Archiv verlassen und diese Seite im Standarddesign anzeigen : russ. Bandenkriege
Die Drogenbanden der Russkis liefern sich mal wieder Kriege per Joe Job. Ein Joe ist eigenlich leicht zu erkennen: plötzlich prasseln innerhalb kurzer Zeiträume dutzende von Spams für nur einige ganz wenige Websites herein (sonst nur 1-2 pro Tag). Und während echter Spam immer tunlichst Legalität vortäuscht, wird hier mehr oder weniger offen mit Illegalität geworben.
Dies mal hat man per Skript anscheinend Hotmail-Accounts im Tausenderpack generiert und bläst über ein Botnetz (hauptsächlich in Dritte-Welt-Ländern) tausende von Spams über die Hotmail-Server.
Beispiel-Header:
Received: from blu0-omc4-s18.blu0.hotmail.com (EHLO blu0-omc4-s18.blu0.hotmail.com) [65.55.111.157]
by mx0.gmx.net (mx065) with SMTP; 27 Apr 2012 xx:xx:xx +0200
Received: from BLU154-W17 ([65.55.111.135]) by blu0-omc4-s18.blu0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);
Fri, 27 Apr 2012 xx:xx:xx -0700
X-Originating-IP: [87.247.43.24] ---> FTTB_Dzhezkazgan, Kazachstan
die Betreffzeilen sind dann entsprechend:
Ilgeal meds drcetly to your door. Austians innto MMrovaia, aand would have falild in his capiagn.
Fwd: Ilelgal ccootrlled pplls US ddvliery The Frnech aadvaanned with equal coruge, buut noot with euaal radpity.
Your cmpptueer ifcetced! Join our siite to fix. And it acnkowldeed
him.
Join us sitee to acecss hidddeen illeggal prron. By the ccnospciuus
potal.
Your pprrviate photos pusbihed if you do not fiill this form. TTHE
GOD AND TTHE BAAYADRE.
We accept any kind of traffic: spam, hacks, trojans, carded etc
Folgende Seiten wurden angegriffen:
http://pills-4-you.biz
http://pills-4-you.net
http://www.rx-drug.org
http://www.pharma-monsters.com
http://jobandmoney.biz
http://jobandmoney.net
http://mybestjob.biz
http://pills-support.com
http://globaldigital-shop.com
http://vc-4-you.com
http://swiss-cash.biz
http://globaldigitalshop.com
http://pills-4-you.com
'Gehostet' waren die Seiten in der Ukraine, wo man sie aber größtenteils vom Netz genommen hat.
Bei der russ. Drogen-Mafia herrscht wieder Bandenkrieg, oder hat man da nur einen Affiliate hereingelegt? Es rauschen wieder dutzende Joe-Spams rein. Die Mafia würde sich nämlich richtig wehren, DDoS-Angriff und der Server in Portugal wäre platter als platt.
Wieder Hotmail missbraucht, der Kriminelle kann wohl automatisiert Hotmail-Account im Tausenderpack anlegen:
Received: from col0-omc1-s11.col0.hotmail.com
(col0-omc1-s11.col0.hotmail.com [65.55.34.21])
by mx.kundenserver.de (node=mxeu0) with ESMTP (Nemesis)
ID: [ID filtered]
Received: from COL119-W28 ([65.55.34.8]) by
col0-omc1-s11.col0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);
Thu, 10 May 2012 xx:xx:xx -0700
X-Originating-IP: [122.61.173.156] ---> 122-61-173-156.jetstream.xtra.co.nz
stephineldlmggy [at] hotmail.com
Subject: Illegal meds directly to your door. Molly was a good little mother
and gave him a careful bringing up.
/alium, (A)mbien, *anax, C()deine, P/-/entermine
Overnight shipping, PayPal accepted
http://your-pills.net/ (email orders by sup [at] pharma-monster.net)
Florentines have villas, and near which Fra Angelico lived as a monk.
Beide auf einer IP: 77.91.204.236 ---> CGEST S.A., PT
Der Krieg der russ. Drogenmafia geht weiter, wieder derselbe Angreifer, wieder über Hotmail:
Received: from BLU159-W40 ([65.55.111.72]) by
blu0-omc2-s11.blu0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);
Wed, 27 Jun 2012 xx:xx:xx -0700
X-Originating-IP: [60.53.203.147] ---> Telekom Malaysia Berhad
Eingeworfen über wechselnde IPs (Botnetz), meist in Schwellenländern in Asien, Südamerika und Südafrika. Angegriffen werden folgende 'Konkurrenz-Domains':
http://medecines-online.com
IP: 78.47.167.198 ---> static.78-47-167-198.clients.your-server.de/Hetzner
http://pills-4-love.com
IP: 78.47.168.9 ---> static.9.168.47.78.clients.your-server.de/Hetzner
http://drug4sale.com
IP: 78.47.167.137 ---> Hetzner
http://terapharm.com
http://usdailypharmacy.com
IP: 78.47.167.198 ---> Hetzner
http://pillsinlove.net
IP: 78.47.168.9 ---> Hetzner
http://online-pharmacy-market.com
IP: 78.47.167.198 ---> Hetzner
http://great-price-pills.com
Alles völlig merk- und schmerzbefreit natürlich gehostet bei Hetzner, die natürlich überhaupt nicht dafür verantwortlich sind, was ihre Affiliates so alles treiben....
Neue Welle, man hostet jetzt nicht mehr bei Hetzner, sondern in der Ukraine:
usdailypharmacy.com
IP:192.162.19.149 ---> ISPHOST2, UA/Galahost, Ukraine
online-pharmacy-market.com
IP: 192.162.19.149 ---> ISPHOST2, UA/Galahost, Ukraine
pills-4-love.com
IP: 192.162.19.151 ---> ISPHOST2, UA/Galahost, Ukraine
Dirty network hosting spammer sites (advertised through Blackhat SEO like Forum/Comment and backlink spam):
http://www.spamhaus.org/sbl/query/SBL139674
Und natürlich läuft auf diesen Servern nur nginx, ein reverse Proxy aus russ. Produktion.
Man ist wieder bei Hetzner gelandet:
http://USDAILYPHARMACY.COM
IP: 176.9.189.223 ---> static.223.189.9.176.clients.your-server.de/Hetzner/Twinservers Hosting Solutions Inc. (mit einem sehr russ. klingenden Eigner)
Gestern IP 78.47.167.198 ---> Hetzner/TWINSERVERSNET
Das läßt mich annehmen, dass Hetzner seinen IP-Space anscheinend an 'Hinz und Kunz' untervermietet, Hauptsache, die Kasse stimmt...
Man merkt, dass es sich um eine ganz gezielte Aktion handelt. Geht eine Domain des Gegners vom Netz, wird diese auch nicht mehr per Joe Job angegriffen. Registriert der Gegner frische Domains, so tauchen diese direkt wieder in den Joe Spams auf. Schutzgelderpressung?
Neu registriert, schon als Joe Job von der konkurrierenden Russen-Mafia angegriffen:
Received: from snt0-omc3-s2.snt0.hotmail.com (EHLO
snt0-omc3-s2.snt0.hotmail.com) [65.55.90.141]
by mx0.gmx.net (mx044) with SMTP; 09 Jul 2012 xx:xx:xx +0200
Received: from SNT137-W18 ([65.55.90.135]) by
snt0-omc3-s2.snt0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);
Mon, 9 Jul 2012 xx:xx:xx -0700
X-Originating-IP: [200.121.63.251] ---> PE-PETD3-LACNIC
tandiekvdmpt [at] hotmail.com
Das ganze Drumherum läßt vermuten, dass nicht nur bei Juchuu, sondern auch bei Mickysoft das Anmeldesystem durch die Kriminellen längst gecrackt wurde, so dass man automatisiert Freemailer-Accounts im Tausenderpack erzeugen und missbrauchen kann.
BBrnuwcikk, aand wwere onn tthher way to bbe impprisoed aat Frrederikton.
http://teracash.biz/ (Xambo International Inc xambo.inc [at] gmail.com)
Some faccts:
Sppam trfafic acpcted, US affiaties wecocme!
Payys 40% resrhare (incsreess with voulme)
AApcetts Visa and Mastercard
Wrldwdide deilvry, incluing DE, CA annd other cooutrnris coisedred
diiffclltt.
DDedatced shops witth overr 400 pilss, ED and Cotrolled, with low pices,
lower tthan mostt comepition.
Relgar paeynents too afifilliaess with 1 week hold ttoo all mjoor
sysetms (wire, paxum, weebmnoeeyy, etc)
AAvvanced tools for shop crteion and trfficc anayslis
Theey werre seflih tears. The Geeat Sprit does not heed them eveer.
Which his heart venome must asswage.
Confederate States be set at liberty.
Hamilton in vain waited for her reply.
IP: 50.7.21.149 ---> fdcservers.net
Bei der Russenmafia herrscht weiter Krieg:
Received: from snt0-omc4-s35.snt0.hotmail.com (EHLO
snt0-omc4-s35.snt0.hotmail.com) [65.55.90.238]
by mx0.gmx.net (mx022) with SMTP; 23 Jul 2012 xx:xx:xx +0200
Received: from SNT143-W24 ([65.55.90.200]) by
snt0-omc4-s35.snt0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);
Sun, 22 Jul 2012 xx:xx:xx -0700
X-Originating-IP: [190.79.70.60] ---> 190-79-70-60.dyn.dsl.cantv.net
alexakjasx [at] hotmail.com
Time and events, meanwhile, had been powerfully telling for Burke.
http://tera-cash.biz/ (Xambo International Inc xambo.inc [at] gmail.com)
Some facts:
Spam traffic accepted, US affiliates welcome!
Pays 40% revshare (increases with volume)
Accepts Visa and Mastercard
Worldwide delivery, including DE, CA and other countries considered
difficult.
Dedicated shops with over 400 pills, ED and Controlled, with low prices,
lower than most competition.
Regular payments to affiliates with 1 week hold to all major systems
(wire, paxum, webmoney, etc)
Advanced tools for shop creation and traffic analysis
It was with great difficulty that he gained the courage to answer.
IP: 31.131.28.53 ---> wx23.terapharm.net/VPS-UA, Ukraine
Bei der Russenmafia herrscht weiter Bandenkrieg, heute in großem Maße über Hotmail bespammt:
http://online-medical-market.com
http://usadailymedicine.com
http://pills-planet.com
http://teracash.org
http://medicative-shop.com
http://best-online-sales.com
http://T-PRO-NM.COM
Vieles mal wieder beim Schlüsseldienst registriert, wen wundert's...
Heute für die Russenmafia (mit Registrierung beim Schlüsseldienst) am Start:
X-Originating-IP: [124.6.181.107] ---> Globe Telecom, PH
kerrillsopoxh [at] hotmail.com
s1ma [at] list.ru
http://whole-night.com/
http://NQTT22.NET
IP: 109.235.51.38 ---> xenEurope VPS Services
und direkt noch hinterher:
http://wonder-health.com
http://uk.pills-planet.com
Powered by vBulletin® Version 4.2.3 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.