PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [uce|Der Konfigurator]Nur für dich



DarkX2
20.06.2004, 13:04
Received: from [212.122.101.194] (helo=lycos.de)
by mx24.web.de with smtp (WEB.DE 4.101 #26)
ID: [ID filtered]
Message-ID: [ID filtered]
Reply-To: "Webmaster" <webmastervoting [at] lycos.de>
From: "Webmaster" <webmastervoting [at] lycos.de>
To: "Dich" <poor [at] spamvictim.tld>
Subject: Nur für dich
Date: Mon, 21 Jun 2004 xx:xx:xx +0400
MIME-Version: 1.0
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: 7bit
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 5.00.2615.200
X-MimeOLE: Produced By Microsoft MimeOLE V5.00.2615.200
Sender: webmastervoting [at] lycos.de
Du willst mal so richtig einen los machen?
Du willst das deine Frau von nichts weiss?
Du willst dein Ding mal wieder so richtig zum zucken bringen?
http://www.sex-overkill.de


Im Impressum der Seite wird
Firma/Anschrift
DerKonfigurator.de
Inh.: Rainer Lessing
Liliencronstrasse 68
22149 Hamburg

als Besitzer angegeben.

--------------------------------------------------
Von den Schlechten verlacht zu werden
ist fast schon ein Lob - Erasmus von Rotterdam

mindphlux
20.06.2004, 13:10
Hm, behauptete der nicht immer, das er die Domains samt Projekt übernommen habe und nie[tm] spammen würde?

"Africans, we count people first while money and other material things
come after." -- Ann, 419 scammer
Spammer, go to http://www.arghcor.de/

schara56
20.06.2004, 13:13
Also der DeNIC-Eintrag vom 02.12.2003 sieht aber ganz anders aus:
Vorallem dieser Eintrag:
Stradanova 666
22146 Grosny
Kennt jemand die Postleitzahl von Grosny?http://img.homepagemodules.de/grin.gif
Ist doch bei Schlund gehostet - sollte schnell dicht sein...

mindphlux
20.06.2004, 13:25
Und ZoneC ist die Denic - denen fällt auch gar nix auf.

"Africans, we count people first while money and other material things
come after." -- Ann, 419 scammer
Spammer, go to http://www.arghcor.de/

Gool
20.06.2004, 13:28
Rainer Lessing - meldet sich nicht auf einen T5F... den muss ich noch auf die schwarze Liste setzen...
--
Fuck the Spammer: http://spam.blueslayah.de

mindphlux
20.06.2004, 13:31
Und ich schreib mal der DeNic. So blind kann man ja nicht sein, oder?

"Africans, we count people first while money and other material things
come after." -- Ann, 419 scammer
Spammer, go to http://www.arghcor.de/

schara56
20.06.2004, 13:48
Springt die DeNIC aushilfsweise beim Umzug einer Domain von dem einen NameServer zum anderen ein?
Ansonsten halt ne Mail an ops[at]denic.de

mindphlux
20.06.2004, 13:50
Mir völlig egal, wieso die einspringt, info [at] denic.de hat Post.

"Africans, we count people first while money and other material things
come after." -- Ann, 419 scammer
Spammer, go to http://www.arghcor.de/

schara56
20.06.2004, 13:53
...und keinesfalls[TM] info [at] tiersex.tv oder webmaster [at] tiersex.tv in Verteilerlisten für Schniepelverlängerund, getrocknete Froschpillen etc. eintragen...

Gool
20.06.2004, 20:41
Ich habe mich deswegen schon an die Denic gewandt, Reaktion ging gegen Null...
--
Fuck the Spammer: http://spam.blueslayah.de

mindphlux
21.06.2004, 16:23
Leider ging die Reaktion der DeNIC in die absolut falsche Richtung...


Sehr geehrter Herr mindphlux,
Ihre eMail gebe ich an die zuständige Abteilung weiter. Selbstverständlich gehen
wir der Angelegenheit nach.
Mit freundlichen Grüssen
Frau bei Denic
DENICsupport

Und was getan haben sie auch schon: nun steht Rainer Lessing als Admin-C drin :/

"Africans, we count people first while money and other material things
come after." -- Ann, 419 scammer
Spammer, go to http://www.arghcor.de/

Armin_Sschneider
24.06.2004, 08:30
Dieser Kerl kann es wohl einfach nicht lassen http://img.homepagemodules.de/oh.gif
Heute kam der Müll hier auch an...

peter1962
24.06.2004, 22:40
Endlich auch bei mirhttp://img.homepagemodules.de/sick.gif
From - Fri Jun 25 xx:xx:xx 2004
X-UIDL: [UID filtered]
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Return-Path: <cgi-mailer-bounce[BOUNCE filtered]@kundenserver.de>
X-Flags: 1001
Delivered-To: GMX delivery to ..... [at] gmx.de
Received: (qmail 3706 invoked by UID: [UID filtered]
Received: from moutng.kundenserver.de (EHLO moutng.kundenserver.de) (212.227.126.173)
by mx0.gmx.net (mx002) with SMTP; 25 Jun 2004 xx:xx:xx +0200
Received: from [212.227.126.200] (helo=mrvnet.kundenserver.de)
by moutng.kundenserver.de with esmtp (Exim 3.35 #1)
ID: [ID filtered]
for ..... [at] gmx.de; Fri, 25 Jun 2004 xx:xx:xx +0200
Received: from [212.227.119.17] (helo=infong129 ident=8)
by mrvnet.kundenserver.de with smtp (Exim 3.35 #1)
ID: [ID filtered]
for ..... [at] gmx.de; Fri, 25 Jun 2004 xx:xx:xx +0200
Received: from [141.76.1.122](IP may be forged by CGI script)
by infong129.kundenserver.de with HTTP; Fri, 25 Jun 2004 xx:xx:xx +0200
Date: Fri, 25 Jun 2004 xx:xx:xx +0200
Precedence: bulk
To: Peter <..... [at] gmx.de>
Subject: Melde Dich dringend!
From: Andrea <andrea [at] lycos.se>
Message-ID: [ID filtered]
X-Provags-ID: [ID filtered]
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
Hallo Peter!

Du willst mal so richtig einen los machen?

Du willst das deine Frau von nichts weiss?

Du willst dein Ding mal wieder so richtig zum zucken bringen?

http://www.sex-overkill.de


Eingeworfen bei 141.76.1.122 (Technische Universitaet Dresden)

Gruß
Peter

Hier gibts Futter:
http://www.xspc.de/email.html

mindphlux
24.06.2004, 22:49
Die IP resolved nach proxy2.anon-online.org, das ist der JAP Anonymizer und damit jeder, der dieses Programm nutzt. Eingeworfen wurde da nix.
Bist du bei Schlund und Partner Kunde? Wenn nein, wurde die Mail vermutlich über einen Formmailer bei Schwund & Partner eingeworfen, die IP des Einlieferers wurde hier durch den JAP-Proxy anomymisiert.

--------------------------------------------
"Africans, we count people first while money and other material things come after." -- Ann, 419 scammer
Spammer, go to http://www.arghcor.de/

DarkX2
24.06.2004, 22:56
Auch bei mir:
Received: from [212.227.126.176] (helo=moutng.kundenserver.de)
by mx13.web.de with esmtp (WEB.DE 4.101 #26)
ID: [ID filtered]
for poor [at] spamvictim.tld; Fri, 25 Jun 2004 xx:xx:xx +0200
Received: from [212.227.126.203] (helo=mrvnet.kundenserver.de)
by moutng.kundenserver.de with esmtp (Exim 3.35 #1)
ID: [ID filtered]
for poor [at] spamvictim.tld; Fri, 25 Jun 2004 xx:xx:xx +0200
Received: from [212.227.119.17] (helo=infong129 ident=8)
by mrvnet.kundenserver.de with smtp (Exim 3.35 #1)
ID: [ID filtered]
for poor [at] spamvictim.tld; Fri, 25 Jun 2004 xx:xx:xx +0200
Received: from [141.76.1.121](IP may be forged by CGI script)
by infong129.kundenserver.de with HTTP; Fri, 25 Jun 2004 xx:xx:xx +0200
Date: Fri, 25 Jun 2004 xx:xx:xx +0200
Precedence: bulk
To: Dark <poor [at] spamvictim.tld>
Subject: Melde Dich dringend!
From: Andrea <andrea [at] lycos.se>
Message-ID: [ID filtered]
X-Provags-ID: [ID filtered]
Sender: cgi-mailer-bounce[BOUNCE filtered]@kundenserver.de
Hallo Dark!
Du willst mal so richtig einen los machen?
Du willst das deine Frau von nichts weiss?
Du willst dein Ding mal wieder so richtig zum zucken bringen?
http://www.sex-overkill.de
--------------------------------------------------
Von den Schlechten verlacht zu werden
ist fast schon ein Lob - Erasmus von Rotterdam

mindphlux
24.06.2004, 23:06
Na dann ist es klar - irgendwo bei einem Schrott&Partner-Kunden ist ein Formmailer offen :(
EDIT: Achja, der Typ ist doch bei Schlund selber Kunde... ich denke mal,abuse [at] schlund.de wirds interessieren.
--------------------------------------------
"Africans, we count people first while money and other material things come after." -- Ann, 419 scammer
Spammer, go to http://www.arghcor.de/

DarkX2
25.06.2004, 20:05
Mal wieder
Received: from [217.218.83.196] (helo=vlaanderen.be)
by mx23.web.de with smtp (WEB.DE 4.101 #26)
ID: [ID filtered]
Message-ID: [ID filtered]
Reply-To: "ACHTUNG" <12ocrsmleimmpg [at] vlaanderen.be>
From: "ACHTUNG" <12ocrsmleimmpg [at] vlaanderen.be>
To: "ACHTUNG" <poor [at] spamvictim.tld>
Subject: ACHTUNG
Date: Sat, 26 Jun 2004 xx:xx:xx +0500
MIME-Version: 1.0
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: 7bit
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1123
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1123
Sender: 12ocrsmleimmpg [at] vlaanderen.be
Du willst mal so richtig einen los machen?
Du willst das deine Frau von nichts weiss?
Du willst dein Ding mal wieder so richtig zum zucken bringen?
http://www.sex-overkill.de
.

--------------------------------------------------
Von den Schlechten verlacht zu werden
ist fast schon ein Lob - Erasmus von Rotterdam

mindphlux
25.06.2004, 21:15
217.218.83.196 -> National Youth Organization of Iran -> abuse [at] mail.dci.co.ir
Den Proxy gibts also immer noch...

--------------------------------------------
"Africans, we count people first while money and other material things come after." -- Ann, 419 scammer
Spammer, go to http://www.arghcor.de/

doc33
26.06.2004, 01:13
Jetzt hat er mich auch erwischt http://img.homepagemodules.de/sick.gif
Received: from [211.97.72.76] (helo=vlaanderen.be)
by mx24.web.de with smtp (WEB.DE 4.101 #26)
ID: [ID filtered]
for poor [at] spamvictim.tld; Sat, 26 Jun 2004 xx:xx:xx +0200
Message-ID: [ID filtered]
Reply-To: "ACHTUNG" <12ujsllijd [at] vlaanderen.be>
From: "ACHTUNG" <12ujsllijd [at] vlaanderen.be>
To: "ACHTUNG" <poor [at] spamvictim.tld>
Subject: ACHTUNG
Date: Sat, 26 Jun 2004 xx:xx:xx -0200
MIME-Version: 1.0
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: 7bit
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Sender: 12ujsllijd [at] vlaanderen.be

Du willst mal so richtig einen los machen?
Du willst das deine Frau von nichts weiss?
Du willst dein Ding mal wieder so richtig zum zucken bringen?
http://www.sex-overkill.de

--------------------
Ich erwähn das hier nur ungern aber es ist wiedermal bei der Mail Adresse aufgeschlagen wo nur Maxolution Spam ankommt bzw. Spam den ich eindeutig mit denen in Verbindung bringen kann, ich such morgen mal die Verbindung in diesem Falle und ich wette ich weiß schon wo die liegt...

doc33
26.06.2004, 11:32
Ok habe die Verbindung...
votingcafe.de abfragen da haben wir auch den Herrn Lessing dafür kam der Spam auch auf diese EMail Adresse, dann fragen wir noch kurz anal-teen.de ab da haben wir wieder den Herrn Lessing.
Bisher war auf der anal-teen.de ein Digitalpayment link von Maxolution, seltsamerweise ist die Seite seit ich das neulich bei votingcafe beanstandet habe diese Seite nun komplett durch ein Passwort geschützt, warum nur?

TheWurst
26.06.2004, 13:57
so,man hat mich nun auch auserkoren http://img.homepagemodules.de/death.gif

X-Apparently-To: x via 216.136.224.55; Sun, 27 Jun 2004 xx:xx:xx -0700
X-YahooFilteredBulk: 200.148.156.178
X-Originating-IP: [200.148.156.178]
Return-Path: <maier [at] jucda.or.jp>
Received: from 200.148.156.178 (HELO jucda.or.jp) (200.148.156.178)
by mta106.mail.re2.yahoo.com with SMTP; Sun, 27 Jun 2004 xx:xx:xx -0700
Reply-To: "Kundenservice" <maier [at] jucda.or.jp>
From: "Kundenservice" <maier [at] jucda.or.jp>
To: "Mitglieder" <poor [at] spamvictim.tld>
Subject: Bitte beachten
Date: Sun, 27 Jun 2004 xx:xx:xx -0500
MIME-Version: 1.0
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: 7bit
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1158
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1158
Content-Length: 258
Liebes Mitglied!
Bei http://www.votingcafe.de kannst Du jetzt Dein Lieblingsgirl oder
Lieblingsboy wählen.
Und wenn Dir das noch nicht heiss genug ist, dann komm besuche am besten
sofort: http://www.sex-overkill.de
Mit freundlichen Grüßen
Kundenservice

peter1962
26.06.2004, 14:20
hm, ist hier grad wieder aufgeschlagen.
Was mich wundert ist der gleiche Empfänger
wie bei der "Werbung" für Antispam.ws
To: "news" <poor [at] spamvictim.tld>
Das ist doch kein Zufall.
Der komplette Header:
From - Sun Jun 27 xx:xx:xx 2004
X-UIDL: [UID filtered]
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Return-Path: <maier [at] jucda.or.jp>
X-Flags: 1000
Delivered-To: GMX delivery to poor [at] spamvictim.tld
Received: (qmail 2665 invoked by UID: [UID filtered]
Received: from unknown (HELO jucda.or.jp) (222.52.32.45)
by mx0.gmx.net (mx016) with SMTP; 27 Jun 2004 xx:xx:xx +0200
Message-ID: [ID filtered]
From: "Kundenservice" <maier [at] jucda.or.jp>
To: "Mitglieder" <poor [at] spamvictim.tld>
Subject: Bitte beachten
Date: Sun, 27 Jun 2004 xx:xx:xx +0400
MIME-Version: 1.0
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal

Schönen Sonntag
Peter

Hier gibts Futter:
http://www.xspc.de/email.html

rainer
26.06.2004, 15:14
Hallo allerseits,
mein Name ist Rainer Lessing und ich bin Betreiber der Internetseiten
die in den Spammails beworben wurden/werden.
Wir sind mit dem Mitbewerber dem Betreiber der Seite http://www.spyme.net
im Streit über die Ähnlichkeit des Designs.
Der Spammer der versucht uns mit dieser perfieden Methode aus
dem Markt zu drängen, hat sein Ziel bereits teilweise erreicht.
1.Der Spammer spammt einerseits mit einem Tool zu Mailheaderfälschung Beispiel Header und Body:
#######################
Return-Path: <anonymous [at] server.net-4-all.com>
Delivered-To: poor [at] spamvictim.tld
Received: from server.net-4-all.com (server.netclusive.de [217.195.36.2])
by p15135827.pureserver.info (Postfix) with SMTP ID: [ID filtered]
for <poor [at] spamvictim.tld>; Mon, 21 Jun 2004 xx:xx:xx +0200 (CEST)
Received: (qmail 18556 invoked by UID: [UID filtered]
Date: 21 Jun 2004 xx:xx:xx -0000
Message-ID: [ID filtered]
To: poor [at] spamvictim.tld
Subject: Hello my little friend
From: Michael Jackson <michealjackson [at] neverland.net>
Content-Type: text/html
Content-Transfer-Encoding: 8bit
X-UIDL: [UID filtered]
Status: RO
########################################################################
mailtext:
Du willst mal so richtig einen los machen? Du willst das deine Frau von nichts weiss? Du willst dein Ding mal wieder so richtig zum zucken bringen? http://www.sex-overkill.de
#######################

2.Er hat zuletzt die Möglichkeit ausgenutzt, daß
unser Mailformular die Möglichkeit bot, an den Absender einen Copy zu senden,
so konnte er über den Server spammen.
Daraufhin hat uns 1+1 den Server kurzfristig abgeschaltet.
Mit der Domain sind wir nur umgezogen.
Aber es geht weiter, eben hat der Spammer wider versucht über das Formular zu Spammen,
ich habs natürlich umprogrammiert damit diese Möglichkeit nicht mehr besteht!
Weiter unten die Logs aus diesem Zugriff.
Die Angelegenheit ist bereits beim LKA52 in Hamburg (Herr Hahn) zu Anzeige gebracht.
(Es war fast unmöglich den Vorgang zur Anzeige zu bringen, denn Spamming ist laut dem LKA
immer noch kein Straftatsbestand in Deutschland und das Geld für einen Zivilrechtlichen Musterprozess
haben wir nicht).
Aber es gibt da wohl einen &sect;303bStGB der jetzt greift.
Die folgenden Logs werden dem LKA nachgereicht.
Die Ripeauflösung der IP hat eine Deutsche Telekom AG Einwahl ergeben.
Ich gehe allerdings nicht davon aus, daß das LKA/Staatsanwatschaft HH
motiviert die Sache verfolgen (Lesebestätigung kam erst nach einem Tag).
Um transparet zu dokumentieren das nur an ausgewählte Empfänger gespammt wurde um uns keinen Vorteil
zu verschaffen,
hier noch der Link zu unserer Logfileanalyse bis zum 22.06.04 die wirklich lächerliche Zugriffszahlen aufweist:
http://www.votingcafe.de/webcafe/
http://www.sexfotovoting.de/web/
Der Text der Mail:
Name: fick dich
-------------------------
Username:
-------------------------
E-Mail: fickdich [at] fickdich.de
-------------------------
Nachricht: asozialer Drecksspammer
-------------------------

Hier die Logs des Zgriffs auf das Mailformular:
217.86.1.130 - - [27/Jun/20xx:xx:xx:28 +0200] "GET /?fick=dich HTTP/1.1" 200 20919 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.86.1.130 - - [27/Jun/20xx:xx:xx:32 +0200] "GET /fade.js HTTP/1.1" 200 2948 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.86.1.130 - - [27/Jun/20xx:xx:xx:33 +0200] "GET /imagevote.js HTTP/1.1" 200 668 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.86.1.130 - - [27/Jun/20xx:xx:xx:33 +0200] "GET /bg.jpg HTTP/1.1" 200 543 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.86.1.130 - - [27/Jun/20xx:xx:xx:33 +0200] "GET /counter/additional.php?res_width=1024&res_height=768&js=true HTTP/1.1" 200 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.86.1.130 - - [27/Jun/20xx:xx:xx:33 +0200] "GET /topc.gif HTTP/1.1" 200 60 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.86.1.130 - - [27/Jun/20xx:xx:xx:33 +0200] "GET /topmiddlec.gif HTTP/1.1" 200 70 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.86.1.130 - - [27/Jun/20xx:xx:xx:33 +0200] "GET /top2c.gif HTTP/1.1" 200 57 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.86.1.130 - - [27/Jun/20xx:xx:xx:33 +0200] "GET /side.gif HTTP/1.1" 200 51 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.86.1.130 - - [27/Jun/20xx:xx:xx:33 +0200] "GET /logooben.jpg HTTP/1.1" 200 7274 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.86.1.130 - - [27/Jun/20xx:xx:xx:33 +0200] "GET /backoben.gif HTTP/1.1" 200 108 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.86.1.130 - - [27/Jun/20xx:xx:xx:33 +0200] "GET /clear.gif HTTP/1.1" 200 44 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.86.1.130 - - [27/Jun/20xx:xx:xx:33 +0200] "GET /backunten.gif HTTP/1.1" 200 226 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.86.1.130 - - [27/Jun/20xx:xx:xx:33 +0200] "GET /logounten.gif HTTP/1.1" 200 5063 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.86.1.130 - - [27/Jun/20xx:xx:xx:33 +0200] "GET /go.gif HTTP/1.1" 200 654 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.86.1.130 - - [27/Jun/20xx:xx:xx:33 +0200] "GET /cellpic4.gif HTTP/1.1" 200 82 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.86.1.130 - - [27/Jun/20xx:xx:xx:33 +0200] "GET /men.gif HTTP/1.1" 200 397 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.86.1.130 - - [27/Jun/20xx:xx:xx:34 +0200] "GET /women.gif HTTP/1.1" 200 465 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.86.1.130 - - [27/Jun/20xx:xx:xx:34 +0200] "GET /flop.gif HTTP/1.1" 200 471 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.86.1.130 - - [27/Jun/20xx:xx:xx:34 +0200] "GET /vote.js HTTP/1.1" 200 278 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.86.1.130 - - [27/Jun/20xx:xx:xx:34 +0200] "GET /vote1.gif HTTP/1.1" 200 708 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.86.1.130 - - [27/Jun/20xx:xx:xx:34 +0200] "GET /vote2.gif HTTP/1.1" 200 737 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.86.1.130 - - [27/Jun/20xx:xx:xx:34 +0200] "GET /vote3.gif HTTP/1.1" 200 736 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.86.1.130 - - [27/Jun/20xx:xx:xx:34 +0200] "GET /vote4.gif HTTP/1.1" 200 717 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.86.1.130 - - [27/Jun/20xx:xx:xx:34 +0200] "GET /vote5.gif HTTP/1.1" 200 703 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.86.1.130 - - [27/Jun/20xx:xx:xx:34 +0200] "GET /vote6.gif HTTP/1.1" 200 741 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.86.1.130 - - [27/Jun/20xx:xx:xx:34 +0200] "GET /vote7.gif HTTP/1.1" 200 719 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.86.1.130 - - [27/Jun/20xx:xx:xx:34 +0200] "GET /vote8.gif HTTP/1.1" 200 687 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.86.1.130 - - [27/Jun/20xx:xx:xx:34 +0200] "GET /vote9.gif HTTP/1.1" 200 714 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.86.1.130 - - [27/Jun/20xx:xx:xx:34 +0200] "GET /vote10.gif HTTP/1.1" 200 737 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.86.1.130 - - [27/Jun/20xx:xx:xx:34 +0200] "GET /top.gif HTTP/1.1" 200 466 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.86.1.130 - - [27/Jun/20xx:xx:xx:34 +0200] "GET /images/clear.gif HTTP/1.1" 302 308 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.86.1.130 - - [27/Jun/20xx:xx:xx:34 +0200] "GET /profil.gif HTTP/1.1" 200 267 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.86.1.130 - - [27/Jun/20xx:xx:xx:34 +0200] "GET /muell.jpg HTTP/1.1" 200 4962 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.86.1.130 - - [27/Jun/20xx:xx:xx:34 +0200] "GET /bottom.gif HTTP/1.1" 200 684 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.86.1.130 - - [27/Jun/20xx:xx:xx:34 +0200] "GET /bottombg.gif HTTP/1.1" 200 76 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.86.1.130 - - [27/Jun/20xx:xx:xx:34 +0200] "GET /bottom2.gif HTTP/1.1" 200 87 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.86.1.130 - - [27/Jun/20xx:xx:xx:34 +0200] "GET /pics/img4098f0e73a010.jpg HTTP/1.1" 200 20015 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.86.1.130 - - [27/Jun/20xx:xx:xx:42 +0200] "GET /go.php?go=impressumphp HTTP/1.1" 200 14503 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.86.1.130 - - [27/Jun/20xx:xx:xx:42 +0200] "GET /art/dummy.gif HTTP/1.1" 200 47 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.86.1.130 - - [27/Jun/20xx:xx:xx:42 +0200] "GET /art/pfeil.gif HTTP/1.1" 200 76 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.86.1.130 - - [27/Jun/20xx:xx:xx:45 +0200] "GET /go.php?go=kontaktphp&id= HTTP/1.1" 200 14325 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
217.86.1.130 - - [27/Jun/20xx:xx:xx:26 +0200] "POST /go.php?go=kontakt2php HTTP/1.1" 200 13423 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"
P.S. eben rief mich noch eine Dame an die bespammt wurde, währe nett wenn Sie den Mailheader an mich weiterleiten würden.
Mit freundlichem Gruß
Rainer Lessing

doc33
26.06.2004, 15:42
Ahja, was mich nun mal extrem interessieren würde ist folgendes:
http://www.anal-teen.de <- Diese Domain lief und läuft immernoch auf Ihren Namen, das habe ich auch in Mails vor kurzem im Bezug aufs Votingcafe bereits gefragt wo aber sehr gern ausgewichen wurde. Auf besagter Seite gab es einen Link zu Digitalpyment (Maxolution) seltsamerweise ist genau diese Seite seit ich gefragt habe mit einem Passwort (htaccess) gesichert unzwar die komplette Domain, ich kann also nicht mehr sehen was aus dem Link zu Maxolution geworden ist und ob Sie nicht doch mit denen unter einer Decke stecken.
Bisher konnte ich alle Spam Mails auf meiner betroffenen Adresse zu Thomas Altmann bzw. Maxolution wo dieser Kunde ist zurückverfolgen (und ich meine wirklich alle) haben Sie den vielleicht mal abgemahnt oder ähnliches?
Auch nicht uninteressant ist das ich am 12.06.2004 inerhalb von 2 Minuten 2 Spam Mails auf meine Mail Adresse erhielt beide an denselben Empfänger gerichtet (welcher nicht meiner war), eine Mail bewarb Votingcafe, das-sternzeichen und muschi-overkill.de die andere eine Maxolution/Altmann Seite, ich war auch nicht der einzigste der das erhalten hat. Meine Anfrage diesbezüglich bei Votingcafe wurde zwar beantwortet jedoch wurde dieses Detail geschickt ausgelassen.
Für mich ergeben sich daraus 2 Möglichkeiten:
1. JoeJob von Maxolution/Altmann an Ihnen (Dies ist eine Vermutung keine Anschuldigung)
2. Sie und der Maxolution Spammer sind ein und dieselbe Person (Auch dies ist nur eine mögliche Vermutung).

Das sind schon sehr verwirrende Erkenntnisse ich werde jetzt nochmal ein wenig weiter in meinen Archiven graben da ich meine dort noch eine andere Verbindung belegen zu können.

TheWurst
26.06.2004, 16:19
edit: ah ok,hat sich glaub ich erledigt http://img.homepagemodules.de/wink.gif

doc33
26.06.2004, 17:32
Überigens die Mail die ich bekommen habe lief über einen Proxy oder verwurmten PC also nicht über euern Formmailer...
Also hier nochmal das Ding:
Received: from [211.97.72.76] (helo=vlaanderen.be)
by mx24.web.de with smtp (WEB.DE 4.101 #26)
ID: [ID filtered]
for poor [at] spamvictim.tld; Sat, 26 Jun 2004 xx:xx:xx +0200
Message-ID: [ID filtered]
Reply-To: "ACHTUNG" <12ujsllijd [at] vlaanderen.be>
From: "ACHTUNG" <12ujsllijd [at] vlaanderen.be>
To: "ACHTUNG" <poor [at] spamvictim.tld>
Subject: ACHTUNG
Date: Sat, 26 Jun 2004 xx:xx:xx -0200
MIME-Version: 1.0
Content-Type: text/plain;
charset="us-ascii"
Content-Transfer-Encoding: 7bit
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Sender: 12ujsllijd [at] vlaanderen.be

Du willst mal so richtig einen los machen?
Du willst das deine Frau von nichts weiss?
Du willst dein Ding mal wieder so richtig zum zucken bringen?
http://www.sex-overkill.de

doc33
30.07.2004, 20:23
Und es geht wieder neu los, wiedermal auf die Adresse wo immer nur Maxolution Spam und JoeJobs aufschlugen. Nachdem ich mich bei Maxolution mit der Addy so richtig beliebt gemacht habe das die mir gar nicht mehr antworten kam dort gar nichts mehr an Spam drauf, offensichtlich soll ich nochmal bei denen jammern. Immerhin wurde die Adresse knapp einen Monat lang überhaupt nicht mehr bespammt.
Received: from [200.167.39.205] (helo=lycos.de)
by mx29.web.de with smtp (WEB.DE 4.101 #44)
ID: [ID filtered]
Message-ID: [ID filtered]
Date: Fri, 30 Jul 2004 xx:xx:xx +0200
From: "Webmaster" <votingservice [at] lycos.de>
User-Agent: AOL 8.0 for Windows US sub 230
X-Accept-Language: en-us
MIME-Version: 1.0
To: "Dich" <poor [at] spamvictim.tld>
Subject: Mahnung
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: 7bit
Sender: votingservice [at] lycos.de

Hallo Webmaster,
unser votingcafe ist wieder da. Alles neu mit vielen tollen Möglichkeiten.
Komm und vote noch heute
http://www.votingcafe.de
Das solltest du dir nicht entgehen lassen
Du willst es härter?
http://www.sex-overkill.de
hier geht es ab

mindphlux
30.07.2004, 22:52
votingcafe.de: Unable to select database.
Nicht jeder kann PHP programmieren. Zum Glück.

--------------------------------------------
"Africans, we count people first while money and other material things come after." -- Ann, 419 scammer
Spammer, go to http://www.arghcor.de/

Armin_Sschneider
25.08.2004, 14:54
Was hat die Anzeige beim LKA nun ergeben?