PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : bit.ly und andere short URL Provider



nlnn
17.09.2020, 11:50
Derzeit fällt mir eine besonders hohe Dichte an Spam mit bit.ly Links auf (aber auch andere url shortner).

postfix kann das leicht abwehren, aber es ist auch eine besonders harte Methode in den body_checks.pcre:

/(L2JpdC5seS8|bit\.ly\/)/ REJECT suspicious shortcut URL

Inzwischen habe ich einen Filter, dessen Output über das Support Formular weiter gegeben werden kann. Aber offensichtlich sind diese Links auch nach 2 Tagen noch immer erreichbar.
Kennt jemand das Verfahren bei bit.ly besser oder sollte man die Links einfach weiterhin ablehnen?

RA Meier-Bading
17.09.2020, 12:00
Hier auch zu Hauf. Wenn man die URL mit wget aufruft, landet man über ein paar Weiterleitungen bei duckduckgo, im Browser möchte ich sie lieber nicht aufrufen.
Markant sind die immer wechselnden Sonderzeichen im Subject:

Re:⭐[Emailadresse] (Nummer)

nlnn
17.09.2020, 12:07
/(LmR1Y2tkbnMub3JnL|\.duckdns\.org\/)/ ist auch einer dieser Kandidaten
Diese Weiterleitungen zu duckduck finden offensichtlich dann statt, wenn die eigene abgehende ip bzw. der Agent erkannt werden. Hier hilft es evtl. curl mit anderer Agent Angabe auszuführen.

curl -A "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:59.0) Gecko/20100101 Firefox/59.0" https://bit.ly/2grml

nlnn
17.09.2020, 12:26
Um an die Empfänger Adresse zu gelangen hilft es im Browser ein '+' Zeichen bei bit.ly
anzuhängen um an die tatsächliche Dest zu kommen.
Besonders häufig fällt dann http://19682799699.onestreete.com/index mit
wechselnden Ziffern auf.
Beispiel:
curl -v -A "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:59.0)
Gecko/20100101 Firefox/59.0" https://bit.ly/3mlcIZv 2>&1 | less
Auf der commandline ohne plus findet sich diese Angabe im Header unter "(^)location: ..."
bzw. natürlich im Body als "href".
Offensichtlich wird besonders viel davon über die Server
...outbound.protection.outlook.com abgekippt.

Am Ende geht es dann über bitcoin Weiterleitungen zu einer Seite, die vorgibt "ZEIT
ONLINE" zu sein: http://gerotota.vip/?pl=<identifier>&n=<base64 in
base64> wo uns Frank Elstner vorgegauckelt wird.

Löst man die ganzen base64 auf kommt der Forwarder zum Vorschein
pl.bitcoinbillionarie.gerotota.vip und
dh.crypto-codeapp.gerotota.vip/

kjz1
17.09.2020, 12:51
Ist wohl einer der schon länger aktiven Ganoven, siehe z. Bsp. hier:http://www.antispam-ev.de/forum/showthread.php?40425-Bitcoin-SPAM-auf-Deutsch&p=446068&viewfull=1#post446068

nlnn
17.09.2020, 13:02
ACK - Danke für den Querverweis

nlnn
17.09.2020, 16:34
Und wenn sich die Welle wieder gelegt hat kann man postfix entschärfen, statt REJECT reicht dann WARN für weitere Analysen.
Die Ergebnisse lassen sich dann besser prüfen mit
_Link=https://<gefundene URL>
_Agent=<search for list-of-user-agent-strings>
curl -sSL -D - -A "${_Agent}" "${_Link}" -o /dev/null | grep -Po '(?<=location:)[^,]*'

nlnn
18.09.2020, 10:50
Wenn die Response location: https://bitly.com/a/warning?... zurück gibt, kann man ein paar Pünktchen vergeben und den restlichen Milter seine Arbeit verrichten lassen. Dieser Link kann Nutzern nicht mehr direkt schaden.

Hat jemand eine Idee/lua für eine rspamd Erweiterung?

nlnn
18.09.2020, 13:11
Ein anderer Kandidat ist derzeit https://<alpha>.page.link/<alpha>, wobei alpha beliebig lange sinnlos erscheinende Zeichen sind. Der nächste in der Kette www.smartdrops.club geht erst zum Tracker w.trk180.com, die Bitcoins gibt es dann bei trustableoffering.org unter /bitcoin-code-1-step, damit führt das alles zusammen zu - vorher thebitcoinscode.com.
Somit ist page.link wohl derzeit auch so ein Sperrkandidat.

nlnn
18.09.2020, 13:33
Damit die Suche aus den Logs erfolgreich klappt sollte man den grep aus #7 so abändern, dass er klein/groß nimmt und tatsächlich gibt es Kommas in den Resultaten
grep -Po '(?<=(L|l)ocation:)[^$]*'

nlnn
18.09.2020, 16:19
Nach einer Analyse aller page links dieses Tages:

#postfix bodychecks.pcre:
/(LnBhZ2UubGlua(y|w)|\.page\.link\/)/ WARN page.link found
Kommt ausschließlich Müll zum Vorschein (nur Gewichts/Viagra/Bitcoin Links) neben den oben schon genannten:
tigerclawpaw.com, babnito.club, totsclicks.com, www.savingssimple.com
Und noch ein neuer Kurzer gtly.to in der Runde.

Warum habe ich das Gefühl in Vorwahlzeiten wird's besonders nervig, bin ich der Einzige der das so wahrnimmt?

nlnn
20.09.2020, 13:22
Weitere Hilfe zu WARN oder weiteren Aktionen bei verschiedene URL Providern aufgrund der weiterhin ungebremsten Beliebtheit bei den Hardcore Spammern.


# body_check.pcre
/(clck\.ru\/|L2lueC5sd|aHR0cHM6Ly9qLm1wL|Oi8vYml0Lmx5|Ly9iaXRseS5jb20|L2NsY2sucnUv)/ WARN short url
/(bit\.ly\/|Yml0Lmx5Lwo|Ly9iaXQubHkv|L2JpdC5seS8)/ WARN short url
/(bitly\.com\/|Yml0bHkuY29t(G|L)|L2JpdGx5LmNvb(Q|S)|Ly9iaXRseS5jb20vCg)/ WARN short url
/(\.page\.link\/|5wYWdlLmxpbms|LnBhZ2UubGlua(w|y)|cGFnZS5saW5r(L|C))/ WARN short url


Die alternativen base64 Texte sind auszuprobieren.