PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : web.de "Verifizierung"



corlis
09.11.2005, 19:21
Eine bereits bekannte Methode, aber ein neues Ziel: web.de

Received: from [83.204.113.164] (helo=ALille-257-1-86-164.w83-204.abo.wanadoo.fr) by mx25.web.de with smtp (WEB.DE 4.105 #323) ID: [ID filtered]
Message-ID: [ID filtered]
From: Verification <AlexandrinaBelsoncdruw [at] quista.net>
To: poor [at] spamvictim.tld
Subject: web.de ID: [ID filtered]
Date: Wed, 09 Nov 2005 xx:xx:xx +0000 (18:58 CET)
MIME-Version: 1.0
Content-Type: multipart/related; type="multipart/alternative"; boundary="----=_NextPart_000_0000_1C283E66.5FFCE762"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express V6.00.2900.2180
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
Sender: AlexandrinaBelsoncdruw [at] quista.net

D*ae‬r web.de Me*bm‬er,

We mu*ts‬ c*kceh‬ th*ta‬ y*uo‬r web.de ID: [ID filtered]
regi*arts‬tions, p*el‬ase c*cil‬k on t*sih‬ l*ni‬k and comp*tel‬e co*ed‬ v*oitacifire‬n pro*sec‬s:

http://web.de/NeE36k9pDix7PpXOgFyFdeFKd1W4G9hOinLOcDQXPqNZ7XiFjrtRYaF8l9re

T*knah‬ you.


Verlinkt ist jedoch nicht web.de, sondern:
http://www.google.com/url?q=http://www.google.com/url?q=http://%73T%41n%44ZA.N%65%54/c%09gi-%62%69n/%70o%63h/r%09%65d%69%72.%63%09%67i?s=web.de

Leitet also weiter auf http://sTAnDZA.NeT/cgi-bin/poch/redir.cgi?s=web.de

Tja, mit der domain gibts anscheinend schon Probleme, ich konnte sie nicht erreichen...

Sirius
09.11.2005, 20:08
Vermutlich ist die Domain auf auf einem Bot-Net gehostet: Service-Scan von sTAnDZA.NeT (http://centralops.net/co/DomainDossier.aspx?addr=sTAnDZA.NeT&dom_dns=true&dom_whois=true&net_whois=true&svc_scan=true&traceroute=true&go1=Submit)

Address lookup: sTAnDZA.NeT
24.19.199.120
65.79.213.14
212.179.205.217
24.90.235.24
83.205.81.226
Das sind IPs von Einwählverbindungen.

Es scheint so, als hat da jemand ein Problem mit den Nameservern. Die meisten Hosts sind "down"...

...und http://212.179.205.217/ gibt die für ein Bot-Net typische Meldung aus: "reload".
Sehr interessant sind die Whois-Daten: http://www.antispam-ev.de/~phil/spamlink/?url=http://212.179.205.217

Das ist ein "alter Bekannter" - sieht nach Leos Handschrift aus.

corlis
09.11.2005, 20:15
Danke, Sirius... immer wieder ein guter "Auseinanderklabüsterer" :)

Goofy
10.11.2005, 19:12
http://www.dnsstuff.com/tools/lookup.ch?name=sTAnDZA.NeT&type=A

Diagnose: DNS-Tod durch ns-Schluckauf.

corlis
10.11.2005, 19:32
Antwort von abuse [at] web.de war ne Standardantwort nach dem Schema: "Interessiert uns net die Bohne..." Bisserl kurzsichtig in meinen Augen...