zufall sein.

Gruß Antispam2006

deekay
25.12.2008, 17:01
Anscheinend ist man bei denen der Meinung diese tollen Angebote gerade an Weihnachten verschicken zu müssen :titten:

schara56
27.12.2008, 10:56
Received: (qmail invoked by alias); 27 Dec 2008 xx:xx:xx -0000
Received: from 121.97.182.66.BTI.NET.PH (HELO bti.net.ph) [121.97.182.66]
by mx0.gmx.net (mx029) with SMTP; 27 Dec 2008 xx:xx:xx +0100
http://www.privateamateure.tv

Schön zu sehen:
X-GMX-Antispam: 2 (GMX Team content list: 1)

schara56
30.12.2008, 16:52
Received: from 200-171-70-108.dsl.telesp.net.br (HELO telesp.net.br) [200.171.70.108]
by mx0.gmx.net (mx105) with SMTP; 30 Dec 2008 xx:xx:xx +0100
http://www.privateamateure.tv

FTP - 21 220---------- Welcome to Pure-FTPd [TLS] ----------
220-You are user number 1 of 50 allowed.
220-Local time is now 17:48. Server port: 21.
220-IPv6 connections are also welcome on this server.
220 You will be disconnected after 15 minutes of inactivity.
220 Logout.
SMTP - 25 Error: TimedOut
HTTP - 80 Error: ConnectionRefused
POP3 - 110 +OK Hello there.
IMAP - 143 Error: TimedOut
Hmm ... Port 80 via TCP dicht?
Kann mich dunkel erinnern, dass Sistemnet Telekomunikasyon zum RBN gehört bzw. RBN-nah einzuordnen ist.

antispam2006
07.01.2009, 17:09
Es geht munter weiter...

http://www.Karrie.14-jahre-und-eng.net
http://www.Heath.nackt-erst-13.net
http://www.Benni.so-unschuldig-13.net
http://www.Jolene.chatte-mit-mir-live.net
http://www.Eolande.maedchen-versaut-im-chat.net
http://www.Colly.ganz-unschuldig13.net

Als Namensserver fungiert FLIRTE-MIT-IHR.NET

Allesamt registriert über Regtime Ltd. regtime.net

Der Müll liegt auf 70.86.57.179 Schwarzhut Theplanet

Der Rest ist schnell erzählt

Weiterleitung zu sexycamy.ch alias http://gratis.privateamateure.tv/cam_register.php?id=P77234
wo dann auch die Anmeldung erfolgen soll.

Gruß Antispam2006

Fidul
07.01.2009, 17:38
Ja, seit gestern scheint das perverse Schwein aus dem Urlaub zurück zu sein.

Optimistisch wie ich nun mal bin, habe ich sowohl für die 70.86.57.179 als auch 145.53.186.114 (ns1.flirte-mit-ihr.net) und 63.215.127.219 (ns2.flirte-mit-ihr.net) die fälligen Beschwerden geschickt. Hoffentlich duldet dort niemand diese eindeutig kinderpornographisch klingenden Domainnamen, auch wenn dort nur auf "normale" Pornographie weitergeleitet wird.

Schnubbi
08.01.2009, 11:51
Received: from [89.39.55.26] (helo=fdx.ro)
by mx39.web.de with smtp (WEB.DE 4.110 #273)
ID: [ID filtered]
for *.*@*.de; Thu, 08 Jan 2009 xx:xx:xx +0100
Message-ID: [ID filtered]
Date: Thu, 08 Jan 2009 xx:xx:xx -0700
Reply-To: "Nanete" <g.wienandaqyn [at] fdx.ro>
From: "Nanete" <g.wienandaqyn [at] fdx.ro>
User-Agent: Mozilla 4.78 [en] (Win98; U)
X-Accept-Language: en-us
MIME-Version: 1.0
To: "Nanette" <*.*@*.de>
Subject: Heisse Bilder von T.eenie Cindy
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: 8bit


Hallo mein Suesser! Ich bin die HeisseJasmin und auch, wenn ich wie die meisten Frauen gerne shoppen gehe, so ist doch s_e_x mein allergroeßtes Hobby!

* Schwafel *

Schenkst Du mir Deine Aufmerksamkeit? http://www.Nanette.mu-schi-ist-nass.net

Soso, "Nanette" heißt "Jasmin" und will mir Bilder von "Cindy" zeigen ... :clown: :rolleyes:

antispam2006
08.01.2009, 17:40
Soso, "Nanette" heißt "Jasmin" und will mir Bilder von "Cindy" zeigen ... :clown: :rolleyes:

Ich heise zwar nicht Cindy zeige dir aber den dazugehörigen Thread http://www.antispam-ev.de/forum/showthread.php?t=20283&page=9

@Mods tackern?

Gruß Antispam2006

[x] Tackermündung freiblase

schara56
08.01.2009, 21:12
Received: from gd202157001132.u11.kcn-tv.ne.jp (HELO kcn-tv.ne.jp) [202.157.1.132]
by mx0.gmx.net (mx084) with SMTP; 08 Jan 2009 xx:xx:xx +0100
http://www.Jinny.flirt-doch-mit-ihr.net
Die Schmuddelliste lautet wie folgt:

so-unschuldig-13.net NS ns1.flirte-mit-ihr.net
nackt-erst-13.net NS ns1.flirte-mit-ihr.net
ganz-unschuldig13.net NS ns1.flirte-mit-ihr.net
chattenflirten69.net NS ns1.flirte-mit-ihr.net
nett-flirten-sie.net NS ns1.flirte-mit-ihr.net
chatte-mit-mir-live.net NS ns1.flirte-mit-ihr.net
teenie-wichst-live.net NS ns1.flirte-mit-ihr.net
14-jahre-und-eng.net NS ns1.flirte-mit-ihr.net
sie-ist-so-jung.net NS ns1.flirte-mit-ihr.net
sie-will-sp-erma-schlucken.net NS ns1.flirte-mit-ihr.net
hardcore-flirten.net NS ns1.flirte-mit-ihr.net
nett-chatten-flirten.net NS ns1.flirte-mit-ihr.net
flirtenundchatten.net NS ns1.flirte-mit-ihr.net
flirte-mit-ihr.net NS ns1.flirte-mit-ihr.net
flirt-doch-mit-ihr.net NS ns1.flirte-mit-ihr.net
mu-schi-ist-nass.net NS ns1.flirte-mit-ihr.net
meine-mu-schi-ganz-nass.net NS ns1.flirte-mit-ihr.net
blutjung-zuckersuess.net NS ns1.flirte-mit-ihr.net
maedchen-versaut-im-chat.net NS ns1.flirte-mit-ihr.net
jung-und-unverbraucht.net NS ns1.flirte-mit-ihr.net
blutjunges-nackt.net NS ns1.flirte-mit-ihr.net
sie-ist-ganz-nackt.net NS ns1.flirte-mit-ihr.net
Wie gewohnt geht das dann immer zu http://www.Privateamateure.tv bzw. http://sexcamy.ch

deekay
08.01.2009, 23:12
Na die netten Domains mit "14" und "13" sind ja mal wieder ganz üble Registrierungen :sick::sick:

schara56
08.01.2009, 23:19
...] ganz üble Registrierungen [...Das wunder nicht: Registrar: REGTIME LTD. :sick:

Fidul
08.01.2009, 23:59
Theplanet scheint recht schnell den Stecker gezogen zu haben, denn der ganze Vorschaltdreck liegt jetzt plötzlich zu Hause in der Türkei beim Spamziel: 79.135.184.20

Leider sind die beiden Nameserver immer noch aktiv.

schara56
09.01.2009, 11:14
Received: from 16.176.61.113.static.tcol.com.tw (HELO tcol.com.tw) [113.61.176.16]
by mx0.gmx.net (mx031) with SMTP; 09 Jan 2009 xx:xx:xx +0100
[ ... ]
X-GMX-Antispam: 2 (GMX Team content list: 0.92)
http://www.blablub.14-jahre-und-eng.net

Ich vermute schon fast, dass die URLs personifiziert sind - daher das "blablub".

schara56
15.01.2009, 11:55
Received: from 85-171-149-51.rev.numericable.fr (HELO numericable.fr) [85.171.149.51]
by mx0.gmx.net (mx093) with SMTP; 15 Jan 2009 xx:xx:xx +0100
[ ... ]
X-GMX-Htest: 0.9399999999999999
X-GMX-Antispam: 2 (GMX Team content list: 0.9399999999999999)
http://www.blutjung-zuckersuess.net -> wird derzeit im DNS wohl nur noch aus den Caches bedient:

> set q=a
> blutjung-zuckersuess.net
Server: [79.135.184.20]
Address: 79.135.184.20

*** blutjung-zuckersuess.net wurde von [79.135.184.20] nicht gefunden: BAD ERROR VALUE 79.135.184.20 ist der angeblich zuständige Nameserver für den Schrott.

so-unschuldig-13.net NS ns1.flirte-mit-ihr.net
nackt-erst-13.net NS ns1.flirte-mit-ihr.net
ganz-unschuldig13.net NS ns1.flirte-mit-ihr.net
chattenflirten69.net NS ns1.flirte-mit-ihr.net
nett-flirten-sie.net NS ns1.flirte-mit-ihr.net
chatte-mit-mir-live.net NS ns1.flirte-mit-ihr.net
teenie-wichst-live.net NS ns1.flirte-mit-ihr.net
14-jahre-und-eng.net NS ns1.flirte-mit-ihr.net
sie-ist-so-jung.net NS ns1.flirte-mit-ihr.net
sie-will-sp-erma-schlucken.net NS ns1.flirte-mit-ihr.net
hardcore-flirten.net NS ns1.flirte-mit-ihr.net
nett-chatten-flirten.net NS ns1.flirte-mit-ihr.net
flirtenundchatten.net NS ns1.flirte-mit-ihr.net
flirte-mit-ihr.net NS ns1.flirte-mit-ihr.net
flirt-doch-mit-ihr.net NS ns1.flirte-mit-ihr.net
mu-schi-ist-nass.net NS ns1.flirte-mit-ihr.net
meine-mu-schi-ganz-nass.net NS ns1.flirte-mit-ihr.net
blutjung-zuckersuess.net NS ns1.flirte-mit-ihr.net
maedchen-versaut-im-chat.net NS ns1.flirte-mit-ihr.net
jung-und-unverbraucht.net NS ns1.flirte-mit-ihr.net
blutjunges-nackt.net NS ns1.flirte-mit-ihr.net
sie-ist-ganz-nackt.net NS ns1.flirte-mit-ihr.net

Ansonsten wie üblich:
http://www.sexcamy.ch
http://www.privatamateure.tv
http://www.777livecams.com

Schnubbi
15.01.2009, 12:56
Received: from [84.238.214.177] (helo=medicom.bg)
by mx33.web.de with smtp (WEB.DE 4.110 #273)
ID: [ID filtered]
for *@*.de; Thu, 15 Jan 2009 xx:xx:xx +0100
Message-ID: [ID filtered]
Reply-To: "Chelsey" <chavezoprud [at] medicom.bg>
From: "Chelsey" <chavezoprud [at] medicom.bg>
To: "Chelsey" <*@*.de>
Subject: Andrea 21
Date: Thu, 15 Jan 2009 xx:xx:xx +0300
MIME-Version: 1.0
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: 8bit


Hallo Maenner, ich bin das rassige Kaetzchen KIMBERLY und liebe die Sonne, den Strand und das Meer!
** Schwafel **
Chatte gleich mit mir
Besuch mich auf...
www.jung-und-unverbraucht.net

schara56
15.01.2009, 13:32
Hmmm...bei denen in den niederen Landen scheint das DNS ja auch ganz gut zu husten:

Domain Name: JUNG-UND-UNVERBRAUCHT.NET
Registrar: REGTIME LTD.
Whois Server: whois.regtime.net
Referral URL: http://www.webnames.ru
Name Server: NS1.FLIRTE-MIT-IHR.NET
Name Server: NS2.FLIRTE-MIT-IHR.NET
Status: ok
Updated Date: 06-jan-2009
Creation Date: 06-jan-2009
Expiration Date: 06-jan-2010

Der Nameserver ns1 ist gem. IP-Adresse bei planet.nl und weiß soviel wie vier Meter Feldweg auf dem Brocken im Harz:

> server NS1.FLIRTE-MIT-IHR.NET
Standardserver: NS1.FLIRTE-MIT-IHR.NET
Address: 145.53.186.114

> set q=soa
> FLIRTE-MIT-IHR.NET
Server: NS1.FLIRTE-MIT-IHR.NET
Address: 145.53.186.114

DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Zeitüberschreitung bei Anforderung an NS1.FLIRTE-MIT-IHR.NET

kjz1
15.01.2009, 16:19
Hier auch über Botnet:

Received: from fj073.net117104033.thn.ne.jp (HELO thn.ne.jp) [117.104.33.73] by mx0.gmx.net (mx084) with SMTP; 15 Jan 2009 xx:xx:xx +0100

Die Whois-Daten und der Hoster deuten recht eindeutig nach NL. Und wenn ich mir dann noch die 'Schweine-Prosa' anschaue (die ich hier nicht zitieren möchte), würde ich sagen: Cyberservices mal wieder.

@Mods: ggf. tackern

http://www.blutjung-zuckersuess.net

IP: 79.135.184.20 ---> Sistemnet Telekomunikasyon, TR (also gehostet bei einem Unternehmen der Russenmafia alias RBN)

Nameserver:

http://ns1.flirte-mit-ihr.net

und auf der Website und den Nameservern findet man noch:

http://Privateamateure.tv 79.135.184.20

http://www.777livecams.com 87.119.193.166 ---> INET-People, Duesseldorf/NL-777Live-Amsterdam

http://777-systems.com 200.124.142.4 ---> nla01.777live.com/E-Commerce Park, N.V.

http://nsx77.com 87.119.193.166

http://777systems-dns.net 87.119.193.166

- kjz

kjz1
15.01.2009, 18:00
Man legt nach:

Received: from adsl-ova24-74-207-85.bluetone.cz (HELO bluetone.cz)
[85.207.74.24] by mx0.gmx.net (mx053) with SMTP; 15 Jan 2009 xx:xx:xx +0100

http://www.jung-und-unverbraucht.net 79.135.184.20 ---> TR-SISTEMNETTELECOM

Nameserver:

http://ns1.flirte-mit-ihr.net

ausserdem findet man auf der Seite noch:

http://www.777partner.com/?id=P77234 87.119.193.171 ---> INET-People, Düsseldorf

http://www.pillendienst.com/?wbm=105 91.184.53.82 ---> edsapotheke.com/VCN Corp. / kolido.net / SPEEDPARTNER-MNT, Neuss

Also auch Pillz und der 'Nachfolger' der altbekannten edsapotheke. Und die Bildchen liefert:

http://www.privateamateure.tv/cialisviagra_800x60_01.gif

Post hätte wohl gerne:

jamesking33 [at] yahoo.com

Mit anderen Worten: mal wieder alles beisammen, was in der (multikriminellen) Branche 'Rang und Namen' hat....

- kjz

kjz1
16.01.2009, 11:55
Neue Ladung Cyberdreck:

Received: from client-191.148.120.85.satelnet.ro (HELO satelnet.ro)
[85.120.148.191] by mx0.gmx.net (mx024) with SMTP; 16 Jan 2009 xx:xx:xx +0100

Received: from hst-214-177.medicom.bg (HELO medicom.bg) [84.238.214.177] by mx0.gmx.net (mx087) with SMTP; 16 Jan 2009 xx:xx:xx +0100

Received: from 98.15.175.79nnov.ptl.ru (HELO ptl.ru) [79.175.15.98] by mx0.gmx.net (mx018) with SMTP; 16 Jan 2009 xx:xx:xx +0100

Received: from 84-163.user.umedalen.ac (HELO umedalen.ac) [80.244.84.163] by mx0.gmx.net (mx053) with SMTP; 16 Jan 2009 xx:xx:xx +0100

Bespammt:

http://www.14-jahre-und-eng.net

Da hat man wohl groß bei der Russenmafia investiert...

- kjz

Schnubbi
16.01.2009, 11:56
Received: from [81.82.195.144] (helo=telenet.be)
by mx44.web.de with smtp (WEB.DE 4.110 #277)
ID: [ID filtered]
for *@*.de; Fri, 16 Jan 2009 xx:xx:xx +0100
Message-ID: [ID filtered]
Reply-To: "Hadria" <mrascheuet [at] telenet.be>
From: "Hadria" <mrascheuet [at] telenet.be>
To: "Hadria" <*@*.de>
Subject: Supersuesses SchulT.een (19) voll in Fahrt
Date: Fri, 16 Jan 2009 xx:xx:xx -1100

www.14-jahre-und-eng.net

Fidul
16.01.2009, 15:11
Solche eindeutigen URLs bitte auch immer melden (http://www.jugendschutz.net/hotline/index.html). Angesichts der offensichtlichen Verbändelung mit der Russenmafia (Botnet, Hosting, Pillen...) kann nicht ausgeschlossen werden, daß demnächst wirklich KiPo im Angebot ist.

TillP
16.01.2009, 15:31
Selbst wenn da nie wirklich KiPo drauf kommt, könnte vielleicht schon die eindeutige Adresse reichen, um auf die neue Sperrliste zu kommen.

Dann wer die Liste ja sogar zu was gut, wenn den Spammern dadurch die Einnahmequelle genommen wird.


Kann natürlich auch sein, dass da jemand versucht, ein Diskussionsforum für 14 Jahre alte Kleinwagen aufzubauen, aber das ist doch eher unwahrscheinlich.

kjz1
16.01.2009, 20:23
Bei URIBL sind sie jedenfalls alle 'angeschwärzt'. Zusammen mit dem Botnet-Versand sollte Spammy den Dreck eigentlich bei keinem vernünftig konfigurierten Mailserver mehr durchbekommen.

- kjz

kjz1
17.01.2009, 19:52
Heute:

Received: from h811142.baiamare.ipn.ro (HELO fetnet.net) [77.81.114.2] by mx0.gmx.net (mx026) with SMTP; 17 Jan 2009 xx:xx:xx +01008

Bespammt:

http://www.blutjunges-nackt.net

- kjz

schara56
18.01.2009, 10:05
Received: from 89-28-98-109.starnet.md (EHLO heisse-schlampen.info) [89.28.98.109]
by mx0.gmx.net (mx027) with SMTP; 18 Jan 2009 xx:xx:xx +0100
Received: from unknown (211.92.10.187)
by smtp.doneohx.com with QMQP; Sat, 17 Jan 2009 xx:xx:xx -0600
Received: from unknown (HELO mailout.endmonthnow.com) (Sat, 17 Jan 2009 xx:xx:xx -0600)
by m1.gns.snv.thisdomainl.com with LOCAL; Sat, 17 Jan 2009 xx:xx:xx -0600
Received: from relay-x.misswldrs.com [100.210.48.91] by smtp.mixedthings.net with ASMTP; Sat, 17 Jan 2009 xx:xx:xx -0600
[...]
X-GMX-Antispam: 2 (GMX Team content blacklist)
http://www.heisse-schlampen.info - "Abmelden" unter
http://remove.heisse-schlampen.info/abmelden.php

Auf der Webseite findet sich auch noch http://www.777partner.com/?id=P19877
Neu in dem ganzen Wust scheint nun die Firma Trabia-Network S.R.L. zu sein - vgl. TRABIA-MNT (http://www.db.ripe.net/whois?form_type=simple&full_query_string=&searchtext=TRABIA-MNT&submit.x=0&submit.y=0&submit=Search) und TNET-RIPE (http://www.db.ripe.net/whois?searchtext=TNET-RIPE&form_type=simple).

Der Patient ist bereits aufgefallen:
http://www.freeimagehosting.net/uploads/th.049acf6efb.png (http://www.freeimagehosting.net/image.php?049acf6efb.png)

antispam2006
18.01.2009, 17:40
Bei mir auch

Return-Path: <servicecoyss [at] heisse-schlampen.info>
Received: from 202-136.lulin-net.com (EHLO heisse-schlampen.info) [77.78.136.202] by mx0.gmx.net (mx048) with SMTP; 18 Jan 2009 xx:xx:xx +0100
Received: from nntp.pinxodet.net ([193.71.56.23]) by relay-x.misswldrs.com with QMQP; Sun, 18 Jan 2009 xx:xx:xx +0700
Received: from unknown (HELO m1.gns.snv.thisdomainl.com) (Sun, 18 Jan 2009 xx:xx:xx +0700)by mtu23.bigping.com with NNFMP; Sun, 18 Jan 2009 xx:xx:xx +0700
Message-ID: [ID filtered]

http://www.junge-schlampen.info

Unser Persoenlicher Promocoupon: lol

Um Dich bei unserem Newsletter dauerhaft zu entfernen, hier klicken:
http://abmelden.junge-schlampen.info/abmelden.php

Du wirst dann keine weiteren Benachrichtigungen mehr bekommen. (Ja sicher)
--------------------------------------------------------------------------

Das ganze liegt auf 93.127.247.6

Der Namensserver spenelli.com spuckt noch dieses aus


hxaswxaute.your-net-doctor.com -> myRXCash.com bzw. rx-promo.com Russki
miux.your-net-doctor.com
a.ns.junge-schlampen.info
a.ns.heisse-schlampen.info
a.mx.heisse-schlampen.info

heisse-schlampen.info liegt auch auf 93.127.247.5

zusammen mit

secure.heisse-schlampen.info
delete.heisse-schlampen.info
www.heisse-schlampen.info
treffpunkt.us
unsubscribe.treffpunkt.us
remove.treffpunkt.us
www.treffpunkt.us

Im Impressum von 777livecams.com wird als Betreiber eine deutsche Adresse benannt (ich bin mir sicher vor ein paar Tagen noch nicht).

Über google kommt man dann hier (http://www.branchen-domain.de/eintrag/7231-neumann-berlin) heraus. Ich denke hier kann man etwas machen, wenn der massive Spam nicht aufhört.

Gruß Antoispam2006

kjz1
18.01.2009, 18:32
Neuer Tag, neuer Dreck:

Received: from ppp-217-77-223-205.wildpark.net (HELO wildpark.net)
[217.77.223.205] by mx0.gmx.net (mx010) with SMTP; 18 Jan 2009 xx:xx:xx +0100

Received: from 174.219.6.200.intelnet.net.gt (HELO intelnet.net.gt)
[200.6.219.174] by mx0.gmx.net (mx033) with SMTP; 18 Jan 2009 xx:xx:xx +0100

Bespammt:

http://www.sie-ist-ganz-nackt.net

Post hätte natürlich wieder gerne:

jamesking33 [at] yahoo.com

Im übrigen sind diese 'Dubletten' mal wieder ganz typisch für Alex/Yambo, aber dass man hier die Russenmafia zum Spammen angeheuert hat, sagte ich ja schon....

- kjz

schara56
19.01.2009, 08:14
...] Im Impressum von 777livecams.com wird als Betreiber eine deutsche Adresse benannt [...Ich sehe da nur das Impressum welche auf die niederländischen Antillen verweist:
http://www.freeimagehosting.net/uploads/5cb4d484f8.png (http://www.freeimagehosting.net/) - hast Du ein anderes Impressum per Screenshot sichern können?

deekay
19.01.2009, 09:37
Antwort von Jugendschutz.net

Sehr geehrte/r Hinweisgeber/in,

vielen Dank für Ihren Hinweis.

Leider handelt es sich dabei nicht um einen Einzelfall. Unerwünschte
Werbung, so genannte Spam-Mails, werden mittlerweile täglich massenhaft
verschickt.

In den meisten Fällen werden darin pornografische Web-Angebote beworben und
man versucht die Adressaten mittels unlauterer Methoden (pornografische
Appetizer, automatische Weiterleitung o.ä.) auf die verlinkten Angebote zu
locken. Das kommerzielle Interesse des Anbieters steht hierbei im
Vordergrund. Nicht selten wird dabei auf Websites mit kostenpflichtigen
Dialer-Zugängen verwiesen. Dies stellt insbesondere dann ein Problem dar,
wenn Kinder und Jugendliche mit solchen Mails und den verlinkten Inhalten
konfrontiert werden.

Ich habe das in der E-Mail beworbene Angebot gesichtet. Es handelte sich um
Werbung für ein pornografisches Angebot. Die verlinkte Website wird jedoch
von einem Server aus den Niederlanden ins Web gestellt. Dort wird die
Verbreitung solcher Inhalte meist nicht sanktioniert, so dass unsere
Handlungsmöglichkeiten leider beschränkt sind. Dennoch versucht
jugendschutz.net im Kontakt mit ausländischen Providern und über die
Beteiligung an internationalen Netzwerken (INACH und INHOPE)
grenzüberschreitende Lösungen voranzubringen.

In diesem konkreten Fall habe ich das Angebot an unsere dortige
Partner-Hotline Meldpunt weitergeleitet und die Kollegen gebeten, geeignete
Maßnahmen einzuleiten.

Eine allgemeine Blablabla Mail mit Standtard-Textbausteinen.

schara56
21.01.2009, 14:35
Ich habe mal bei Beate Uhse angefragt in wieweit sie (Beate Uhse) hier involviert sind - dsie Antwort kam heute:

...] wir machen lediglich das Inkasso für diesen Cambetreiber.
Im Impressum unter http://www.777live.com finden Sie die Kontaktdaten.
Bitte wenden Sie sich direkt an den Cambetreiber. [...:skull:

antispam2006
25.01.2009, 12:03
Zur Zeit wird 14jahre-feucht-geil.net und sie-schluckt-alles.net. Alles führt, wie gehabt, zu 777livecams.com. Soweit nichts neues. Als Namensserver nutzt man ns1.selinde-will-chatten.net und neuerdings metoffice.meteorology.net.
Ich werde mal den Betreiber dieser Domain mal anschreiben und Fragen ob das der Sinn der Übung sein soll. Ausserdem werde ich mal deutsche Behörden anschreiben, da ich hinter den Domains KiPo vermute. Mal schauen wie lange der Spass dann noch weiter geht.

Im Übrigen scheint bei 777livecams.com verschiedene Impressumdaten im Umlauf zu sein, es kommt anscheinend darauf an, über welchen Kanal mal hereinkommt. Mir sind im Moment diese 4 bekannt.
http://img177.imageshack.us/my.php?image=unbenanntrb0.png
http://img50.imageshack.us/my.php?image=unbenannt2kf1.png
http://img50.imageshack.us/my.php?image=unbenannt3yl0.png
http://img50.imageshack.us/my.php?image=unbenannt4gd6.png

Gruß Antispam2006

kjz1
25.01.2009, 12:48
Ausserdem werde ich mal deutsche Behörden anschreiben, da ich hinter den Domains KiPo vermute.

Da wird man antworten: ist Niederlande, da kann man überhaupt nichts tun.... Allenfalls noch eine Weiterleitung zum Meldpunt. Ansonsten kommt in den versch. Whois-Daten dreimal das Kürzel 'JSB' vor. Scheint einer der führenden Strohmänner zu sein...

- kjz

gation
25.01.2009, 20:26
wir machen lediglich das Inkasso für diesen Cambetreiber.
Jau, und man kennt die Firma auch sicher gar nicht. Von F* Sch* hat man in Flensburg nie gehört. Klar. Wurden die Flensburger wohl nicht zum Delfinschwimmen eingeladen, oder wie? (Insiderjoke)

http://centralops.net/co/DomainDossier.aspx?addr=777live.de&dom_dns=true&dom_whois=true&net_whois=true&svc_scan=true&traceroute=true&go1=Submit

Ach ja... JSB ist keineswegs eine wichtige Person, sondern vermutlich die Abkürzung für "Jugendschutzbeaufragter". Wie das auf niederländisch heißt, weiß ich nicht - aber ob es da überhaupt jemanden gibt, der sich auf niederländisch unterhält?
I doubt (http://dereferrer.com/http://www.jaginforum.de/partnerprogramme/44353-777partner-com-newsletter-alle-bitte-lesen.html)
Zu diesen Namen könnte man viel erzählen... Aconti, Partnerpages, HdV,deutschen Trafficmarkt leer kaufen, Killah, usw usf :)

Die 777-Systems NV residiert im E-Commerce-Park Vredenberg, nette Firmengründung (http://www.curacao-chamber.an/info/registry/excerpt.asp?mode=edit&companyid=99222&establishmentnr=0&legalformid=51) von einem gewissen Herrn van C*

gation
01.02.2009, 21:47
Wer verbirgt sich hinter 14jahre-feucht-geil.net? Ich weiß es nicht... Aber wer profitiert davon, wenn man von dort aus bei 777live Kunde wird? Na?

comonl***.net/pay_template/?open=form&pay_ext=1&partner_id=202&product_id=5&domain_or_group_key=scheres&skin=t7live&language_id=1&url=http%3A%2F%2Fwww.777livecams.com%2Fbilling%2Fvoicecall_back.php&account_type_ids=12&access_id=26&aff=45964&tri=77234%3AVC_P77234_vc591805&session=VC_P77234_vc591805&user_id=6153365&country_id=1&currency_id=1&transid=113cabe9&account_type_id=12&action=ignition&PHPSESSID=***

was bedeutet nur "Scheres" (http://centralops.net/co/DomainDossier.aspx?addr=777live.de&dom_dns=true&dom_whois=true&net_whois=true&svc_scan=true&traceroute=true&go1=Submit)?
Ob jugendschutz.net dort mal nachfragen sollte?

Beim whois von comonline.net (http://centralops.net/co/DomainDossier.aspx?addr=comonline.net&dom_dns=true&dom_whois=true&net_whois=true&svc_scan=true&traceroute=true&go1=Submit) fühlt man sich dann an alte Dialerzeiten erinnert...
...und wie (http://centralops.net/co/DomainDossier.aspx?addr=et-onlineservice.ag&dom_dns=true&dom_whois=true&net_whois=true&svc_scan=true&traceroute=true&go1=Submit)...
Erinnert sich noch jemand an Dutchweb24 (http://forum.computerbetrug.de/72642-post5.html)?

PS: Ich bekomme diesen Spam mittlerweile auch und habe es heute mal nicht gelöscht...

Die 09005-Nummer für das Call-by-Call ist diese hier (http://bo2005.regtp.de/prg/srvcno/srvcno900.asp?USessionID=0&sStartDS=1&sScriptID=59&ruf_nr=510446601&Suche=Absenden)
Die Firma ist offenbar so anonym, dass man sie nicht einmal in Flensburg kennt (http://www.google.de/search?hl=de&q=%22et+onlineservice+ag%22+uhse&btnG=Google-Suche&meta=)

Den Schweizer "Strohmann" (http://www.hr-monitor.ch/f/ET-Onlineservice_AG_CH-170.3.030.671-2_14336673.html) kennt man allerdings, beispielsweise in seiner Funktion als Strohmann für eine gewisse EYPO AG (http://www.hr-monitor.ch/f/EYPO_AG_in_Liquidation_CH-130.3.009.606-0_13985118.html)

Sirius
01.02.2009, 22:09
Hoppla - RIPE-Database (http://www.db.ripe.net/whois?form_type=simple&full_query_string=&searchtext=Fred+Scheres). Nette Kontakte: Porno-Anwalt (http://tinyurl.com/bx64uh) usw....

gation
01.02.2009, 22:15
Freilich, der Herr Sch* (jagin: Fred!) gehört zu den ersten Namen, die mir als Dialerforscher überhaupt begegnet sind... Bereits im Dezember 2003 habe ich den Namen erstmals gespeichert, die Datei hieß "in-telegence und Eurowebtainment". Rofl! Denn: Unter seinen bestätigten Kontakten: Frau Dr "ich-tappe-im-Dunkeln" S* Kl* (http://www.heise.de/ct/03/13/046/) - von in-telegence zu Magenta gewechselt, "Senior Expertin Regulierung". Na priml, würde Kommissar Kluftinger sagen... Lauter alte Freunde...

PS:
in memoriam Spammer-Hammer

R* W*und das Firmennetz

Sirius
01.02.2009, 22:34
Putzig, Rita aus der Schwyz kennt den auch. Bösch - da war doch was ...

gation
01.02.2009, 22:37
Putzig, Rita aus der Schwyz kennt den auch. Bösch - da war doch was ...
Na sag ich doch... Und unter seinen bestätigten Kontakten ist ja auch L*S* von beate uhse new media. Daher schrieb ich ja:

Jau, und man kennt die Firma auch sicher gar nicht. Von F* Sch* hat man in Flensburg nie gehört. Klar.
L*S* war webmaster bei comonline und ist seit 1996 bei Beate Uhse für Datenschutz und Billingsysteme zuständig.

gation
01.02.2009, 22:46
Das ist auch ein netter Beitrag: Alles vereint :)
http://www.sajonara.de/2008/02/21/erotikspam-auf-der-spur-fall-marita/

Auf www.axde.de finden wir als Startseite lediglich ein Impressum und AGB von einer Limited, für die ein Herr aus Bremen zuständig ist, die ihren Sitz aber eigentlich in Hampshire hat.
Der Jürgen T :) (http://centralops.net/co/DomainDossier.aspx?addr=axde.de&dom_dns=true&dom_whois=true&net_whois=true&svc_scan=true&traceroute=true&go1=Submit)
Ja, genau der (http://www.antispam-ev.de/forum/showthread.php?t=10039)...

Klickt der Leser sich durch bis zur DU-Seite, findet er dort ein Webformular, das auf SMS-Chat.de verweist.
--> Flensburg


Hinter dem Fotoalbum-Link versteckt sich ein Link auf ein Abrechnungsformular von Aconti. Das Schweizer Unternehmen bietet Abrechnungsservices für verschiedene Webinhalte an. Acontis Rolle ist ebenfalls die des missbrauchten Opfers.
--> Fred Sch*


Die DU-Seite hat jedoch nicht nur einen Link auf ein Fotoalbum, sondern auch auf ein Angebot von 777livecams.com.(...)
777live kommt übrigens aus den Niederlanden. Ich schätze, dass auch 777live nur von J. T. benutzt wird, um seinen Geldbeutel zu füllen
Ach :)

Sirius
02.02.2009, 08:02
Ja, genau der (http://www.antispam-ev.de/forum/showthread.php?t=10039)...Genau der steht momentan vor dem Insolvenzrichter: Amtsgericht Bremen 324 IK 19/08.



Als Namensserver nutzt man ns1.selinde-will-chatten.net ...
Ich werde mal den Betreiber dieser Domain mal anschreiben und Fragen ob das der Sinn der Übung sein soll.Die Domain ist zwar nicht vergeben ("available"): http://www.who.is/whois-net/ip-address/selinde-will-chatten.net/

...aber ein Nameserver ist aufgeschaltet: ns1.selinde-will-chatten.net = 200.32.229.84

kjz1
02.02.2009, 10:15
Ach ja, die 'uni-intelligenten' Dialer... Mal wieder bewahrheitet sich meine Signatur. Spam ist kein Massenphänomen, es handelt sich um einen sehr begrenzten Täterkreis, der aber schon seit Jahren (Jahrzehnten?) mit äusserst hoher krimineller Energie agiert. Mit gezielten 'chirurgischen Schlägen' liesse sich da viel erreichen, siehe McColo... Aber auch hier haben wohl die Ermittlungsbehörden ohnmächtig zugeschaut, denn gekippt hat das ganze ja ein Reporter....

- kjz

schara56
10.02.2009, 22:02
Received: (qmail invoked by alias); 10 Feb 2009 xx:xx:xx -0000
Received: from sta8.147.vip-net.pl (HELO vip-net.pl) [89.186.8.147]
by mx0.gmx.net (mx055) with SMTP; 10 Feb 2009 xx:xx:xx +0100
http://www.playboybunny-feucht.net
Die Dreckschleuder von Nameserver kennt noch folgendes:

ziemlich-enge-sie.net NS ns1.selinde-will-chatten.net
0ralsex-schlampe.net NS ns1.selinde-will-chatten.net
13-jahre-eng-knackig.net NS ns1.selinde-will-chatten.net
13jahre-feucht-willig.net NS ns1.selinde-will-chatten.net
privatesbueckstueck.net NS ns1.selinde-will-chatten.net
14jahre-feucht-geil.net NS ns1.selinde-will-chatten.net
ich-mag-schlucken.net NS ns1.selinde-will-chatten.net
ns1.selinde-will-chatten.net A 200.32.229.84
blutjunges-ludeer.net NS ns1.selinde-will-chatten.net
seexy-maus-will-es.net NS ns1.selinde-will-chatten.net
chatten-mit-teenies.net NS ns1.selinde-will-chatten.net
sie-schluckt-alles.net NS ns1.selinde-will-chatten.net
spassmaus-wartet.net NS ns1.selinde-will-chatten.net
so-eng-und-feucht.net NS ns1.selinde-will-chatten.net
wildemaus-feucht.net NS ns1.selinde-will-chatten.net
playboybunny-feucht.net NS ns1.selinde-will-chatten.net
fikk-mich-d0ggy.net NS ns1.selinde-will-chatten.net

Gerlach
10.02.2009, 22:12
Return-Path: <caticfjfbsaj [at] berceni.net>
Delivery-Date: Tue, 10 Feb 2009 xx:xx:xx +0100
Received-SPF: softfail (mxeu25: transitioning domain of berceni.net does not designate 89.34.203.240 as permitted sender) client-ip=89.34.203.240; envelope-from=caticfjfbsaj [at] berceni.net; helo=berceni.net;
Received: from berceni.net (berceni.net [89.34.203.240])
by mx.kundenserver.de (node=mxeu25) with ESMTP (Nemesis)
ID: [ID filtered]
Message-ID: [ID filtered]
From: "Coraline" <caticfjfbsaj [at] berceni.net>
To: "Coraline" <???@???.de>
Subject: Zwei suesse Girls
Date: Wed, 11 Feb 2009 xx:xx:xx +0900
MIME-Version: 1.0
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: 8bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Envelope-To: ???@???.de
Trage in deinen Browser ein.

http://www.13jahre-feucht-willig.net


http://www.pillendienst.com/?wbm=105
http://www.sexcamy.ch/cialisviagra_800x60_01.gif
http://www.777livecams.com/cam_register.php?id=P77234

Schnubbi
11.02.2009, 07:35
Received: from [120.50.167.37] (helo=winknet.ne.jp)
by mx44.web.de with smtp (WEB.DE 4.110 #277)
ID: [ID filtered]
for *@*.de; Wed, 11 Feb 2009 xx:xx:xx +0100
Message-ID: [ID filtered]
Date: Wed, 11 Feb 2009 xx:xx:xx +1000
Reply-To: "Ernesta" <m.b.cxuxia [at] winknet.ne.jp>
From: "Ernesta" <m.b.cxuxia [at] winknet.ne.jp>
User-Agent: Mozilla/4.75 [en]C-CCK-MCD (WinNT; U)
X-Accept-Language: en-us
MIME-Version: 1.0
To: "Ermentrude" <*@*.de>
Subject: Adaline moechte S_perma s:chlucken
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: 8bit



Hi ihr g-eilen Stecher, ich bin CATHLEEN blablabla...

Einfach folgende URL in Deinen Browser tippen:
www.playboybunny-feucht.net

schara56
12.02.2009, 20:45
Received: from ip-83-212-221-203.adsl.aueb.gr (HELO aueb.gr) [83.212.221.203]
by mx0.gmx.net (mx028) with SMTP; 12 Feb 2009 xx:xx:xx +0100
http://www.13jahre-feucht-willig.net
:sick:

Nachtrag:
Ist ja Interessant - 13jahre-feucht-willig.net IN SOA
server: metoffice.meteorology.net -> AS31898
Passend dazu: http://rbnexploit.blogspot.com/2007/11/rbn-76-service-team-loads-cc-and-their.html

schara56
19.02.2009, 22:25
Received: from host-194-24-165-56.system-sat.pl (HELO system-sat.pl) [194.24.165.56]
by mx0.gmx.net (mx059) with SMTP; 19 Feb 2009 xx:xx:xx +0100
http://www.lieber-zu-jung-als-zu-alt.net
Die Dreckschleuder von Nameserver kennt dazu noch folgendes:

fikk-mich-richtig-hart-live.net NS ns1.eigentlich-zu-jung.net
ich-will-sie-jung.net NS ns1.eigentlich-zu-jung.net
eigentlich-zu-jung.net NS ns1.eigentlich-zu-jung.net
mehrs-als-zu-jung.net NS ns1.eigentlich-zu-jung.net
definitiv-zu-jung.net NS ns1.eigentlich-zu-jung.net
sie-ist-so-blutjung.net NS ns1.eigentlich-zu-jung.net
erst-13-aber-frech.net NS ns1.eigentlich-zu-jung.net
die-kleine-will-es-auch.net NS ns1.eigentlich-zu-jung.net
zu-jung-doch-ich-will.net NS ns1.eigentlich-zu-jung.net
schlampe-will-schlucken.net NS ns1.eigentlich-zu-jung.net
live-hart-versaut-chatten.net NS ns1.eigentlich-zu-jung.net
die-kleine-will-es.net NS ns1.eigentlich-zu-jung.net
juenger-als-erlaubt.net NS ns1.eigentlich-zu-jung.net
lieber-zu-jung-als-zu-alt.net NS ns1.eigentlich-zu-jung.net
Wenn man die Webseite aufruft bekommt man folgendes decodiertes (http://scriptasylum.com/tutorials/encdec/encode-decode.html) Javascript angezeigt:

<script language="javascript">

document.write( unescape('<script language="javascript">
var re = new RegExp("http://([-_\.0-9a-zA-Z]+)/?","ig");
var arr = re.exec(location.href);
var d=RegExp.$1;
var ss = d.split(".");
var l = ss.length;
var bd = ss[l-2] + "." + ss[l-1];
if(bd.search("hgh")==-1){
document.title = "Webcams, Livechats.... ";
}else{
document.title = "Webcams, Livechats.... ";
}
url="http://79.135.184.253/amateure/cam1402/INES22.php";
var vc1='abcdef';
var vc2='01234567890abcdefghijklmnopqrstuvwxyz';
var c=Math.floor(Math.random() * 6) + 4;
var dp = vc1.charAt(Math.floor(Math.random() * 6));
for(i=1;i<c;i++){
dp = dp + vc2.charAt(Math.floor(Math.random() * vc2.length));
}
url = url.replace('pills', 'pills');
document.write("<HTML><HEAD><TITLE>Welcome</TITLE></HEAD><FRAMESET rows=100%,*><FRAME src=\"" + url + "\" scrolling=yes></FRAMESET></HTML>");

</script>


' ) );
</script> -> Sistemnet Telekomunikasyon ve Bilgi Tek. Tic. Ltd. Sti. - darf man wohl getrost dem RBN zuordnen. :sick:

Schnubbi
20.02.2009, 07:56
Received: from [83.148.84.106] (helo=netvisio.net)
by mx34.web.de with smtp (WEB.DE 4.110 #277)
ID: [ID filtered]
for *@*.de; Thu, 19 Feb 2009 xx:xx:xx +0100
Message-ID: [ID filtered]
From: "Estrellita" <matthiasvonkummeri [at] netvisio.net>
To: "Estrellita" <*@*.de>
Subject: Chatte und flirte gleich mit mir
Date: Fri, 20 Feb 2009 xx:xx:xx +0300
MIME-Version: 1.0
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: 8bit


(...) Du willst mich, also besuch mich auf:

- http://www.lieber-zu-jung-als-zu-alt.net -

schara56
20.02.2009, 16:37
Received: from cm-staticIP-85-152-33-150.telecable.es (HELO telecable.es) [85.152.33.150]
by mx0.gmx.net (mx055) with SMTP; 20 Feb 2009 xx:xx:xx +0100
http://Adelle.die-kleine-will-es.net
Gehen die etwa zu personalisierten Links über?
Ohne "Adelle" gelangt man zur gleichen Seite mit dem gleichen Javascript.

schara56
21.02.2009, 11:05
Received: from 92-237-44-38.cable.ubr09.wolv.blueyonder.co.uk (HELO blueyonder.co.uk) [92.237.44.38]
by mx0.gmx.net (mx069) with SMTP; 21 Feb 2009 xx:xx:xx +0100
http://Alta.sie-ist-so-blutjung.net -> geht weiter zu http://www.sexcamy.ch

<script language="javascript">



document.write( unescape('<script language="javascript">
var re = new RegExp("http://([-_\.0-9a-zA-Z]+)/?","ig");
var arr = re.exec(location.href);
var d=RegExp.$1;
var ss = d.split(".");
var l = ss.length;
var bd = ss[l-2] + "." + ss[l-1];
if(bd.search("hgh")==-1){
document.title = "Webcams, Livechats.... ";
}else{
document.title = "Webcams, Livechats.... ";
}
url="http://www.sexcamy.ch/livegirls/cam11644";
var vc1='abcdef';
var vc2='01234567890abcdefghijklmnopqrstuvwxyz';
var c=Math.floor(Math.random() * 6) + 4;
var dp = vc1.charAt(Math.floor(Math.random() * 6));
for(i=1;i<c;i++){
dp = dp + vc2.charAt(Math.floor(Math.random() * vc2.length));
}
url = url.replace('pills', 'pills');
document.write("<HTML><HEAD><TITLE>Welcome</TITLE></HEAD><FRAMESET rows=100%,*><FRAME src=\"" + url + "\" scrolling=yes></FRAMESET></HTML>");

</script>


' ) );

</script>

schara56
23.02.2009, 10:38
Received: from cliente-103-85.conectway.net.br (HELO conectway.net.br) [189.39.103.85]
by mx0.gmx.net (mx099) with SMTP; 23 Feb 2009 xx:xx:xx +0100
http://www.definitiv-zu-jung.net - der zuständige Nameserver ist mal wieder NS1.EIGENTLICH-ZU-JUNG.NET.
http://www.definitiv-zu-jung.net/a.htm -> via Javascript zu http://79.135.164.101/livegirls/cam875/Amelka20.php
http://www.definitiv-zu-jung.net/b.htm -> via Javascript zu http://www.sexcamy.ch/livegirls/cam9788/SweetJoyce.php

Der Counter auf der "Loginseite" sieht wie folgt aus: http://counter.live4members.com/?webid=P77234&host=www.777livecams.com und auch das sieht nicht uninteressant aus:

<!--
used_time: 0,008 sec.
server: name unavailable (10.5.1.24)
-->
<!--
Param ID: [ID filtered]
CompanyID: [ID filtered]
Member CompanyID: [ID filtered]
-->

Schnubbi
23.02.2009, 10:57
Received: from [213.73.7.254] (helo=uwm.edu.pl)
by mx44.web.de with smtp (WEB.DE 4.110 #277)
ID: [ID filtered]
for *@*.de; Mon, 23 Feb 2009 xx:xx:xx +0100
Message-ID: [ID filtered]
Date: Mon, 23 Feb 2009 xx:xx:xx +0600
Reply-To: "Arluene" <urselteichmanngzol [at] uwm.edu.pl>
From: "Arluene" <urselteichmanngzol [at] uwm.edu.pl>
User-Agent: Mozilla 4.79 [en] (Win95; U)
X-Accept-Language: en-us
MIME-Version: 1.0
To: "Arleyne" <*@*.de>
Subject: Die exotische Jade (18) aus Pinneberg
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: 8bit


20% Rabatt Aktion, jetzt chatten!

Um mit ihr zu chatten, einfach folgende URL in Deinen Browser abtippen:

www.juenger-als-erlaubt.net

Im ursprünglichen Text war die URL mit Leerzeichen "entschäft", wohl um eventuelle Filter auszutricksen. :sick:

Fidul
23.02.2009, 14:55
Für den "Anonymzugang" wird immer noch die 09005-10446601 verwendet. :sick:

thomas60
24.02.2009, 08:23
SPAMMELDUNG

Header Informationen


Return-Path: <hsurfingmikejovac [at] freesurf.at>
Received: from tony.daybyday.de (unknown [192.168.30.12])
by teri.daybyday.de (Postfix) with ESMTP ID: [ID filtered]
Tue, 24 Feb 2009 xx:xx:xx +0100 (CET)
Received: by tony.daybyday.de (Postfix, from userID: [ID filtered]
ID: [ID filtered]
X-Spam-Checker-Version: SpamAssassin 3.2.3 (2007-08-08) on tony.daybyday.de
X-Spam-Level: %%
X-Spam-Status: No, score=2.3 required=5.0 tests=BAYES_50,RDNS_NONE,URIBL_BLACK,
URIBL_GREY,URIBL_RED autolearn=no version=3.2.3
X-Spam-DBD-Scan: Yes
Received: from localhost (localhost [127.0.0.1])
by tony.daybyday.de (Postfix) with ESMTP ID: [ID filtered]
Tue, 24 Feb 2009 xx:xx:xx +0100 (CET)
X-Virus-Scanned: Debian amavisd-new at tony.daybyday.de
Received: from tony.daybyday.de ([127.0.0.1])
by localhost (bill.daybyday.de [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP ID: [ID filtered]
Received: from freesurf.at (unknown [216.45.233.143])
by tony.daybyday.de (Postfix) with SMTP ID: [ID filtered]
Tue, 24 Feb 2009 xx:xx:xx +0100 (CET)
Message-ID: [ID filtered]
Reply-To: "Brandice" <hsurfingmikejovac [at] freesurf.at>
From: "Brandice" <hsurfingmikejovac [at] freesurf.at>
To: "Emlyn" <poor [at] spamvictim.tld>,
"Emlynn" <juergen.grimxxx [at] berlin.de>,
"Emlynne" <pustelxxx.c [at] berlin.de>,
"Emma" <ina.merxxx [at] berlin.de>,
"Emmalee" <thomas.kxxx [at] berlin.de>
Subject: blonde Sekretaerin mit XXL-Titten
Date: Mon, 23 Feb 2009 xx:xx:xx -1100
MIME-Version: 1.0
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: 8bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
X-DBD-SpLv-171853: Yes
X-DBD-SpLv-180389: No
X-DBD-SpLv-177740: No
X-DBD-SpLv-171073: No
Die mail lautet: Hallo mein g-eiler! Ich bin HotBeatrix und man sagt mir nach, ich waere
eine echte Goettin der Lust! Mein groesstes Hobby ist s.e:x und ganz
besonders gerne lebe ich meine Triebe im Wasser oder in der freien Natur
aus! Maenner sind mir im Bett ebenso willkommen wie Frauen und mein
groesster Traum waere es bei einem flotten Dreier einmal beide gemeinsam zu
geniessen! Mir ist es egal ob Du jung oder alt bist, aber Du solltest immer
bereit fuer eine scharfe Nummer sein! Dauerg-eil und extra steif? Dann bist
Du der Richtige fuer mich! Mach es mir Baby, Iive im ch-at!

Kleine Maedels hart ge-f-ickt

Besuch mich einfach auf:

-- http://www.zu-jung-fuers-net.net --


Gruß Thomas

alariel
24.02.2009, 08:36
Äh... Huh?

Nun...


Du kopierst den Quelltext der Mail
fügst selbigen in Dein Post ein
packst die Header-Zeilen in [ header]-Tags
packst sämtliche URLs in [ whois]-Tags
verpasst dem Ganzen einen aussagekräftigen Titel

Thats all...?

homer
24.02.2009, 08:56
Thats all...?
Nicht ganz: 1. Du suchst dir das passende Unterforum

SCNR

schara56
24.02.2009, 09:08
Received: from galla.elaninet.com (HELO elaninet.com) [195.245.118.187]
by mx0.gmx.net (mx004) with SMTP; 24 Feb 2009 xx:xx:xx +0100
http://www.zu-jung-fuers-net.net
Received: from stream-84.210.users.odessa.comstar.net.ua (HELO comstar.net.ua) [89.209.84.210]
by mx0.gmx.net (mx027) with SMTP; 23 Feb 2009 xx:xx:xx +0100
http://www.juenger-als-erlaubt.net

Bei beiden:
a.html -> http://79.135.164.101/livegirls/cam875/Amelka20.php
b.html -> http://www.sexcamy.ch/livegirls/cam9788/SweetJoyce.php

Derzeitige Dreckliste:

fikk-mich-richtig-hart-live.net NS ns1.eigentlich-zu-jung.net
eng-und-stolz-drauf.net NS ns1.eigentlich-zu-jung.net
erst-14-richtig-eng.net NS ns1.eigentlich-zu-jung.net
ich-will-sie-jung.net NS ns1.eigentlich-zu-jung.net
eigentlich-zu-jung.net NS ns1.eigentlich-zu-jung.net
ns1.eigentlich-zu-jung.net A 79.135.184.11
ns1.eigentlich-zu-jung.net A 79.135.184.19
ns1.eigentlich-zu-jung.net A 200.32.229.84
mehr-als-nur-zu-jung.net NS ns1.eigentlich-zu-jung.net
definitiv-zu-jung.net NS ns1.eigentlich-zu-jung.net
sie-ist-so-blutjung.net NS ns1.eigentlich-zu-jung.net
erst-13-aber-frech.net NS ns1.eigentlich-zu-jung.net
die-kleine-will-es-auch.net NS ns1.eigentlich-zu-jung.net
zu-jung-doch-ich-will.net NS ns1.eigentlich-zu-jung.net
schlampe-will-schlucken.net NS ns1.eigentlich-zu-jung.net
live-hart-versaut-chatten.net NS ns1.eigentlich-zu-jung.net
ich-will-sie-juenger.net NS ns1.eigentlich-zu-jung.net
die-kleine-will-es.net NS ns1.eigentlich-zu-jung.net
juenger-als-erlaubt.net NS ns1.eigentlich-zu-jung.net
zu-jung-fuers-net.net NS ns1.eigentlich-zu-jung.net
lieber-zu-jung-als-zu-alt.net NS ns1.eigentlich-zu-jung.net
eng-und-jungfrau.net NS ns1.eigentlich-zu-jung.net
So, so - einer der Nameserver steht auch in Belize; Zufälle gibt es...

jens69
24.02.2009, 09:09
Geht nicht so hart ins Gericht mit ihm, war sein erster Beitrag :-)

Herzlich willkommen, Thomas

alariel
24.02.2009, 09:15
Tut ja keiner - er hat ja gefragt ;)
Sieht doch auf jeden Fall gut aus. :D

schara56
24.02.2009, 09:20
Dein Posting ist hier (https://www.antispam-ev.de/forum/showthread.php?p=201173) etwas besser aufgehoben. :)

@Mods:
tackern?

Es wurde zusammengeführt, was zusammen gehört. ;)

schara56
24.02.2009, 14:50
Received: from 122x211x34x111.ap122.ftth.ucom.ne.jp (HELO ucom.ne.jp) [122.211.34.111]
by mx0.gmx.net (mx001) with SMTP; 24 Feb 2009 xx:xx:xx +0100
http://Albina.dildo-in-der-enge-muschi.net
Received: from ethernet-to-the-home-81-210-103-9.telesim.com.pl (HELO telesim.com.pl) [81.210.103.9]
by mx0.gmx.net (mx054) with SMTP; 24 Feb 2009 xx:xx:xx +0100
http://www.sie-ist-so-zart-und-jungt.net

Ein neuer Drecksnameserver ist am Start - wieder mal in Belize.

langbeinig-feucht-18.net NS ns1.web-de-s-e-x-cams.net
sie-kommt-direkt-auf-deinem-pc.net NS ns1.web-de-s-e-x-cams.net
sie-wichst-live.net NS ns1.web-de-s-e-x-cams.net
chatte-jetzt-versaut-live.net NS ns1.web-de-s-e-x-cams.net
gerade-18-noch-jung.net NS ns1.web-de-s-e-x-cams.net
dildo-in-der-enge-muschi.net NS ns1.web-de-s-e-x-cams.net
sie-will-hart-gefikkt-werden.net NS ns1.web-de-s-e-x-cams.net
vor-dem-pc-gekommen.net NS ns1.web-de-s-e-x-cams.net
gerade-erst-erwachsen.net NS ns1.web-de-s-e-x-cams.net
wilde-teenies-wollen-chatten.net NS ns1.web-de-s-e-x-cams.net
sie-steckt-den-dild0-tief-rein.net NS ns1.web-de-s-e-x-cams.net
eng-feuchtes-luuder.net NS ns1.web-de-s-e-x-cams.net
schluck-du-luuder.net NS ns1.web-de-s-e-x-cams.net
chatte-mit-wilden-girlies.net NS ns1.web-de-s-e-x-cams.net
web-de-s-e-x-cams.net NS ns1.web-de-s-e-x-cams.net
privatel0litacams.net NS ns1.web-de-s-e-x-cams.net
sie-ist-so-zart-und-jungt.net NS ns1.web-de-s-e-x-cams.net
amateur-schlampe-schluckt.net NS ns1.web-de-s-e-x-cams.net
dild0-in-die-muschi-gefikkt.net NS ns1.web-de-s-e-x-cams.net
guenstig-livecam-s-e-x.net NS ns1.web-de-s-e-x-cams.net

Aus der IP 79.135.184.19 scheint bereits die Sahne [TM] zu tropfen.

Nachtrag:
Der Nameserver ist ein 2003erR2 Domaincontroller der Domäne Meteorology mit einem Listener auf TCP 3389 - viel Spaß ;).

schara56
10.03.2009, 06:35
...] Aus der IP 79.135.184.19 scheint bereits die Sahne [TM] zu tropfen. [...DNS kap0tt:

> www.sexcamy.ch
Server: xxx
Address: xxx

DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Zeitüberschreitung bei Anforderung an xxx

> server 79.135.184.19
Standardserver: [79.135.184.19]
Address: 79.135.184.19

> www.sexcamy.ch
Server: [79.135.184.19]
Address: 79.135.184.19

DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Zeitüberschreitung bei Anforderung an [79.135.184.19]


agnella.fikk-mich-richtig-hart-live.net A 79.135.184.19
aleta.sie-wichst-live.net A 79.135.184.19
aleta.chatte-jetzt-versaut-live.net A 79.135.184.19
adeline.chatte-jetzt-versaut-live.net A 79.135.184.19
ainsley.chatte-jetzt-versaut-live.net A 79.135.184.19
abagael.eng-und-stolz-drauf.net A 79.135.184.19
aaren.eng-und-stolz-drauf.net A 79.135.184.19
adela.erst-14-richtig-eng.net A 79.135.184.19
www.ich-will-sie-jung.net A 79.135.184.19
www.mehr-als-nur-zu-jung.net A 79.135.184.19
adella.sie-ist-so-blutjung.net A 79.135.184.19
addi.sie-ist-so-blutjung.net A 79.135.184.19
abagael.sie-ist-so-blutjung.net A 79.135.184.19
abigale.erst-13-aber-frech.net A 79.135.184.19
abbie.schlampe-will-schlucken.net A 79.135.184.19
addi.schlampe-will-schlucken.net A 79.135.184.19
abagail.schlampe-will-schlucken.net A 79.135.184.19
agnes.live-hart-versaut-chatten.net A 79.135.184.19
www.dauergeiles-luuder.net A 79.135.184.19
www.privatel0litacams.net A 79.135.184.19
www.juenger-als-erlaubt.net A 79.135.184.19
www.zu-jung-fuers-net.net A 79.135.184.19
www.sie-ist-so-zart-und-jungt.net A 79.135.184.19
www.lieber-zu-jung-als-zu-alt.net A 79.135.184.19
:clown:

schara56
19.09.2010, 10:20
Received: from 81-67-98-89.rev.numericable.fr (HELO worldsex.com) [81.67.98.89]
by mx0.gmx.net (mx039) with SMTP; 18 Sep 2010 xx:xx:xx +0200
http://redir.ec/dT5j -> geht zu http://61.19.244.30/pictures/3
Received: from dsl11-248.express.oricom.ca (HELO porntube.com) [64.18.186.248]
by mx0.gmx.net (mx049) with SMTP; 19 Sep 2010 xx:xx:xx +0200
http://www.redir.ec/aSZw -> geht zu http://93.97.20.73/mmitac/556
In beiden Fällen wird ein iframe geladen welcher auf eine in D gehostete IP zeigt:

<iframe src ="http://93.186.171.55" width="100%" height="100%" frameborder="0" ">
<p>.</p>
</iframe>
Ganz nett: http://93.186.171.55/impressum.php
"Webmasterprogramm" unter http://www.777partner.com/?id=A16530

antispam2006
19.09.2010, 12:42
Das Impressum unter http://93.186.171.55/impressum.php ergibt auch Sinn.

schara56
20.09.2010, 06:57
Received: from 71-95-43-152.dhcp.rvsd.ca.charter.com (HELO worldsex.com) [71.95.43.152]
by mx0.gmx.net (mx067) with SMTP; 19 Sep 2010 xx:xx:xx +0200
[...]
Reply-To: "StudiVZ" <info [at] worldsex.com>
From: "StudiVZ" <info [at] worldsex.com>
[...]
Subject: Neue Freundschaftsanfrage
http://www.redir.ec/n6yD -> geht weiter zu http://93.97.20.73/mmitac/557 und final dann mal wieder zu http://93.186.171.55

<iframe src ="http://93.186.171.55" width="100%" height="100%" frameborder="0" ">
<p>.</p>
</iframe>

schara56
23.09.2010, 15:18
Received: from 71-23-137-127.chi.clearwire-wmx.net (HELO porntube.com) [71.23.137.127]
by mx0.gmx.net (mx012) with SMTP; 23 Sep 2010 xx:xx:xx +0200
http://www.redir.ec/Am4R -> weiter zu http://93.97.20.73/mmitac/561 und zu guter Letzt zu http://93.186.171.55
Unverändert der Quelltext:

<iframe src ="http://93.186.171.55" width="100%" height="100%" frameborder="0" ">
<p>.</p>
</iframe>

Variiert man den Namen des Verzeichnisses landet man immer hier: http://178.17.163.12 - was für eine "Überraschung"...

schara56
23.09.2010, 20:49
...aber so bleibt die Übersicht erhalten ;)

...] landet man immer hier: http://178.17.163.12 - was für eine "Überraschung"...Man liest anscheinend mit:

Service scan
FTP - 21 Error: TimedOut
SMTP - 25 Error: TimedOut
HTTP - 80 Error: TimedOut
POP3 - 110 Error: TimedOut
IMAP - 143 Error: TimedOut