Ergebnis 1 bis 10 von 12

Thema: bit.ly und andere short URL Provider

Hybrid-Darstellung

Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
  1. #1
    Mitglied Avatar von nlnn
    Registriert seit
    21.04.2011
    Beiträge
    230

    Beitrag bit.ly und andere short URL Provider

    Derzeit fällt mir eine besonders hohe Dichte an Spam mit bit.ly Links auf (aber auch andere url shortner).

    postfix kann das leicht abwehren, aber es ist auch eine besonders harte Methode in den body_checks.pcre:
    Code:
    /(L2JpdC5seS8|bit\.ly\/)/  REJECT suspicious shortcut URL
    Inzwischen habe ich einen Filter, dessen Output über das Support Formular weiter gegeben werden kann. Aber offensichtlich sind diese Links auch nach 2 Tagen noch immer erreichbar.
    Kennt jemand das Verfahren bei bit.ly besser oder sollte man die Links einfach weiterhin ablehnen?
    Geändert von nlnn (17.09.2020 um 11:57 Uhr)
    Chuck Norris isst keinen Honig, er kaut die Bienen!

  2. #2
    Senior Mitglied Avatar von RA Meier-Bading
    Registriert seit
    17.07.2005
    Beiträge
    4.168

    Standard

    Hier auch zu Hauf. Wenn man die URL mit wget aufruft, landet man über ein paar Weiterleitungen bei duckduckgo, im Browser möchte ich sie lieber nicht aufrufen.
    Markant sind die immer wechselnden Sonderzeichen im Subject:
    Re:⭐[Emailadresse] (Nummer)

  3. #3
    Mitglied Avatar von nlnn
    Registriert seit
    21.04.2011
    Beiträge
    230

    Standard

    Code:
    /(LmR1Y2tkbnMub3JnL|\.duckdns\.org\/)/
    ist auch einer dieser Kandidaten
    Diese Weiterleitungen zu duckduck finden offensichtlich dann statt, wenn die eigene abgehende ip bzw. der Agent erkannt werden. Hier hilft es evtl. curl mit anderer Agent Angabe auszuführen.
    Code:
    curl -A "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:59.0) Gecko/20100101 Firefox/59.0" https://bit.ly/2grml
    Chuck Norris isst keinen Honig, er kaut die Bienen!

  4. #4
    Mitglied Avatar von nlnn
    Registriert seit
    21.04.2011
    Beiträge
    230

    Standard

    Um an die Empfänger Adresse zu gelangen hilft es im Browser ein '+' Zeichen bei bit.ly
    anzuhängen um an die tatsächliche Dest zu kommen.
    Besonders häufig fällt dann whois:[URL]http://19682799699.onestreete.com/index[/URL] mit
    wechselnden Ziffern auf.
    Beispiel:
    Code:
    curl -v -A "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:59.0)
    Gecko/20100101 Firefox/59.0" https://bit.ly/3mlcIZv 2>&1 | less
    Auf der commandline ohne plus findet sich diese Angabe im Header unter "(^)location: ..."
    bzw. natürlich im Body als "href".
    Offensichtlich wird besonders viel davon über die Server
    whois:...outbound.protection.outlook.com abgekippt.

    Am Ende geht es dann über bitcoin Weiterleitungen zu einer Seite, die vorgibt "ZEIT
    ONLINE" zu sein: whois:[URL]http://gerotota.vip/?pl=[/URL]<identifier>&n=<base64 in
    base64>
    wo uns Frank Elstner vorgegauckelt wird.

    Löst man die ganzen base64 auf kommt der Forwarder zum Vorschein
    whois:pl.bitcoinbillionarie.gerotota.vip und
    whois:dh.crypto-codeapp.gerotota.vip/
    Geändert von cmds (17.09.2020 um 14:18 Uhr) Grund: anonymisiert
    Chuck Norris isst keinen Honig, er kaut die Bienen!

  5. #5
    Urgestein
    Registriert seit
    18.07.2005
    Beiträge
    8.805

    Standard

    Ist wohl einer der schon länger aktiven Ganoven, siehe z. Bsp. hier:http://www.antispam-ev.de/forum/show...l=1#post446068
    mein Credo: die 10 größten ROKSO-Spammer aus dem Verkehr gezogen, und 80 % des weltweiten Spam-Problems hätte sich mit einem Schlag erledigt....
    Ausserdem fordere ich die Abschaffung aller Affiliate-Programme, da mir bis heute niemand ein 100 % seriöses Affiliate-Programm benennen konnte.

  6. #6
    Mitglied Avatar von nlnn
    Registriert seit
    21.04.2011
    Beiträge
    230

    Standard

    ACK - Danke für den Querverweis
    Chuck Norris isst keinen Honig, er kaut die Bienen!

Stichworte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen