Die Kombination von Dating- und Krankenversicherungsspam (das legen zumindest die Domain-Namen nahe) lässt mich an einen Braunschweiger denken, aber ich hatte eigentlich den Eindruck, dass der über andere Wege spammt. Oder bin ich da völlig auf dem Holzweg?
hoppala
Geändert von schara56 (24.10.2015 um 06:44 Uhr)
Grund: Ge-whois-ed
Die Kombination von Dating- und Krankenversicherungsspam (das legen zumindest die Domain-Namen nahe) lässt mich an einen Braunschweiger denken, aber ich hatte eigentlich den Eindruck, dass der über andere Wege spammt.
Ich habe auch die Inhalte erhalten, das hat ganz sicher Braunschweiger Stallgeruch. Sowohl Mailtexte wie auch Zielseiten passen zu dem, was ich bislang aus der Ecke bekam.
Die direkte Versendung ist allerdings auffällig. Ich habe mal in meinem Spamordner genauer hingesehen: Der IP-Bereich 89.163.224.0/19 lieferte zum ersten Mal am 11. Oktober 2015 eine Spammail aus, davor war es 5.9.226.0/16, 136.243.188.0/24 und 85.14.254.153, alle über ein bis zwei Wochen ebenfalls konstant.
Vor dem 15.09. deuten die Absender-IPs häufiger auf Zombies hin.
Es gibt eine Koinzidenz des Umstiegs auf 89.163.224.0 mit dem Spam, in dem Mailadressen zum Kauf angeboten werden (in beiden Fällen ist bei mir die gleiche Mailadresse betroffen). Ich möchte einen inhaltlichen Zusammenhang nicht ausschließen. Möglicherweise hat der Braunschweiger Affiliate einen Schwarzhut gefunden, der ihm das Paket Spamming und Hosting zu einem günstigeren Preis anbietet, als die Mafia, die die Botnetze betreibt.
Beim Umstieg auf die 89.163.224.0 waren Kollateralschäden zu beobachten: Ich habe einige PKV-Spams erhalten, in denen die Variablen für die Anrede nicht aufgelöst wurden. Scheinbar muss die Spammingsoftware immer wieder an die neue Serverarchitektur angepasst werden, oder die Datenbank funktioniert nicht zuverlässig.
Interessant: whois:
[Link nur für registrierte Mitglieder sichtbar. ] (whois:52.28.125.167)
Code:
HTTP - 80 HTTP/1.1 301 Moved Permanently
Date: Sat, 24 Oct 2015 10:42:25 GMT
Server: Apache/2.4.10 (Debian)
Location: whois:
[Link nur für registrierte Mitglieder sichtbar. ]/239/
Connection: close
Content-Type: text/html; charset=UTF-8
whois:
[Link nur für registrierte Mitglieder sichtbar. ]/239/ (whois:52.28.128.85)
Code:
Impressum
Ezechiele Barreto Crespo
Constitución, 96
37129 Parada de Arriba
Spanien
E-Mail:
[Link nur für registrierte Mitglieder sichtbar. ]
Quelle: whois:
[Link nur für registrierte Mitglieder sichtbar. ]/impressum.html
Dann landet man bei whois:
[Link nur für registrierte Mitglieder sichtbar. ]/249/form.php?&username=Julia
"Julia" scheint hier die Affiliate-ID zu sein.
Die AGBs kommen jetzt aber von whois:
[Link nur für registrierte Mitglieder sichtbar. ]/de/conditions.html
Der Post landet dann hier: whois:
[Link nur für registrierte Mitglieder sichtbar. ]/community/lead/full?style=http://ext.cash4flirt.com/*schnipp*/form.css&stylesheet=http://ext.cash4flirt.com/*schnipp*/form.css&formcss=http://Fext.cash4flirt.com/*schnipp*/form.css&c4fp=10&c4fid=*schnipp*::&k=12639
Harrislee läßt grüßen.
Geändert von schara56 (24.10.2015 um 13:45 Uhr)
Villains who twirl their mustaches are easy to spot.
Those who cloak themselves in good deeds are well camouflaged.
derzeit erbricht sich whois:62.141.46.206, whois:89.163.225.155, whois:89.163.216.79 und whois:85.114.142.186 - in den letzten Tagen ca. 700 Spams:
Von Viagra über anderer Pillenkram bis DetoxPro, dazu LIDA(Abnehmkram), whois:parwise.de, whois:
[Link nur für registrierte Mitglieder sichtbar. ]
Naja myLoc wird die Hände in Unschuld waschen, weil die ja nur Rackfläche vermieten - so wurde es zumindest von denen mal(bei einem Besuch dort im RZ) geäußert
nachdem ich einen neuen Mailserver mit aktuellerem Postscreen und Spamassassin am laufen habe und sich mein verbleibendes Spamaufkommen auf ~1 pro Tag reduziert hat, kann ich mir diese auch genauer anschauen. Auffällig ist, dass derzeit 70% der Spams, welche noch durchkommen von korrekt konfigurierten MTAs kommen, welche auf IPs aus der Range von myLOC kommen. Beim Googeln zum Thema bin ich auf diesen Thread gestoßen und auch auf viele Beiträge, die sich darüber beschweren, dass myLoc kaum/keine Abuse-Meldungen bearbeitet. Ich bin mal gespannt, ob ich auf meine Meldungen eine Antwort bekomme.
Zwischenzeitlich habe ich mal eine kleine Analyse gefahren. Dazu habe ich die IP-Ranges mit Whois abgefragt und mit dem Tool dnsrecon rückwärts aufgelöst.
Vollständige Liste:
[Link nur für registrierte Mitglieder sichtbar. ]
Darin habe ich mich umgeschaut und reichlich Hostnamen gefunden, die dem Schema meiner bisherigen Spammer entsprechen und meine lokale dnsbl damit gefüttert. Sollten meine Abuse-Meldungen ignoriert werden, kommen die gesamten IP-Ranges in meine DNSBL mit passender Reject-Meldung und gut ist.
Lesezeichen