Seite 38 von 57 ErsteErste ... 28363738394048 ... LetzteLetzte
Ergebnis 371 bis 380 von 569

Thema: niederländische Riesenspams

  1. #371
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    10.603

    Standard

    Jetzt als Hetzner-Rechnung getarnt.


    header:
    01: Received: from home.goodhealths.nl ([213.202.239.212]) by mx-ha.gmx.net
    02: (mxgmx017 [212.227.15.9]) with ESMTP (Nemesis) ID: [ID filtered]
    03: for <x>; Tue, 02 Jun 2020 xx:xx:xx +0200
    04: Received: from mailin87.aul.t-online.de ()
    05: by ehead20a13.aul.t-online.de (Dovecot) with LMTP ID: [ID filtered]
    06: Mon, 01 Jun 2020 xx:xx:xx +0200
    07: Received: from dediefs.your-server.de () by mailin87.aul.t-online.de
    08: with (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384 encrypted)
    09: esmtp ID: [ID filtered]
    10: Received: from localhost ( helo=dediefs.your-server.de)
    11: by dediefs.your-server.de with esmtps (TLSv1.2:DHE-RSA-AES256-GCM-SHA384:256)
    12: (Exim 4.89_1)
    13: (envelope-from <billingbounce [at] hetzner.com>)
    14: ID: [ID filtered]
    Beworbene Domain IP Adresse(n) Weiterleitung (j/n)
    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    /*schnapp*
    whois:2600:9000:219c:3c00:15:f434:4640:93a1
    whois:2600:9000:219c:3600:15:f434:4640:93a1
    whois:2600:9000:219c:fc00:15:f434:4640:93a1
    whois:2600:9000:219c:c200:15:f434:4640:93a1
    whois:2600:9000:219c:e600:15:f434:4640:93a1
    whois:2600:9000:219c:4000:15:f434:4640:93a1
    whois:2600:9000:219c:d000:15:f434:4640:93a1
    whois:2600:9000:219c:9a00:15:f434:4640:93a1
    whois:13.225.31.106
    whois:13.225.31.81
    whois:13.225.31.108
    whois:13.225.31.16
    [X] ja / [ ] nein
    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    /r
    /*schnapp*
    /anas
    /
    &/
    whois:104.161.32.92
    whois:192.119.163.57
    [X] ja / [ ] nein
    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    /r2
    /*schnapp*
    /anas
    /
    &
    /
    /*schnapp*
    /?fctr=0
    whois:104.161.32.92
    whois:192.119.163.57
    [X] ja / [ ] nein
    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    /
    /de-gmx
    /?s1=1MU
    &s2=*schnapp*
    &s3=anas
    &s4=
    &
    &s5=
    &Fname=
    &Lname=
    &Email=
    *IPs schon weg - Ersatz siehe unten* [ ] ja / [X] nein
    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    /
    /de-gmx
    /?s1=1MU
    &s2=*schnapp*
    &s3=anas
    &s4=
    &
    &s5=
    &Fname=
    &Lname=
    &Email=
    whois:2606:4700:3033::6812:21a2
    whois:2606:4700:3030::ac43:b993
    whois:2606:4700:3031::6812:20a2
    whois:172.67.185.147
    whois:104.18.33.162
    whois:104.18.32.162
    [ ] ja / [X] nein


    Beworbene Domain IP Adresse(n) Weiterleitung (j/n)
    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    /*Kack-Link siehe unten*
    whois:192.0.78.26
    whois:192.0.78.27
    [X] ja / [ ] nein
    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    /r
    /*schnapp*
    /anas
    /missing-s4
    /missing-s5?ptid=*schnapp*
    &bid=de-gmx
    whois:51.83.230.47
    whois:80.85.156.37
    [X] ja / [ ] nein
    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    /r2
    /*schnapp*
    /anas
    /missing-s4
    /missing-s5
    /*schnapp*
    /?ptid=*schnapp*
    &bid=de-gmx
    &fctr=0
    whois:51.83.230.47
    whois:80.85.156.37
    [X] ja / [ ] nein
    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    /*schnapp*
    /*schnapp*
    /?sub1=100
    &sub2=anas
    &sub3=*schnapp*
    whois:35.241.31.206 [X] ja / [ ] nein
    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    /?lp=ip11_de
    &p=1
    &pub=100
    &s=anas
    &r=*schnapp*
    whois:2606:4700:3037::681b:a920
    whois:2606:4700:3035::681b:a820
    whois:2606:4700:3032::ac43:d858
    whois:172.67.216.88
    whois:104.27.168.32
    whois:104.27.169.32
    [ ] ja / [X] nein
    Geändert von schara56 (02.06.2020 um 12:20 Uhr)
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  2. #372
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.071

    Standard

    Ebenfals von diesen Ganoven, wieder als GMX Newsletter getarnt:


    header:
    01: Received: from jugp.beautydeals.asia ([23.94.25.194]) by mx-ha.gmx.net
    02: (mxgmx114 [212.227.17.5]) with ESMTP (Nemesis) ID: [ID filtered]
    03: for <x>; Sat, 06 Jun 2020 xx:xx:xx +0200

    Proxycheck meint dazu:

    Code:
    {
        "status": "ok",
        "23.94.25.194": {
            "asn": "AS36352",
            "provider": "AS-COLOCROSSING",
            "continent": "North America",
            "country": "United States",
            "isocode": "US",
            "latitude": 37.751,
            "longitude": -97.822,
            "proxy": "yes",
            "type": "VPN"
        }
    }
    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    Weiterleitungskette:

    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  3. #373
    Mitglied
    Registriert seit
    30.01.2011
    Ort
    Thüringen
    Beiträge
    470

    Standard Eigentümliche Mails-gleicher Modus Operandi-anderer Absender

    Wie schon vor einigen Monaten bekomme ich jetzt Mails mit ellenlangen Scripts am Ende. Diesmal ist es aber ein anderer Absender

    header:
    01: Return-Path: <>
    02: Received: from nytimes.com ([95.217.238.69]) by mx-ha.gmx.net (mxgmx014
    03: [212.227.15.9]) with ESMTP (Nemesis) ID: [ID filtered]
    04: mich bei gmx.de>; Sun, 07 Jun 2020 xx:xx:xx +0200
    05: Content-Type: text/html
    06: From: =?UTF-8?B?VnVsa2FuVmVnYXM=?= <5BGkKmFy5nDep [at] makednoingday.com>
    07: Subject:
    08: =?UTF-8?B?SGVyemxpY2hlbiBHbMO8Y2t3dW5zY2gsIFNpZSBzaW5kIGRlciBBdXNlcnfDpGhsdGUu?=
    09: Message-ID: [ID filtered]
    10: Received: from dalspm01.suddenlink.net (95.217.238.69)
    11: by dalifep01.suddenlink.net
    12: (InterMail vM.8.04.03.22.02 201-2389-100-169-20190213) with ESMTP
    13: ID: [ID filtered]
    14: for <poor [at] spamvictim.tld>; Sat, 06 Jun 2020 xx:xx:xx +0200
    15: Received: from 6A6341980675426AA21494719278F42F966F.FB.com
    16: (95.217.238.69) by dalspm01.suddenlink.net
    17: (InterMail vM.8.04.03.22.02 201-2389-100-169-20190213) with ESMTP
    18: ID: [ID filtered]
    19: for <poor [at] spamvictim.tld>; Sat, 06 Jun 2020 xx:xx:xx +0200
    20: To: mir bei gmx.de
    21: Content-Transfer-Encoding: 7bit
    22: Content-Type: text/html; charset="UTF-8"
    23: Date: Sat, 06 Jun 2020 xx:xx:xx +0200
    24: Envelope-To: mir bei gmx.de
    25: X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;
    26: X-Spam-Flag: NO

    dann kommt etwas Spamprosa und danach das kilometerlange Script
    Code:
    <script>
    padJ4-h9tmF-ich bei gmx.de
    ixvfe-8MJOl-ich bei gmx.de
    kDrH2-N88Xr-ich bei gmx.de
    82rAG-JfIys-ich bei gmx.de
                    .
                    .
                    .
    Die Werbung ist offensichtlich als Grafik gestaltet. Text ethält die Mail nicht.
    Code:
    <a href="https://storage.googleapis.com/webdeserv/VulkanVegas/VulkanVegas1.html"> 
    <img src="https://storage.googleapis.com/webdeserv/VulkanVegas/VulkanVegas.png" border=0 />
    Man versteckt sich hinter der Adresse der New York Times. Aber in Wirklichkeit steht der Serverwhois:95.217.238.69 bei Hetzner. Warum wundert mich das jetzt nicht.

  4. #374
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    10.071

    Standard

    Schau mal in diesen Thread:

    [Link nur für registrierte Mitglieder sichtbar. ]

    Das dürfte aus dieser Ecke stammen.
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  5. #375
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    10.603

    Standard

    Dann lassen wir zusammen wachsen, was zusammen gehört.

    *hexhex*
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  6. #376
    Senior Mitglied
    Registriert seit
    24.11.2008
    Ort
    Dortmund
    Beiträge
    1.430

    Standard

    Kann es sein, daß das eine Zombie-Fütterung ist? Das Nachladen von Spam-Bots ist für AV-Herstellern eher zu entdecken, als diese mails. Die zudem noch so groß sind, daß einige AVs das scannen des Streams unterlassen und erst bei Dateizugriff aktiv werden.
    ____
    IANAL

  7. #377
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    10.603

    Standard

    Zitat Zitat von Ralgert Beitrag anzeigen
    Kann es sein, daß das eine Zombie-Fütterung ist? [...
    Glaube ich nicht. Es handelt sich um eine mehr oder minder aufwändige Art der Verschleierung.
    In jeder dieser Spams ist ein Link, der über diverse Redirects zu einem Ziel führt.
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  8. #378
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    10.603

    Standard

    Wenn man vom Teufel spricht...


    header:
    01: Received: from mta04.canvascim.com ([192.236.177.141]) by mx-ha.gmx.net
    02: (mxgmx014 [212.227.15.9]) with ESMTPS (Nemesis) ID: [ID filtered]
    03: for <x>; Tue, 09 Jun 2020 xx:xx:xx +0200
    ah ( whois: [Link nur für registrierte Mitglieder sichtbar. ]/ga/click/*schnapp* )

    Gefeliciteerd x!

    Wij promoten onze supermarkt en u bent, samen met 240 andere
    klanten, uitgekozen om een exclusieve beloning te ontvangen.

    Beantwoord onze marketingenquête van 4 minuut over uw ervaringen
    en claim uw ene (1) exclusieve gift.

    Uw bonuscode is : WINah20

    Doorgan met ( whois: [Link nur für registrierte Mitglieder sichtbar. ]/ga/click/*schnapp* )

    Vergeet niet dat er een extreem grote vraag is naar deze
    producten, dus wees er snel bij.

    Abonnement opzeggen van deze mailinglijst ( whois: [Link nur für registrierte Mitglieder sichtbar. ]/ga/unsubscribe/*schnapp*
    )

    . ( whois: [Link nur für registrierte Mitglieder sichtbar. ]/ga/click/*schnapp*)
    Die bescheidene Reiseroute:
    Beworbene Domain IP Adresse(n) Weiterleitung (j/n)
    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    /ga
    /click
    /*schnapp*
    whois:2606:4700:3031::681c:6ae
    whois:2606:4700:3036::681c:7ae
    whois:2606:4700:3031::ac43:b4f5
    whois:104.28.7.174
    whois:172.67.180.245
    whois:104.28.6.174
    [X] ja / [ ] nein
    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    /tz?op=*schnapp*
    /*schnapp*
    whois:2606:4700:3034::681b:8b0c
    whois:2606:4700:3033::681b:8a0c
    whois:2606:4700:3032::ac43:88ef
    whois:104.27.138.12
    whois:104.27.139.12
    whois:172.67.136.239
    [ ] ja / [X] nein

    Zum Abo-Beschiss, bitte hier entlang:
    Beworbene Domain IP Adresse(n) Weiterleitung (j/n)
    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    /o1d?pq=*schnapp*
    /*schnapp*
    /*schnapp*
    &j=*schnapp*
    whois:2606:4700:3034::6818:6cb8
    whois:2606:4700:3034::ac43:b13f
    whois:2606:4700:3033::6818:6db8
    whois:104.24.108.184
    whois:172.67.177.63
    whois:104.24.109.184
    [X] ja / [ ] nein
    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    /index.php?vcal=*schnapp*
    whois:80.83.124.119
    whois:54.38.73.208
    [X] ja / [ ] nein
    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    /?a=5327
    &c=*schnapp*
    &s1=
    &s2=*schnapp*
    whois:108.128.146.133
    whois:52.214.156.144
    whois:52.208.154.108
    [X] ja / [ ] nein
    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    /*schnapp*
    /*schnapp*?tc=*schnapp*
    &aff_1=5327
    whois:46.253.127.20 [X] ja / [ ] nein
    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    /*schnapp*
    /*schnapp*?tc=*schnapp*
    &aff_1=5327
    whois:46.253.127.20 [ ] ja / [X] nein
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  9. #379
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    10.603

    Standard

    Eine Paketankündigung via "Royal Mail".

    header:
    01: Received: from roast4.gotjordans.com ([212.129.36.218]) by mx-ha.gmx.net
    02: (mxgmx001 [212.227.15.9]) with ESMTPS (Nemesis) ID: [ID filtered]
    03: for <x>; Thu, 11 Jun 2020 xx:xx:xx +0200
    Beworbene Domain IP Adresse(n) Weiterleitung (j/n)
    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    /ga
    /click
    /*schnapp*
    whois:2606:4700:3037::ac43:b7e3
    whois:2606:4700:3030::681f:47a8
    whois:2606:4700:3037::681f:46a8
    whois:104.31.70.168
    whois:104.31.71.168
    whois:172.67.183.227
    [X] ja / [ ] nein
    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    /v7u?qr=*schnapp*
    /*schnapp*
    whois:2606:4700:3033::ac43:d635
    whois:2606:4700:3033::681b:b12e
    whois:2606:4700:3033::681b:b02e
    whois:104.27.177.46
    whois:104.27.176.46
    whois:172.67.214.53
    [X] ja / [ ] nein
    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    /page?cam=10554
    &country=uk
    &pub=110
    &r=*schnapp*
    &a=5327
    &bro=
    whois:2.58.212.3 [ ] ja / [X] nein

    Code:
    inetnum:        2.58.212.0 - 2.58.212.255
    netname:        NL-ANOTHER-20193012
    country:        NL
    admin-c:        MVK258-RIPE
    tech-c:         MVK258-RIPE
    abuse-c:        GA11474-RIPE
    status:         SUB-ALLOCATED PA
    mnt-by:         mnt-nl-another-1
    created:        2019-12-30T09:44:45Z
    last-modified:  2020-02-06T15:49:07Z
    source:         RIPE
    
    route:          2.58.212.0/22
    origin:         AS60781
    mnt-by:         mnt-nl-another-1
    mnt-by:         LEASEWEB-NL-MNT
    created:        2020-01-06T08:44:18Z
    last-modified:  2020-01-06T08:44:18Z
    source:         RIPE
    Code:
    How much does it cost?
    It"s easy to cancel your membership. Membership has a trial period of 3 days, if membership is not terminated during the trial period, you will be billed thirty nine british pounds (depending on the product) every 30 days until you cancel your membership.
    
    Questions?
    If you have any questions or need help, we are ready to assist you at 
    
    [Link nur für registrierte Mitglieder sichtbar. 
    
    ] (English Support) 10:00 to 16:00 CET Monday to Friday.
    Arschnasen können sich hier als Affiliates bewerben:
    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    Die Datenvalidierung findet wohl hier statt:
    whois: [Link nur für registrierte Mitglieder sichtbar. ]/wonderpush-worker-loader.min.js?webKey=*schnapp*
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  10. #380
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    10.603

    Standard


    header:
    01: Received: from began.nicesudenly.nl ([31.210.98.15]) by mx-ha.gmx.net
    02: (mxgmx115 [212.227.17.5]) with ESMTP (Nemesis) ID: [ID filtered]
    03: for <x>; Tue, 16 Jun 2020 xx:xx:xx +0200
    Beworbene Domain IP Adresse(n) Weiterleitung (j/n)
    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    /nl
    /link.aspx?srcid=15
    &nid=114645
    &link=//whois:stick.pacflash.de
    ?*schnapp*
    whois:86.54.109.194 [X] ja / [ ] nein
    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    /?*schnapp*
    whois:152.89.245.179 [X] ja / [ ] nein
    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    /aff_c?offer_id=*schnapp*
    &aff_id=19415
    &aff_sub2=*schnapp*
    &aff_sub3=*schnapp*
    whois:52.210.174.128
    whois:52.210.2.133
    whois:18.202.12.61
    [X] ja / [ ] nein
    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    /de,flexfancy,responsive_753.html
    ?idPartner=409
    &idCampaignAd=0
    &subId=*schnapp*
    &subIdentifier=*schnapp*
    &rlmset=deingutschein_de
    whois:130.255.79.215 [X] ja / [ ] nein
    whois: [Link nur für registrierte Mitglieder sichtbar. ]
    /campaign_1055.html
    ?coyoteAffiliTokenId=*schnapp*
    &rlmset=deingutschein_de
    &
    whois:130.255.79.215 [ ] ja / [X] nein
    Angehängte Grafiken Angehängte Grafiken
    Angehängte Dateien Angehängte Dateien
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

Seite 38 von 57 ErsteErste ... 28363738394048 ... LetzteLetzte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen