header:01: Received: from dsldevice.lan (athedsl-13091.home.otenet.gr [87.202.51.137])
whois:
leitet weiter auf whois:
Druckbare Version
header:01: Received: from dsldevice.lan (athedsl-13091.home.otenet.gr [87.202.51.137])
whois:
leitet weiter auf whois:
header:01: From - Mon Apr 13 xx:xx:xx 200902: X-Account-Key: account303: X-UIDL: [UID filtered]04: X-Mozilla-Status: 000105: X-Mozilla-Status2: 0000000006: X-Mozilla-Keys:07:08: Return-Path: <gutschein.oobe [at] blackblock.tk>09: X-Flags: 000010: Delivered-To: GMX delivery to poor [at] spamvictim.tld11: Received: (qmail invoked by alias); 13 Apr 2009 xx:xx:xx -000012: Received: from h1483805.stratoserver.net (HELO blackblock.tk) [85.214.154.160]13: by mx0.gmx.net (mx003) with SMTP; 13 Apr 2009 xx:xx:xx +020014: Message-ID: [ID filtered]15: Date: Mon, 13 Apr 2009 xx:xx:xx +040016: From: "Mitteilung" <gutschein.oobe [at] blackblock.tk>17: User-Agent: Mozilla 4.79 [en]C-CCK-MCD {SillyDog} (Win98; U)18: X-Accept-Language: en-us19: MIME-Version: 1.020: To: "INTERESSENT" <poor [at] spamvictim.tld>21: Subject: =?US-ASCII?B?IRGENDWASCODIERTES=?=22: Content-Type: text/plain;23: charset="us-ascii"24: Content-Transfer-Encoding: 7bit25: X-GMX-Antivirus: 0 (no virus found)26: X-GMX-Antispam: 0 (Mail was not recognized as spam)
Zitat:
Gutschein-Gewinner Nr. 5464
Herzlichen Glückwunsch!
Sie erhalten hiermit einen 10% Rabatt Gutschein für Ihren Ersteinkauf!
Die 10% werden Ihnen bei der Onlinerechnung automatisch abgezogen.
Der Gutscheincode erscheint automatisch in der Bestellung, er wird
automatisch für Sie generiert.
Jetzt Gutschein einlösen unter:
whois:
Wir haben die besten Potenzmittel - Originale und Generika
Super schneller Versand aus der EU und ohne Zoll-Probleme.
Kein peinlicher Arztbesuch, direkt online bestellen und diskrekt geliefert
bekommen.
Jetzt Gutschein einlösen unter:
whois:
Mit freundlichen Grüßen
Ihre Online-Apotheke
Hier können Sie sich aus dem Verteiler austragen:
whois:/dispatcher/service?ac=unsub&u=1&m=BLAFASELKLAPPTEHNICHT
Spammy geht uns wohl wegen Ostern so auf die :p.
Schein ein Affliliate zu sein:
-> whois:
-> /?wbm=311
-> &promoid=viagra-zollfrei-info-gutschein
-> &gutsch=7f682fa827fdd5e1bd844fdc91a2e8eb
offtopic:Was mich wundert ist, dass Strato tcp 3389 einfach so offen läßt.
Ist nicht schon mal ein O*S wg. einfacher Kennwörter übelst auf die Nase gefallen?
@Mods
Tackern?
header:whois:01: Received: from ip29-198.cbn.net.ID: [ID filtered]02: by x (Postfix) with ESMTP03: ID: [ID filtered]
header:whois: ->01: Received: from unknown (EHLO display-technologies.com) [125.167.179.52]02: by mx0.gmx.net (mx032) with SMTP; 13 Apr 2009 xx:xx:xx +0200
whois:
Beispielskript von der ersten Spam - zweite identisch bis auf das Ziel:
Wer Interesse an dem Skript hat: - auf eigene Gefahr.Code:<script type="text/javascript" id="cintpl_loader" src="http://x.interia.pl/cintpl/cintpl.basic_80215a.js"></script>
<script type="text/javascript">
<!-- <![CDATA[
if(!INTPL)var INTPL=function(){return "";};
// ]]> -->
</script>
<!-- Begin DOTSRV -->
<script type="text/javascript">
<!-- <![CDATA[
var g=new Image();
g.src=location.protocol+'//interia.hit.gemius.pl/_'+(new Date()).getTime()+'/redot.gif?id=1YcB94y2nezNBZTNaQ32UfL7'+INTPL('g_parameters_g');
INTPL('g_write_pebi');
// ]]> -->
</script>
<!-- End DOTSRV --><!-- GA2.1 -->
<script type="text/javascript">
<!-- <![CDATA[
var gaJsHost = (("https:" == document.location.protocol) ? "https://ssl." : "http://www.");
document.write(unescape('%3Cscript src="' + gaJsHost + 'google-analytics.com/ga.js" type="text/javascript"%3E%3C/script%3E'));
// ]]> -->
</script>
<script type="text/javascript">
<!-- <![CDATA[
var pageTrackerP = _gat._getTracker( "UA-3530215-5" );
pageTrackerP._setDomainName(".interia.pl" );
pageTrackerP._setAllowHash( false );
pageTrackerP._trackPageview();
var pageTracker = _gat._getTracker( "UA-2540319-28" );
pageTracker._trackPageview();
// ]]> -->
</script>
<!-- /GA2.1 --><META HTTP-EQUIV="refresh" CONTENT="0;URL=http://cyberstorebiz.at">
whois: -> Nameserver whois:ns1.hostmedication.com
Der SOA-Wert der Zone kommt mir erstaunlich lang vor:Code:hostmedication.com NS ns1.hostmedication.com
ns1.hostmedication.com A 201.236.86.60 -> Telefonica Empresas Chile
ns1.hostmedication.com A 218.93.249.66 -> SUQIAN-PETRO-CORP CN
cyberpharmacyguide.at NS ns1.hostmedication.com
cyberinternalmedicine.at NS ns1.hostmedication.com
cybernuclearmedicine.at NS ns1.hostmedication.com
cyberpharmacyonline.at NS ns1.hostmedication.com
cyberlandstore.at NS ns1.hostmedication.com
cybermedicineinstitute.at NS ns1.hostmedication.com
cyberpharmacyprescription.at NS ns1.hostmedication.com
cleanplateclubgroup.at NS ns1.hostmedication.com
cybermedicinecenter.at NS ns1.hostmedication.com
creditcityautosales.at NS ns1.hostmedication.com
cyberpharmacydiscounts.at NS ns1.hostmedication.com
cyberpharmacydirect.at NS ns1.hostmedication.com
cybermedicineport.at NS ns1.hostmedication.com
cyberloveyou.at NS ns1.hostmedication.com
cyberstoreindex.at NS ns1.hostmedication.com
cyberpetpharmacy.at NS ns1.hostmedication.com
cybermarketingdirectory.at NS ns1.hostmedication.com
@Mods:Code:> set q=soa
> cyberstorebiz.at
Server: 201-236-86-60.static.tie.cl
Address: 201.236.86.60
cyberstorebiz.at
primary name server = ns1.cyberstorebiz.at
responsible mail addr = admin.cyberstorebiz.at
serial = 2005000000
refresh = 600 (10 mins)
retry = 900 (15 mins)
expire = 1209600 (14 days)
default TTL = 43200 (12 hours)
cyberstorebiz.at nameserver = ns1.cyberstorebiz.at
cyberstorebiz.at nameserver = ns2.cyberstorebiz.at
ns1.cyberstorebiz.at internet address = 218.93.249.66
ns2.cyberstorebiz.at internet address = 201.236.86.60
das Headerskript futtert (wieder) zuviel weg - meine erste Headerzeile sieht original wie folgt aus (Whois vorsichtshalber gesetzt):
Received: from whois:ip29-198.cbn.net.id (whois:ip29-198.cbn.net.id [whois:202.158.29.198])
header:whois: -> whois:01: Received: from customer-202-28.porta.net (unknown [200.25.202.28])02: by x (Postfix) with ESMTP03: ID: [ID filtered]
header:whois: -> whois:01: Received: from jaja.salamouna.cz (t4.salamouna.net [193.165.184.53])02: by x (Postfix) with ESMTP ID: [ID filtered]03: Tue, 14 Apr 2009 xx:xx:xx +0200 (CEST)
Ja, ja ein Selbstzitat - nicht die feine englische Art.
Ich habe einen Entwickler-Kollegen zu dem Skript befragt und er meinte dazu folgendes:
- es platziert ein permanentes Cookie, Inhalt unbekannt, bzw. von jeder Site, auf die man von der aus kommt, die das Script auch hat - geht das dann auch
- es lädt noch mehr jscript nach, dieses script ist etwas schwerer zugängig, keine Ahnung was das macht
- es rendert fröhlich HTML raus, lädt ein Shockwave, ActiveX und schaut nach ob Java aktiviert ist und meldet das dann an die Umlenk Seite, was auch schon bedenklich ist.
Ein Grund mehr für Firefox mit noscript oder Opera mit abgeschaltetem Skripting.
header:01:02: Received: from host146-96-static.63-88-b.business.telecomitalia.it03: ([88.63.96.146]:2493)04: by 4.mx.freenet.de with esmtp (port 25) (Exim 4.69 #79)05: ID: [ID filtered]06: for *@*.de; Fri, 17 Apr 2009 xx:xx:xx +020007: To: <@*.de>08: Subject: {Spam?} {Disarmed} Brad was amazed at my trouser snake09: From: "Lino Gangwish" <Lino-jinti [at] pgm.com.eg>10: Mime-Version: 1.011: Content-Type: text/html; charset=iso-8859-112: Content-Transfer-Encoding: 7bit13: Delivered-To: *@*.de14: X-Warning: Message contains spam signature15: (149285::1239953356-00007B74-C89447BD/0-3582738996/0-10)
Neben einem sehr einfallsreichen :clown: HTML-Bildchen ein ebenso einfallsreicher HTML-Text:
Zitat:
whois:update.asp?mail=*@*de&key=*"> Update account information
whois:change.asp?mail=*@*.de&key=*"> Change e-mail address
whois:unsubscribe.asp?mail=*@*.de&key=*"> Unsubscribe
whois:privacy.asp?key=*">Privacy policy
Wie einfallsreich ... :yawn:
header:01:02: Received: from adsl-50-57.tricom.net ([190.94.50.57]:60357 helo=pqrimdrno)03: by 12.mx.freenet.de with esmtp (port 25) (Exim 4.69 #79)04: ID: [ID filtered]05: X-Sender: <cchergp [at] marshmc.com>06: From: "Carma Cher" <cchergp [at] marshmc.com>07: In-Reply-To: <**************$*********@5zty533>08: Message-ID: [ID filtered]09: Sender: <cchergp [at] marshmc.com>10: Reply-To: "Carma Cher" <cchergp [at] marshmc.com>11: To: <*@*.de>12: Date: Fri, 17 Apr 2009 xx:xx:xx -070013: Subject: {Spam?} Canada Pharmacy is a cheap and affordable discount online Canada Drugs14: Pharmacy which serves over 25,000 customers. We open 24 hours a day 7 days a week *****15: Content-Type: text/plain;16: charset="iso-8859-2"17: Content-Transfer-Encoding: 8bit18: Delivered-To: *@*.de19: X-Warning: Message contains spam signature20: (149285::1239970828-00007B74-86CBD3CE/2537036771-0/0-3)
Zitat:
*blablafasel*
Please visit our Big Discount Canada Pharmacy Mall via below links
whois:
whois:
Spammy ist wohl etwas desorientiert:
header:01: Received: from 60-241-199-216.static.tpgi.com.au (EHLO02: 60-241-199-216.static.tpgi.com.au) [60.241.199.216] by mx0.gmx.net (mx079) with SMTP;03: 19 Apr 2009 xx:xx:xx +0200
whois:Zitat:
Jetzt bestellen und naechste Woche erhalten - 12 Tb. umsonst zum
Weihnachten!
Frohe Weihnachten
natürlich ein Redirect auf:
whois:
Sieht man dann noch den Registrar:
und die 'Kraft der 4 Nameserver', dann weiss man, dass dies nur Alex/Yambo von der Russenmafia sein kann.Zitat:
Registrar: XIN NET TECHNOLOGY CORPORATION
Status: ok
Dates: Created 17-apr-2009 Updated 17-apr-2009 Expires
17-apr-2010
DNS Servers: A1.AWAREREAL.COM B2.AWAREREAL.COM C3.AWAREREAL.COM
D4.AWAREREAL.COM
Ansonsten erbricht der Nameserver noch:
whois:
das hatten wir hier auch schon.
- kjz
whois:interia.pl ist jetzt schon ein monatelanges Ärgernis
Schaut man auf whois:217.74.65.162 findet man
Zwischenzeitlich lagen dort auch Phishing- und Virenverseuchte Seiten.Zitat:
horyzont2000.w.interia.pl
douglassarenfrow2000.w.interia.pl
gladysscforde1100.w.interia.pl
raymondssssrmachulsky5100.w.interia.pl
davidwilliamson6100.w.interia.pl
lesliebolinger9100.w.interia.pl
margaretmarcellus4200.w.interia.pl
billieminton5200.w.interia.pl
belapatel4300.w.interia.pl
terijennings1400.w.interia.pl
darneilgrove9400.w.interia.pl
toddsandssusanmunnik9400.w.interia.pl
robertparkin1600.w.interia.pl
raydolensky6600.w.interia.pl
darelwillman3700.w.interia.pl
tammystangler5900.w.interia.pl
frankholthoff0010.w.interia.pl
alanholcombe3010.w.interia.pl
robertpennington3010.w.interia.pl
marycastelli010.w.interia.pl
ozi11110.w.interia.pl
gaillard6110.w.interia.pl
richardgaillard6110.w.interia.pl
franksjhuppenthal6110.w.interia.pl
benhoye210.w.interia.pl
darespalmerjennings0310.w.interia.pl
cliffordspaulvogel2310.w.interia.pl
donbarrows310.w.interia.pl
s27angelo410.w.interia.pl
dennisds27angelo410.w.interia.pl
sebastiaodutra1510.w.interia.pl
marshallwakefield4510.w.interia.pl
ullard510.w.interia.pl
soyongbullard510.w.interia.pl
franksthalpin510.w.interia.pl
shanadowns7610.w.interia.pl
laurafrew8610.w.interia.pl
keithcrosland610.w.interia.pl
sghuber610.w.interia.pl
williamsghuber610.w.interia.pl
elizabethpaulino5710.w.interia.pl
angelvizcaino9710.w.interia.pl
anthonymatthews0810.w.interia.pl
jeremysjmier6910.w.interia.pl
jamessrbradshaw9910.w.interia.pl
dx10.w.interia.pl
lamondamccraw5020.w.interia.pl
adouceur2220.w.interia.pl
robertladouceur2220.w.interia.pl
wspatrickwerner4420.w.interia.pl
rayspencer6420.w.interia.pl
dakotastipes7420.w.interia.pl
edwardmummert7520.w.interia.pl
williamsmorrill2620.w.interia.pl
jackbowe3720.w.interia.pl
rodriguezsdesbaez0820.w.interia.pl
manuelarodriguezsdesbaez0820.w.interia.pl
kathymager3920.w.interia.pl
terrirandolph6030.w.interia.pl
peggyos27brien1130.w.interia.pl
lupeng2130.w.interia.pl
normahauser7130.w.interia.pl
kaycockerham130.w.interia.pl
eunicesmrssellers9230.w.interia.pl
hinneman230.w.interia.pl
danaslshinneman230.w.interia.pl
michaelsahabib3330.w.interia.pl
timothyearnest530.w.interia.pl
noracraver1630.w.interia.pl
mariannesdriccardi2630.w.interia.pl
paulsingleton4630.w.interia.pl
asessrhoggard7630.w.interia.pl
tonydumas0730.w.interia.pl
raymondspmcintosh9730.w.interia.pl
earlscrankins5830.w.interia.pl
donaldsrchipman6830.w.interia.pl
jesusbaeza0040.w.interia.pl
yauskeecheung4040.w.interia.pl
josephpoling5040.w.interia.pl
walterssgoldberg9040.w.interia.pl
josemanzano5240.w.interia.pl
gabrielemassaro8240.w.interia.pl
hung9240.w.interia.pl
jooeunchung9240.w.interia.pl
delbertadamson240.w.interia.pl
michaelslpropst0340.w.interia.pl
gwendolyneverett340.w.interia.pl
donaldsmrowland9440.w.interia.pl
karengollon1540.w.interia.pl
gregkuhlman0640.w.interia.pl
shawnester7640.w.interia.pl
adrianjefferson2740.w.interia.pl
traceyzielinski7740.w.interia.pl
nmays740.w.interia.pl
robertsnmays740.w.interia.pl
kennethsjsjrhodson8840.w.interia.pl
markwakeman5940.w.interia.pl
jamesbarrett6050.w.interia.pl
lledge9150.w.interia.pl
warrenelledge9150.w.interia.pl
randymurdock250.w.interia.pl
robertwills5350.w.interia.pl
lachunemcbride350.w.interia.pl
donbullard7450.w.interia.pl
marybellemare8450.w.interia.pl
waltveale3550.w.interia.pl
stevensaperry7550.w.interia.pl
helenkubiak9550.w.interia.pl
erikiverson6650.w.interia.pl
jamesskpeedin650.w.interia.pl
solonsimonds650.w.interia.pl
jonmclaughlin0750.w.interia.pl
adolfobenavidez4750.w.interia.pl
veronicasalinas5950.w.interia.pl
barbarasmflowers6950.w.interia.pl
tomasvallejosapolinares950.w.interia.pl
christophermiddleton0060.w.interia.pl
robertstecki060.w.interia.pl
pearman060.w.interia.pl
thomasspearman060.w.interia.pl
lauber0160.w.interia.pl
michaellauber0160.w.interia.pl
josesmiguelchavez1160.w.interia.pl
billfaught260.w.interia.pl
corafrazier0360.w.interia.pl
onbohn1360.w.interia.pl
brandonbohn1360.w.interia.pl
richardsatoney1360.w.interia.pl
johnsebolton5460.w.interia.pl
trejo6660.w.interia.pl
nahumtrejo6660.w.interia.pl
franksjsmdcano4760.w.interia.pl
karelshboonzaayer0860.w.interia.pl
richarddickens6860.w.interia.pl
hey9860.w.interia.pl
amypeachey9860.w.interia.pl
oswaldsilva1960.w.interia.pl
ruthsidecker5960.w.interia.pl
robertelston3070.w.interia.pl
ermabranson7270.w.interia.pl
beulahstrait9270.w.interia.pl
ddsrubinstein0370.w.interia.pl
sergiosddsrubinstein0370.w.interia.pl
chasityangell7470.w.interia.pl
lindachildress1570.w.interia.pl
charleskilburn7770.w.interia.pl
obles4870.w.interia.pl
luannenobles4870.w.interia.pl
williamsabarrett5870.w.interia.pl
gaylonblanton2970.w.interia.pl
hughsbuddyjudd3970.w.interia.pl
kizsandsclintonrogers6970.w.interia.pl
johnsjrswholman8970.w.interia.pl
msmssutherland9970.w.interia.pl
josephfisher3080.w.interia.pl
garysagiles1180.w.interia.pl
waynetuckersbays6280.w.interia.pl
sonyadelcastillo4380.w.interia.pl
davidsesumner4480.w.interia.pl
codyblankenship6580.w.interia.pl
josesilva580.w.interia.pl
shavonneedgecombe1680.w.interia.pl
rose0880.w.interia.pl
karenfennell4880.w.interia.pl
codyluker4880.w.interia.pl
robertsrhampson980.w.interia.pl
tombarrett2090.w.interia.pl
stephenos27donnell090.w.interia.pl
artmiliander090.w.interia.pl
rickypounders7190.w.interia.pl
fears190.w.interia.pl
bernicefears190.w.interia.pl
arthurtodd6290.w.interia.pl
michaelmckinnon8290.w.interia.pl
holt290.w.interia.pl
charlesholt290.w.interia.pl
rhondahoover6390.w.interia.pl
baselidesvalladares0590.w.interia.pl
richardfrazier3590.w.interia.pl
markstmchugh1790.w.interia.pl
stuartkolb2890.w.interia.pl
lorettabandy5890.w.interia.pl
carrieslosborne6890.w.interia.pl
helensleepappas890.w.interia.pl
brucelilly890.w.interia.pl
jessiemarinez6990.w.interia.pl
eg001.w.interia.pl
susanmcguire7101.w.interia.pl
marysanndenney8101.w.interia.pl
soniamandelasnevarez8101.w.interia.pl
terrygollnow6201.w.interia.pl
dorothyhutson8301.w.interia.pl
josephsmhemingway9301.w.interia.pl
lindamccall2401.w.interia.pl
rthington6401.w.interia.pl
sonyaworthington6401.w.interia.pl
karinpetties2501.w.interia.pl
Ruft man z. B. whois:karinpetties2501.w.interia.pl auf kommt man zu whois: Dort hängen auch 4 potente Namensserver dran.
D4.PRIMEMEEK.COM
A1.PRIMEMEEK.COM
C3.PRIMEMEEK.COM
B2.PRIMEMEEK.COM
Dort findet man unter anderem noch
whois:332232.com
whois:111233.com
whois:122233.com
whois:112245.com
whois:primemeek.com
Hier werden bestimmt zigtausende Kombinationen im Umlauf sein :sick:
Gruß Antispam2006