@schara:
Wird beim nächsten Aufschlag nachgeholt
@schara:
Wird beim nächsten Aufschlag nachgeholt
header:IP 194.228.12.30 = Hc Chodov, Tschechien01: Return-Path: <rhvdbz [at] aol.com>02: Received: from hameaualbert.fr ([194.228.12.30]) by03: with ESMTP (Nemesis) ID: [ID filtered]04: for <poor [at] spamvictim.tld>; Wed, 16 Oct 2019 xx:xx:xx +020005: Received: by localhost; Wed, 16 Oct 2019 xx:xx:xx -0700
header:IP 45.177.147.66 = Netlatin S.r.l, Argentinien01: Return-Path: <dsnvhm [at] aol.com>02: Received: from bandk.hu ([45.177.147.66]) by03: with ESMTP (Nemesis) ID: [ID filtered]04: for <poor [at] spamvictim.tld>; Fri, 18 Oct 2019 xx:xx:xx +020005: Received: by localhost; Thu, 17 Oct 2019 xx:xx:xx -0300
Beide Male fängt der Link so an:
whois: [Link nur für registrierte Mitglieder sichtbar. ]/url?sa=t&url=http%3A%2F%2Fwhois:gastoreda.com%2F&usg=
Der anschliessende personalisierte Teil ist aber verschieden.
Absender ist ohne Zweifel der Braunschweiger Rotzer.
Da der Link personalisiert aussieht, werde ich dem Rotzer nicht den Gefallen tun, den zu benutzen.
whois:gastoreda.com selbst leitet weiter zu
whois: [Link nur für registrierte Mitglieder sichtbar. ]/?ai=2958024&altid=sZYeosQADmW9&ci=59&gi=26&oi=46&aid=cGqh4hU7uO
Beworben wird die „Schweizer Formel“, ein System um denen, die darauf hereinfallen, mit binären Optionen „extrem gut“ und ganz einfach das Geld aus der Tasche zu ziehen
Vielen Dank für die Nachreichung
whois:gastoreda.com führt nun zur Fehlermeldung 404 auf
whois: [Link nur für registrierte Mitglieder sichtbar. ]/u/p/2958024/sZYeosQADmW9
Dafür gibt es nun einen neuen Link
whois: [Link nur für registrierte Mitglieder sichtbar. ]/url?sa=t&url=http%3A%2F%2Fwhois:ceranovan.com/schnapp
der jedoch auch zur Fehlermeldung 404 führt auf obiger Seite.
header:IP 89.107.137.26 = Miranda - Media Ltd, Russland01: Return-Path: <mic [at] aol.com>02: Received: from kia.com.au ([89.107.137.26]) by03: with ESMTP (Nemesis) ID: [ID filtered]04: for <poor [at] spamvictim.tld>; Sat, 19 Oct 2019 xx:xx:xx +020005: Received: by localhost; Fri, 18 Oct 2019 xx:xx:xx -0600
Jetzt hat der Rotzer die Umstellung fertig gemacht und whois:ceranovan.com leitet weiter zu
whois: [Link nur für registrierte Mitglieder sichtbar. ]/?a=cc18a42c12ed74668a29e1412393ed92
also die bereits früher vom Rotzer beworbene Abzocke. Sven Hegel heisst jetzt allerdings Steve McKay
Geändert von Mindgespammt (19.10.2019 um 12:47 Uhr)
Ja, mal wieder Unterhose gewechselt und ich kann mir auch schon denken, warum...
header:01: Received: from wilsoncreekwinery.com ([201.216.197.4]) by mx-ha.gmx.net02: (mxgmx015 [212.227.15.9]) with ESMTP (Nemesis) ID: [ID filtered]03: for <x>; Sat, 19 Oct 2019 xx:xx:xx +0200
IP: 201.216.197.4 -> firewall2.darcom.com.ar
whois: [Link nur für registrierte Mitglieder sichtbar. ]
IP: 198.46.177.113 -> 198-46-177-113-host.colocrossing.com
weiter auf:
whois: [Link nur für registrierte Mitglieder sichtbar. ]
IP: 104.27.172.62 -> Cloudflare
mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.
Und noch ein neuer Link
whois: [Link nur für registrierte Mitglieder sichtbar. ]/url?sa=t&url=http%3A%2F%2Fwhois:sawedapos.com schnapp
der weiterleitet zu whois:investorzboon.com
header:IP 188.92.0.194 = Services Krasnoyarsk, Russland01: Return-Path: <gqjw [at] gmail.com>02: Received: from kostomlatsky.com ([188.92.0.194]) by03: with ESMTP (Nemesis) ID: [ID filtered]04: for <poor [at] spamvictim.tld>; Sat, 19 Oct 2019 xx:xx:xx +020005: Received: by localhost; Sat, 19 Oct 2019 xx:xx:xx -0400
whois:ceranovan.com und whois:lapederon.com funktionieren weiterhin, leiten aber aktuell auch weiter zu whois:investorzboon.com
Auch whois:gastoreda.com funktioniert noch und leitet zu investorzboon weiter.
Meine gesammelten Erfahrungen zu dem Fall:
1) Google interessiert sich nicht für deren Arbitrary URL Redirect Vulnerability [a] [b] und bietet somit ein ideales Bett für den Handlungsträger
2) die Versender der Nachrichten sind entweder gekaperte Netzwerkelemente oder Betreiber von Plattformen zum Versand von Spam. Solche Nachrichten vielleicht am besten melden an [c] und ggf. auch [d]
3) Zwischenelemente der Weiterleitungskette die heute funktional sind und bei R01 (unkooperativ) registriert sind als auch bei ColoCrossing (unkooperativ) ein gemietet sind [e]
4) Zwischenelemente der Weiterleitungskette die heute funktional sind und bei Namecheap registriert sind als auch bei ColoCrossing ein gemietet sind [f]
5) Zwischenelement der Weiterleitungskette [g] gehört augenscheinlich zu einem Portal [h] das für Handlungsträger mit maliziösen Absichten ausgelegt ist. Das Portal bietet keine Informationen zu den Betreibern. Die Domainregistrierung bei Godaddy zeigt an:
* Registrant Organization: Adbit
* Registrant State/Province: Vienna
Diese Daten decken sich dann mit den Domainregistrierungen für [i] und schließen einen Kreis.
6) Nachdem AWS den Stecker gezogen hat fuer [j] und der Registrar (Namecheap) die Domain ebenfalls still legen wird wurde nun zu [i] gewechselt.
7) Inhalt für [i] (wie bereits bei [j] der Fall) wird über [k] realisiert - siehe [m]
8) Ein weiterer Kreis schließt sich ([l] zu [k]) beim Aufruf von [l] - siehe [n]
9) [k] ist augenscheinlich ein Portal das für Handlungsträger mit maliziösen Absichten ausgelegt ist. Das Portal bietet keine Informationen zu Betreibern.
____
[a] https://sites.google.com/site/bughun.../open-redirect
[b] http://bl0g.yehg.net/2011/08/google-...on-google.html
[c] https://www.spamcop.net
[d] https://www.internet-beschwerdestell...-und-spam.html
[e] whois:onademas.com | whois:sawedapos.com | whois:lapederon.com | whois:ceranovan.com | whois:gastoreda.com | whois:jakalamas.com | whois:berocosteda.com
[f] whois:klamsdvb.xyz | whois:lkasmasdf.xyz | whois:kiurtnm.xyz | whois:jnmsaqw.xyz | whois:opawer.xyz | whois:anmxasdern.xyz | whois:inamsde.xyz | whois:opasmxcvert.xyz | whois:klamx.xyz
[g] whois:https://platform.traffixsolutionz.com/u/p/2958024/sZYeosQADmW9
[h] whois:https://platform.traffixsolutionz.com/user/login
[i] whois:https://www.investorzboon.com/?ai=2958024&altid=sZYeosQADmW9&ci=58&gi=26&oi=46&aid=3cSLkJhmg5
[j] investorsboons.com
[k] whois:(cdn.)dolly.media
[l] whois:https://www.investorzboon.com/user/login
[m]
[n]
Geändert von schara56 (20.10.2019 um 21:22 Uhr) Grund: whois gesetzt - Bitte die Forenregeln lesen und anwenden.
neuer Unterhosenwechsel:
header:01: Received: from kursfranka.net ([46.228.222.97]) by mx-ha.gmx.net (mxgmx11402: [212.227.17.5]) with ESMTP (Nemesis) ID: [ID filtered]03: <x>; Sun, 20 Oct 2019 xx:xx:xx +0200
IP: 46.228.222.97 -> 46.228.222.97.ip.fost.sk
whois: [Link nur für registrierte Mitglieder sichtbar. ]
IP: 198.46.177.113 -> 198-46-177-113-host.colocrossing.com
weiter auf:
whois: [Link nur für registrierte Mitglieder sichtbar. ]
IP: 104.28.22.101 -> Cloudflare
weil:Wer noch was zum Filtern braucht, bitteschön:The domain name investorsboons.com is listed on the Spamhaus DBL.
alcases.today
alcpo.top
amoredas.com
aunasmed.su
avudcwq.su
azxqbxgp.su
beloguda.com
cbdozyb.su
ccfbqw.su
ceranovan.com
dfghdfjb.su
dfghdfuiudfg.su
dfghjdfbndf.su
dimolgetas.com
dkrqshbv.su
dnyjrj.su
dsfhsdhfjhs.su
ebgyuzr.su
erzwutghdf.su
ewuiei.su
fastcredi.net
fdghdfjhgj.su
fdkhgjdfhj.su
fdssghsrursd.su
fgdhgjdfhjgh.su
fhgfdgsdfsd.su
fjhgfzrgzfdhi.su
g00gle.su
gastoreda.com
gnsktap.su
gpibqn.su
hpxopdkgg.su
hxyhshx.su
ijruufh.su
inetcredi.com
ipkwpeuo.su
jakalamas.com
jhvfjdbvjxc.su
kredit-express24.com
kredit-ohne-schufa-24.com
kredit-sofort.su
kwcndzvgv.su
lapederon.com
limjnj.su
lmlqgjsbc.su
lmyvpp.su
meinkredit.su
melabode.com
netcredi24.com
ngzbyee.su
nlsumncy.su
nppnfm.su
ocvpdeeg.su
onademas.com
oqzfqi.su
ozapeder.com
pdamycjt.su
qcrmmubpc.su
rrufqb.su
rueedfgkd.su
sawedapos.com
sevjhseh.su
sofort-finanz.net
srarov.su
super-schlank.com
tqdnsfbdh.su
uvrzwpcu.su
vekedg.su
vergleich.su
vkazaax.su
voctadpz.su
wanotera.com
wkcfitv.su
wqwzkyp.su
xjkmuaz.su
xpinkqjt.su
ygrssd.su
zerwtdvashfv.su
zeywed.su
zibnrixl.su
zini.su
mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.
* investorzboon.com wird mitlerweile auf verschiedenen BL [a - c] geführt
* trotz der BL weigert sich CF vehement Maßnahmen zu ergreifen, hat jedoch AWS als tatsächlichen Hoster benannt
* über [d] gibt es wohl die Möglichkeit Verstöße (Webspam-Bericht) für Google Suche (Arbitrary URL Redirect Vulnerability) zu melden, setzt allerdings ein Konto bei G voraus
[a] https://www.spamhaus.org/query/domain/investorzboon.com
[b] https://spameatingmonkey.com/lookup/investorzboon.com
[c] https://fortiguard.com/webfilter?q=investorzboon.com
[d] https://support.google.com/websearch..._topic=3285072
Lesezeichen