Porno Joe Job?

[kjz1]

Die bespammte Seite ist sicher nicht von schlechten Eltern, aber das Mail Subject müffelt doch sehr nach Joe Job:

Subject: child porn and zoophilia videos!

header:

01: Received: from 14.2.7.109.rev.sfr.net ([109.7.2.14]) by mx-ha.gmx.net
02:  (mxgmx112) with ESMTP (Nemesis) ID: [ID filtered]
03: Received: from [109.7.2.14] (HELO XBQXK) by 14.2.7.109.rev.sfr.net
04: 	(8.14.3/8.14.3)
05: 	with SMTP ID: [ID filtered]

^whois: [Link nur für registrierte Mitglieder sichtbar. ]
IP: 46.137.179.168 ---> ec2-46-137-179-168.eu-west-1.compute.amazonaws.com

wieder Bandenkrieg bei der Russenmafia?

[kjz1]

Es geht weiter:

header:

01: Received: from host-86-63-136-158.nplay.net.pl ([86.63.136.158]) by
02:  mx-ha.gmx.net (mxgmx006) with ESMTP (Nemesis) ID: [ID filtered]
03: Received: from [86.63.136.158] (HELO FWNKD) 	by host-86-63-136-158.nplay.net.pl
04: 	(8.14.3/8.14.3) with SMTP ID: [ID filtered]

Subject: zoo movies 2012

^whois: [Link nur für registrierte Mitglieder sichtbar. ]
IP: 216.18.164.37 ---> reflected.net

in illustrer Nachbarschaft:

meandmylatina.com
www.meandmylatina.com
dirtywivesexposed.com
www.dirtywivesexposed.com
sendjoinsgetpaid.com
amaland.com
help.amaland.com
help.fuckingawesome.com
myalternativegf.com
www.myalternativegf.com
mylesbogf.com
www.mylesbogf.com
mybbwgf.com
tour.mybbwgf.com
www.mybbwgf.com
watchmygf.com
www.watchmygf.com
jizzonmygf.com
www.jizzonmygf.com
myebonygf.com
www.myebonygf.com
obsessedwithmyself.com
www.obsessedwithmyself.com
famousmilf.com
www.famousmilf.com
thegfnetwork.com
www.thegfnetwork.com
mygflovesanal.com
www.mygflovesanal.com
meandmyasian.com
www.meandmyasian.com
homemadecelebrityporn.com
tube.homemadecelebrityporn.com
www.homemadecelebrityporn.com
celebrityspanker.com
www.celebrityspanker.com
trashedgirlfriends.com
www.trashedgirlfriends.com
boyfriendnudes.com
www.boyfriendnudes.com
sexymalecelebrities.com
www.sexymalecelebrities.com
dirtyteencelebrities.com
www.dirtyteencelebrities.com
slutswithphones.com
www.slutswithphones.com
realitystarscandals.com
www.realitystarscandals.com
girlfriendorgasms.com
www.girlfriendorgasms.com
hackedgfvideos.com
www.hackedgfvideos.com
help.gossipmembers.com
paparazzistalkers.com
www.paparazzistalkers.com
fubilov.com
www.fubilov.com
tagteamtranny.com
www.tagteamtranny.com
watchmygf.net
www.watchmygf.net

[kjz1]

Bei der Russenmafia ist weiter Krieg angesagt:

header:

01: Received: from smtp.endes.it ([88.81.191.72]) by mx-ha.gmx.net
02: (mxgmx010) with  ESMTP (Nemesis) ID: [ID filtered]
03:  2013 xx:xx:xx +0100
04: Received: from [88.81.191.72] (HELO GULF) by smtp.endes.it (8.14.3/8.14.3) with
05: 	SMTP ID: [ID filtered]

IP: 88.81.191.72 ---> Easynet Italy

Subject: zoo movies 2012

^whois: [Link nur für registrierte Mitglieder sichtbar. ]
IP: 8.29.134.165 ---> Beyond Hosting

[Goofy]

Der Vollständigkeit halber sei noch einmal darauf hingewiesen, dass solche Webseiten sehr oft mit bösartigen Exploits verwanzt sind. Solche Webseiten besucht man am besten gar nicht, auch nicht mit abgeschaltetem Javascript - es gibt nämlich auch noch andere Exploits. Zum Beispiel Flash-Exploits oder Cross-Over-Exploits u.v.m., solche Exploits gibt es zwar beim Internet Explorer häufiger, aber auch für Firefox und andere Browser taucht so etwas immer mal wieder auf.

Besonders bei pr0n-Seiten aus dem extremen Bereich darf immer wieder mit bösartigen Dingen gerechnet werden. Also: für Recherchezwecke allenfalls einen Nur-Text-Browser wie z.B. Lynx nehmen. Der stellt natürlich keine Bildchen und flash-Filmchen dar, aber ich meine, das kann man sich nun wirklich ersparen.

[TillP]

Besonders bei pr0n-Seiten aus dem extremen Bereich darf immer wieder mit bösartigen Dingen gerechnet werden. Also: für Recherchezwecke allenfalls einen Nur-Text-Browser wie z.B. Lynx nehmen. Der stellt natürlich keine Bildchen und flash-Filmchen dar, aber ich meine, das kann man sich nun wirklich ersparen.

Wer auf die Bilder nicht verzichten will, kann auf BitBox: https://www.bsi.bund.de/DE/Themen/ProdukteTools/BitBox/BitBox_node.html zurückgreifen.
Ein gehärteter Firefox komplett fertig nutzbar in einer virtuellen Maschine. Damit ist man dann auf der sicheren Seite.
(Ja, theoretisch ist es denkbar, über einen Exploit den Browser anzugreifen, das gehärtete Linux in der virtuellen Maschine zu übernehmen, von dort erkennen, dass man in einer virtuellen Maschine läuft, aus dieser virtuellen Maschine ausbrechen und das Hostsystem anzugreifen. Theoretisch.)

[kjz1]

Es geht weiter:

header:

01: Received: from 122.52.173.87.pldt.net ([122.52.173.87]) by mx-ha.gmx.net
02:  (mxgmx104) with ESMTP (Nemesis) ID: [ID filtered]
03: Received: from [122.52.173.87] (HELO SGY) by 122.52.173.87.pldt.net
04: 	(8.14.3/8.14.3)
05: 	with SMTP ID: [ID filtered]

Subject: Only fresh CC

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

header:

01: Received: from 59-126-84-207.HINET-IP.hinet.net ([59.126.84.207]) by
02:  mx-ha.gmx.net (mxgmx007) with ESMTP (Nemesis) id
03: 0MfzBV-1U267x2Ks1-00NQ28 for xxxxx; Wed, 03 Apr 2013 xx:xx:xx +0200
04: Received: from [59.126.84.207] (HELO FGIUMDQCP)
05: 	by 59-126-84-207.HINET-IP.hinet.net (8.14.3/8.14.3)
06: 	with SMTP ID: [ID filtered]

Subject: Check US CC data

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

vorgespiegelt wird auch:

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

[kjz1]

Heute eingetrudelt:

header:

01: Received: from i-195-137-98-62.freedom2surf.net ([195.137.98.62]) by
02:  mx-ha.gmx.net (mxgmx006) with ESMTP (Nemesis) ID: [ID filtered]
03: Received: from [195.137.98.62] (HELO ZPF) 	by i-195-137-98-62.freedom2surf.net
04: 	(8.14.3/8.14.3) with SMTP ID: [ID filtered]

Subject: Download cp movies

^whois: [Link nur für registrierte Mitglieder sichtbar. ]
IP: 94.125.167.248 ---> nx3148.nexylan.net

[kjz1]

Weiter Krieg bei der Porno-Mafia:

header:

01: Received: from 194-144-135-62.du.xdsl.is ([194.144.135.62]) by mx-ha.gmx.net
02:  (mxgmx013) with ESMTP (Nemesis) ID: [ID filtered]
03: Received: from [194.144.135.62] (HELO LPUY) by 194-144-135-62.du.xdsl.is
04: 	(8.14.3/8.14.3)
05: 	with SMTP ID: [ID filtered]

Subject: access to CC data archive

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

^whois: [Link nur für registrierte Mitglieder sichtbar. ]

[GoodReputation]

Alle IPs die Ihr hier zitiert habt stehen in Blacklists (nicht nur Spamhaus). Welchen Sinn macht es hier einzelne infizierte Hosts/IPs zu beschreiben ?

[kjz1]

Welchen Sinn macht es hier einzelne infizierte Hosts/IPs zu beschreiben ?

Dokumentation. Manchmal ergeben sich daraufhin im Nachhinein Querverbindungen, die natürlich prima vista nicht offensichtlich waren.