PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : russ. Bandenkriege



kjz1
27.04.2012, 22:10
Die Drogenbanden der Russkis liefern sich mal wieder Kriege per Joe Job. Ein Joe ist eigenlich leicht zu erkennen: plötzlich prasseln innerhalb kurzer Zeiträume dutzende von Spams für nur einige ganz wenige Websites herein (sonst nur 1-2 pro Tag). Und während echter Spam immer tunlichst Legalität vortäuscht, wird hier mehr oder weniger offen mit Illegalität geworben.

Dies mal hat man per Skript anscheinend Hotmail-Accounts im Tausenderpack generiert und bläst über ein Botnetz (hauptsächlich in Dritte-Welt-Ländern) tausende von Spams über die Hotmail-Server.

Beispiel-Header:

Received: from blu0-omc4-s18.blu0.hotmail.com (EHLO blu0-omc4-s18.blu0.hotmail.com) [65.55.111.157]
by mx0.gmx.net (mx065) with SMTP; 27 Apr 2012 xx:xx:xx +0200
Received: from BLU154-W17 ([65.55.111.135]) by blu0-omc4-s18.blu0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);
Fri, 27 Apr 2012 xx:xx:xx -0700

X-Originating-IP: [87.247.43.24] ---> FTTB_Dzhezkazgan, Kazachstan

die Betreffzeilen sind dann entsprechend:


Ilgeal meds drcetly to your door. Austians innto MMrovaia, aand would have falild in his capiagn.
Fwd: Ilelgal ccootrlled pplls US ddvliery The Frnech aadvaanned with equal coruge, buut noot with euaal radpity.
Your cmpptueer ifcetced! Join our siite to fix. And it acnkowldeed
him.
Join us sitee to acecss hidddeen illeggal prron. By the ccnospciuus
potal.
Your pprrviate photos pusbihed if you do not fiill this form. TTHE
GOD AND TTHE BAAYADRE.
We accept any kind of traffic: spam, hacks, trojans, carded etc

Folgende Seiten wurden angegriffen:

http://pills-4-you.biz

http://pills-4-you.net

http://www.rx-drug.org

http://www.pharma-monsters.com

http://jobandmoney.biz

http://jobandmoney.net

http://mybestjob.biz

http://pills-support.com

http://globaldigital-shop.com

http://vc-4-you.com

http://swiss-cash.biz

http://globaldigitalshop.com

http://pills-4-you.com

'Gehostet' waren die Seiten in der Ukraine, wo man sie aber größtenteils vom Netz genommen hat.

kjz1
11.05.2012, 12:49
Bei der russ. Drogen-Mafia herrscht wieder Bandenkrieg, oder hat man da nur einen Affiliate hereingelegt? Es rauschen wieder dutzende Joe-Spams rein. Die Mafia würde sich nämlich richtig wehren, DDoS-Angriff und der Server in Portugal wäre platter als platt.

Wieder Hotmail missbraucht, der Kriminelle kann wohl automatisiert Hotmail-Account im Tausenderpack anlegen:

Received: from col0-omc1-s11.col0.hotmail.com
(col0-omc1-s11.col0.hotmail.com [65.55.34.21])
by mx.kundenserver.de (node=mxeu0) with ESMTP (Nemesis)
ID: [ID filtered]
Received: from COL119-W28 ([65.55.34.8]) by
col0-omc1-s11.col0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);
Thu, 10 May 2012 xx:xx:xx -0700

X-Originating-IP: [122.61.173.156] ---> 122-61-173-156.jetstream.xtra.co.nz

stephineldlmggy [at] hotmail.com


Subject: Illegal meds directly to your door. Molly was a good little mother
and gave him a careful bringing up.

/alium, (A)mbien, *anax, C()deine, P/-/entermine

Overnight shipping, PayPal accepted

http://your-pills.net/ (email orders by sup [at] pharma-monster.net)

Florentines have villas, and near which Fra Angelico lived as a monk.

Beide auf einer IP: 77.91.204.236 ---> CGEST S.A., PT

kjz1
27.06.2012, 16:30
Der Krieg der russ. Drogenmafia geht weiter, wieder derselbe Angreifer, wieder über Hotmail:

Received: from BLU159-W40 ([65.55.111.72]) by
blu0-omc2-s11.blu0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);
Wed, 27 Jun 2012 xx:xx:xx -0700

X-Originating-IP: [60.53.203.147] ---> Telekom Malaysia Berhad

Eingeworfen über wechselnde IPs (Botnetz), meist in Schwellenländern in Asien, Südamerika und Südafrika. Angegriffen werden folgende 'Konkurrenz-Domains':

http://medecines-online.com
IP: 78.47.167.198 ---> static.78-47-167-198.clients.your-server.de/Hetzner


http://pills-4-love.com
IP: 78.47.168.9 ---> static.9.168.47.78.clients.your-server.de/Hetzner


http://drug4sale.com
IP: 78.47.167.137 ---> Hetzner


http://terapharm.com

http://usdailypharmacy.com
IP: 78.47.167.198 ---> Hetzner


http://pillsinlove.net
IP: 78.47.168.9 ---> Hetzner


http://online-pharmacy-market.com
IP: 78.47.167.198 ---> Hetzner


http://great-price-pills.com

Alles völlig merk- und schmerzbefreit natürlich gehostet bei Hetzner, die natürlich überhaupt nicht dafür verantwortlich sind, was ihre Affiliates so alles treiben....

kjz1
28.06.2012, 10:21
Neue Welle, man hostet jetzt nicht mehr bei Hetzner, sondern in der Ukraine:

usdailypharmacy.com
IP:192.162.19.149 ---> ISPHOST2, UA/Galahost, Ukraine


online-pharmacy-market.com
IP: 192.162.19.149 ---> ISPHOST2, UA/Galahost, Ukraine

pills-4-love.com
IP: 192.162.19.151 ---> ISPHOST2, UA/Galahost, Ukraine



Dirty network hosting spammer sites (advertised through Blackhat SEO like Forum/Comment and backlink spam):


http://www.spamhaus.org/sbl/query/SBL139674

Und natürlich läuft auf diesen Servern nur nginx, ein reverse Proxy aus russ. Produktion.

kjz1
28.06.2012, 13:43
Man ist wieder bei Hetzner gelandet:

http://USDAILYPHARMACY.COM

IP: 176.9.189.223 ---> static.223.189.9.176.clients.your-server.de/Hetzner/Twinservers Hosting Solutions Inc. (mit einem sehr russ. klingenden Eigner)

Gestern IP 78.47.167.198 ---> Hetzner/TWINSERVERSNET

Das läßt mich annehmen, dass Hetzner seinen IP-Space anscheinend an 'Hinz und Kunz' untervermietet, Hauptsache, die Kasse stimmt...

kjz1
29.06.2012, 20:30
Man merkt, dass es sich um eine ganz gezielte Aktion handelt. Geht eine Domain des Gegners vom Netz, wird diese auch nicht mehr per Joe Job angegriffen. Registriert der Gegner frische Domains, so tauchen diese direkt wieder in den Joe Spams auf. Schutzgelderpressung?

kjz1
10.07.2012, 14:54
Neu registriert, schon als Joe Job von der konkurrierenden Russen-Mafia angegriffen:

Received: from snt0-omc3-s2.snt0.hotmail.com (EHLO
snt0-omc3-s2.snt0.hotmail.com) [65.55.90.141]
by mx0.gmx.net (mx044) with SMTP; 09 Jul 2012 xx:xx:xx +0200
Received: from SNT137-W18 ([65.55.90.135]) by
snt0-omc3-s2.snt0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);
Mon, 9 Jul 2012 xx:xx:xx -0700

X-Originating-IP: [200.121.63.251] ---> PE-PETD3-LACNIC

tandiekvdmpt [at] hotmail.com

Das ganze Drumherum läßt vermuten, dass nicht nur bei Juchuu, sondern auch bei Mickysoft das Anmeldesystem durch die Kriminellen längst gecrackt wurde, so dass man automatisiert Freemailer-Accounts im Tausenderpack erzeugen und missbrauchen kann.


BBrnuwcikk, aand wwere onn tthher way to bbe impprisoed aat Frrederikton.


http://teracash.biz/ (Xambo International Inc xambo.inc [at] gmail.com)

Some faccts:

Sppam trfafic acpcted, US affiaties wecocme!

Payys 40% resrhare (incsreess with voulme)
AApcetts Visa and Mastercard
Wrldwdide deilvry, incluing DE, CA annd other cooutrnris coisedred
diiffclltt.
DDedatced shops witth overr 400 pilss, ED and Cotrolled, with low pices,
lower tthan mostt comepition.
Relgar paeynents too afifilliaess with 1 week hold ttoo all mjoor
sysetms (wire, paxum, weebmnoeeyy, etc)
AAvvanced tools for shop crteion and trfficc anayslis


Theey werre seflih tears. The Geeat Sprit does not heed them eveer.

Which his heart venome must asswage.
Confederate States be set at liberty.
Hamilton in vain waited for her reply.

IP: 50.7.21.149 ---> fdcservers.net

kjz1
23.07.2012, 15:00
Bei der Russenmafia herrscht weiter Krieg:

Received: from snt0-omc4-s35.snt0.hotmail.com (EHLO
snt0-omc4-s35.snt0.hotmail.com) [65.55.90.238]
by mx0.gmx.net (mx022) with SMTP; 23 Jul 2012 xx:xx:xx +0200
Received: from SNT143-W24 ([65.55.90.200]) by
snt0-omc4-s35.snt0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);
Sun, 22 Jul 2012 xx:xx:xx -0700

X-Originating-IP: [190.79.70.60] ---> 190-79-70-60.dyn.dsl.cantv.net

alexakjasx [at] hotmail.com


Time and events, meanwhile, had been powerfully telling for Burke.

http://tera-cash.biz/ (Xambo International Inc xambo.inc [at] gmail.com)

Some facts:

Spam traffic accepted, US affiliates welcome!

Pays 40% revshare (increases with volume)
Accepts Visa and Mastercard
Worldwide delivery, including DE, CA and other countries considered
difficult.
Dedicated shops with over 400 pills, ED and Controlled, with low prices,
lower than most competition.
Regular payments to affiliates with 1 week hold to all major systems
(wire, paxum, webmoney, etc)
Advanced tools for shop creation and traffic analysis


It was with great difficulty that he gained the courage to answer.

IP: 31.131.28.53 ---> wx23.terapharm.net/VPS-UA, Ukraine

kjz1
11.08.2012, 17:38
Bei der Russenmafia herrscht weiter Bandenkrieg, heute in großem Maße über Hotmail bespammt:


http://online-medical-market.com

http://usadailymedicine.com

http://pills-planet.com

http://teracash.org

http://medicative-shop.com

http://best-online-sales.com

http://T-PRO-NM.COM

Vieles mal wieder beim Schlüsseldienst registriert, wen wundert's...

kjz1
15.08.2012, 14:20
Heute für die Russenmafia (mit Registrierung beim Schlüsseldienst) am Start:

X-Originating-IP: [124.6.181.107] ---> Globe Telecom, PH

kerrillsopoxh [at] hotmail.com

s1ma [at] list.ru

http://whole-night.com/

http://NQTT22.NET

IP: 109.235.51.38 ---> xenEurope VPS Services

und direkt noch hinterher:

http://wonder-health.com

http://uk.pills-planet.com