Ergebnis 1 bis 8 von 8

Thema: Verschiedene Domains eines Spammers bei myLOC gehostet

  1. #1
    Mitglied
    Registriert seit
    30.12.2007
    Beiträge
    503

    Standard Verschiedene Domains eines Spammers bei myLOC gehostet

    In den letzten Tagen sind bei uns haufenweise Spams abgewiesen worden, die von Servern aus dem IP-Bereich 89.163.224.0/19 stammen (myLoc bzw. fastIT)
    Die Hostnamen machen ziemlich klar, dass da nix Gutes kommt:
    whois:host.whatsapp-handynachricht.info
    whois:webhoster.ihre-kommende-tarifumstellung.info
    whois:hoster.bild-wurde-freigeschaltet.info
    whois:www5.tarifueberpruefung-auftrag.info
    whois:customermail.sie-mag-dein-profilfoto.info
    whois:mailslave.ihre-beitragsabrechnung-ist-falsch.info
    whois:www1.solide-krankenversichert.info
    whois:customer.neue-freundschaftsanfrage.info
    whois:www4.endlich-gut-versichert.info
    whois:www4.du-wurdest-am-bild-markiert.info
    (Inhalte habe ich nicht, weil die Sender-Adresse zum SMTP-Reject ausreichte)

    Die Kombination von Dating- und Krankenversicherungsspam (das legen zumindest die Domain-Namen nahe) lässt mich an einen Braunschweiger denken, aber ich hatte eigentlich den Eindruck, dass der über andere Wege spammt. Oder bin ich da völlig auf dem Holzweg?

    hoppala
    Geändert von schara56 (24.10.2015 um 06:44 Uhr) Grund: Ge-whois-ed

  2. #2
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    9.227

    Standard

    Der Server whois:89.163.246.123 gibt sich aber noch bedeckt:
    Code:
    Service scan
    FTP - 21	Error: TimedOut
    SMTP - 25	Error: TimedOut
    HTTP - 80	Error: TimedOut
    POP3 - 110	Error: TimedOut
    IMAP - 143	Error: TimedOut
    HTTPS - 443	Error: TimedOut
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  3. #3
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    9.227
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  4. #4
    Mittwoch
    Gast

    Standard

    Zitat Zitat von hoppala Beitrag anzeigen
    Die Kombination von Dating- und Krankenversicherungsspam (das legen zumindest die Domain-Namen nahe) lässt mich an einen Braunschweiger denken, aber ich hatte eigentlich den Eindruck, dass der über andere Wege spammt.
    Ich habe auch die Inhalte erhalten, das hat ganz sicher Braunschweiger Stallgeruch. Sowohl Mailtexte wie auch Zielseiten passen zu dem, was ich bislang aus der Ecke bekam.

    Die direkte Versendung ist allerdings auffällig. Ich habe mal in meinem Spamordner genauer hingesehen: Der IP-Bereich 89.163.224.0/19 lieferte zum ersten Mal am 11. Oktober 2015 eine Spammail aus, davor war es 5.9.226.0/16, 136.243.188.0/24 und 85.14.254.153, alle über ein bis zwei Wochen ebenfalls konstant.

    Vor dem 15.09. deuten die Absender-IPs häufiger auf Zombies hin.

    Es gibt eine Koinzidenz des Umstiegs auf 89.163.224.0 mit dem Spam, in dem Mailadressen zum Kauf angeboten werden (in beiden Fällen ist bei mir die gleiche Mailadresse betroffen). Ich möchte einen inhaltlichen Zusammenhang nicht ausschließen. Möglicherweise hat der Braunschweiger Affiliate einen Schwarzhut gefunden, der ihm das Paket Spamming und Hosting zu einem günstigeren Preis anbietet, als die Mafia, die die Botnetze betreibt.

    Beim Umstieg auf die 89.163.224.0 waren Kollateralschäden zu beobachten: Ich habe einige PKV-Spams erhalten, in denen die Variablen für die Anrede nicht aufgelöst wurden. Scheinbar muss die Spammingsoftware immer wieder an die neue Serverarchitektur angepasst werden, oder die Datenbank funktioniert nicht zuverlässig.

    Schönen Gruß
    Mittwoch

  5. #5
    Mitglied
    Registriert seit
    30.12.2007
    Beiträge
    503

    Standard

    Nachtrag: seit heute morgen macht whois:mailhost.whatsapp-dienste.com[89.163.246.247] da weiter, wo die anderen gestern abend aufgehört hatten.

    hoppala

  6. #6
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    9.227

    Standard

    Interessant:
    whois:www.sie-mag-dein-profilfoto.info (whois:52.28.125.167)
    Code:
    HTTP - 80	HTTP/1.1 301 Moved Permanently
    Date: Sat, 24 Oct 2015 10:42:25 GMT
    Server: Apache/2.4.10 (Debian)
    Location: whois:http://www.funbook18.net/239/
    Connection: close
    Content-Type: text/html; charset=UTF-8
    whois:http://www.funbook18.net/239/ (whois:52.28.128.85)
    Code:
     Impressum
    
    Ezechiele Barreto Crespo
    Constitución, 96
    37129 Parada de Arriba
    Spanien
    E-Mail: info@funbook18.net
    Quelle: whois:http://www.funbook18.net/impressum.html

    Dann landet man bei whois:http://www.funbook18.net/249/form.php?&username=Julia
    "Julia" scheint hier die Affiliate-ID zu sein.

    Die AGBs kommen jetzt aber von whois:http://flirtviva.com/de/conditions.html

    Der Post landet dann hier: whois:http://flirtviva.com/community/lead/full?style=http://ext.cash4flirt.com/*schnipp*/form.css&stylesheet=http://ext.cash4flirt.com/*schnipp*/form.css&formcss=http://Fext.cash4flirt.com/*schnipp*/form.css&c4fp=10&c4fid=*schnipp*::&k=12639

    Harrislee läßt grüßen.
    Geändert von schara56 (24.10.2015 um 13:45 Uhr)
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  7. #7
    PKV Schreck Avatar von thomas1611
    Registriert seit
    25.09.2005
    Ort
    in der Mitte Deutschlands
    Beiträge
    3.683

    Standard

    derzeit erbricht sich whois:62.141.46.206, whois:89.163.225.155, whois:89.163.216.79 und whois:85.114.142.186 - in den letzten Tagen ca. 700 Spams:
    Von Viagra über anderer Pillenkram bis DetoxPro, dazu LIDA(Abnehmkram), whois:parwise.de, whois:http://euro-direkt-kredit.com/

    Naja myLoc wird die Hände in Unschuld waschen, weil die ja nur Rackfläche vermieten - so wurde es zumindest von denen mal(bei einem Besuch dort im RZ) geäußert

  8. #8
    Neues Mitglied
    Registriert seit
    27.07.2012
    Beiträge
    8

    Standard

    Hallo zusammen,

    nachdem ich einen neuen Mailserver mit aktuellerem Postscreen und Spamassassin am laufen habe und sich mein verbleibendes Spamaufkommen auf ~1 pro Tag reduziert hat, kann ich mir diese auch genauer anschauen. Auffällig ist, dass derzeit 70% der Spams, welche noch durchkommen von korrekt konfigurierten MTAs kommen, welche auf IPs aus der Range von myLOC kommen. Beim Googeln zum Thema bin ich auf diesen Thread gestoßen und auch auf viele Beiträge, die sich darüber beschweren, dass myLoc kaum/keine Abuse-Meldungen bearbeitet. Ich bin mal gespannt, ob ich auf meine Meldungen eine Antwort bekomme.

    Zwischenzeitlich habe ich mal eine kleine Analyse gefahren. Dazu habe ich die IP-Ranges mit Whois abgefragt und mit dem Tool dnsrecon rückwärts aufgelöst.

    Ranges:
    62.141.43.192-62.141.46.255
    78.31.64.0-78.31.71.255
    85.114.140.0-85.114.143.255
    89.163.128.0-89.163.255.255
    89.163.224.0-89.163.225.255

    Gefundene Reverse-DNS-Einträge: 19742

    Vollständige Liste: https://gist.github.com/micw/b67f82d...b73e26270f7640

    Darin habe ich mich umgeschaut und reichlich Hostnamen gefunden, die dem Schema meiner bisherigen Spammer entsprechen und meine lokale dnsbl damit gefüttert. Sollten meine Abuse-Meldungen ignoriert werden, kommen die gesamten IP-Ranges in meine DNSBL mit passender Reject-Meldung und gut ist.

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen