PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Verschiedene Domains eines Spammers bei myLOC gehostet



hoppala
23.10.2015, 22:01
In den letzten Tagen sind bei uns haufenweise Spams abgewiesen worden, die von Servern aus dem IP-Bereich 89.163.224.0/19 stammen (myLoc bzw. fastIT)
Die Hostnamen machen ziemlich klar, dass da nix Gutes kommt:
host.whatsapp-handynachricht.info
webhoster.ihre-kommende-tarifumstellung.info
hoster.bild-wurde-freigeschaltet.info
www5.tarifueberpruefung-auftrag.info
customermail.sie-mag-dein-profilfoto.info
mailslave.ihre-beitragsabrechnung-ist-falsch.info
www1.solide-krankenversichert.info
customer.neue-freundschaftsanfrage.info
www4.endlich-gut-versichert.info
www4.du-wurdest-am-bild-markiert.info
(Inhalte habe ich nicht, weil die Sender-Adresse zum SMTP-Reject ausreichte)

Die Kombination von Dating- und Krankenversicherungsspam (das legen zumindest die Domain-Namen nahe) lässt mich an einen Braunschweiger denken, aber ich hatte eigentlich den Eindruck, dass der über andere Wege spammt. Oder bin ich da völlig auf dem Holzweg?

hoppala

schara56
24.10.2015, 06:46
Der Server 89.163.246.123 gibt sich aber noch bedeckt:

Service scan
FTP - 21 Error: TimedOut
SMTP - 25 Error: TimedOut
HTTP - 80 Error: TimedOut
POP3 - 110 Error: TimedOut
IMAP - 143 Error: TimedOut
HTTPS - 443 Error: TimedOut

schara56
24.10.2015, 08:47
Kleiner Nachtrag: 89.163.246.123 is listed in the SBL (http://www.spamhaus.org/query/ip/89.163.246.123).

Mittwoch
24.10.2015, 09:41
Die Kombination von Dating- und Krankenversicherungsspam (das legen zumindest die Domain-Namen nahe) lässt mich an einen Braunschweiger denken, aber ich hatte eigentlich den Eindruck, dass der über andere Wege spammt.
Ich habe auch die Inhalte erhalten, das hat ganz sicher Braunschweiger Stallgeruch. Sowohl Mailtexte wie auch Zielseiten passen zu dem, was ich bislang aus der Ecke bekam.

Die direkte Versendung ist allerdings auffällig. Ich habe mal in meinem Spamordner genauer hingesehen: Der IP-Bereich 89.163.224.0/19 lieferte zum ersten Mal am 11. Oktober 2015 eine Spammail aus, davor war es 5.9.226.0/16, 136.243.188.0/24 und 85.14.254.153, alle über ein bis zwei Wochen ebenfalls konstant.

Vor dem 15.09. deuten die Absender-IPs häufiger auf Zombies hin.

Es gibt eine Koinzidenz des Umstiegs auf 89.163.224.0 mit dem Spam, in dem Mailadressen zum Kauf angeboten werden (in beiden Fällen ist bei mir die gleiche Mailadresse betroffen). Ich möchte einen inhaltlichen Zusammenhang nicht ausschließen. Möglicherweise hat der Braunschweiger Affiliate einen Schwarzhut gefunden, der ihm das Paket Spamming und Hosting zu einem günstigeren Preis anbietet, als die Mafia, die die Botnetze betreibt.

Beim Umstieg auf die 89.163.224.0 waren Kollateralschäden zu beobachten: Ich habe einige PKV-Spams erhalten, in denen die Variablen für die Anrede nicht aufgelöst wurden. Scheinbar muss die Spammingsoftware immer wieder an die neue Serverarchitektur angepasst werden, oder die Datenbank funktioniert nicht zuverlässig.

Schönen Gruß
Mittwoch

hoppala
24.10.2015, 10:03
Nachtrag: seit heute morgen macht mailhost.whatsapp-dienste.com[89.163.246.247] da weiter, wo die anderen gestern abend aufgehört hatten.

hoppala

schara56
24.10.2015, 12:53
Interessant:
www.sie-mag-dein-profilfoto.info (52.28.125.167)

HTTP - 80 HTTP/1.1 301 Moved Permanently
Date: Sat, 24 Oct 2015 xx:xx:xx GMT
Server: Apache/2.4.10 (Debian)
Location: http://www.funbook18.net/239/
Connection: close
Content-Type: text/html; charset=UTF-8
http://www.funbook18.net/239/ (52.28.128.85)

Impressum

Ezechiele Barreto Crespo
Constitución, 96
37129 Parada de Arriba
Spanien
E-Mail: info [at] funbook18.netQuelle: http://www.funbook18.net/impressum.html

Dann landet man bei http://www.funbook18.net/249/form.php?&username=Julia
"Julia" scheint hier die Affiliate-ID: [ID filtered]

Die AGBs kommen jetzt aber von http://flirtviva.com/de/conditions.html

Der Post landet dann hier: http://flirtviva.com/community/lead/full?style=http://ext.cash4flirt.com/*schnipp*/form.css&stylesheet=http://ext.cash4flirt.com/*schnipp*/form.css&formcss=http://Fext.cash4flirt.com/*schnipp*/form.css&c4fp=10&c4fid=*schnipp*::&k=12639

Harrislee läßt grüßen.

thomas1611
03.07.2016, 23:37
derzeit erbricht sich 62.141.46.206, 89.163.225.155, 89.163.216.79 und 85.114.142.186 - in den letzten Tagen ca. 700 Spams:
Von Viagra über anderer Pillenkram bis DetoxPro, dazu LIDA(Abnehmkram), parwise.de, http://euro-direkt-kredit.com/

Naja myLoc wird die Hände in Unschuld waschen, weil die ja nur Rackfläche vermieten - so wurde es zumindest von denen mal(bei einem Besuch dort im RZ) geäußert

mwyraz
01.09.2016, 11:35
Hallo zusammen,

nachdem ich einen neuen Mailserver mit aktuellerem Postscreen und Spamassassin am laufen habe und sich mein verbleibendes Spamaufkommen auf ~1 pro Tag reduziert hat, kann ich mir diese auch genauer anschauen. Auffällig ist, dass derzeit 70% der Spams, welche noch durchkommen von korrekt konfigurierten MTAs kommen, welche auf IPs aus der Range von myLOC kommen. Beim Googeln zum Thema bin ich auf diesen Thread gestoßen und auch auf viele Beiträge, die sich darüber beschweren, dass myLoc kaum/keine Abuse-Meldungen bearbeitet. Ich bin mal gespannt, ob ich auf meine Meldungen eine Antwort bekomme.

Zwischenzeitlich habe ich mal eine kleine Analyse gefahren. Dazu habe ich die IP-Ranges mit Whois abgefragt und mit dem Tool dnsrecon rückwärts aufgelöst.

Ranges:
62.141.43.192-62.141.46.255
78.31.64.0-78.31.71.255
85.114.140.0-85.114.143.255
89.163.128.0-89.163.255.255
89.163.224.0-89.163.225.255

Gefundene Reverse-DNS-Einträge: 19742

Vollständige Liste: https://gist.github.com/micw/b67f82db0d49cc67d1b73e26270f7640

Darin habe ich mich umgeschaut und reichlich Hostnamen gefunden, die dem Schema meiner bisherigen Spammer entsprechen und meine lokale dnsbl damit gefüttert. Sollten meine Abuse-Meldungen ignoriert werden, kommen die gesamten IP-Ranges in meine DNSBL mit passender Reject-Meldung und gut ist.