[UCE] Software

[benutzer]

also um nicht zu verwirren, ich bin noch neu hier, und ich habe weiterleitungen vom gmx-account an meine mailadressen ( bei meiner domain ), die ich wieder an einen arcor account weiterleite, um sie zu sammeln..


Return-Path: < [Link nur für registrierte Mitglieder sichtbar. ].edu.tr>
X-Original-To: [Link nur für registrierte Mitglieder sichtbar. ]
Received: from moutng.kundenserver.de (moutng.kundenserver.de [212.227.126.183])
by mail-in-06.arcor-online.net (Postfix) with ESMTP id 19410DAE57
for < [Link nur für registrierte Mitglieder sichtbar. ]>; Thu, 6 May 2004 13:08:10 +0200 (CEST)
Received: from [212.227.126.212] (helo=mxng16.kundenserver.de)
by moutng.kundenserver.de with esmtp (Exim 3.35 #1)
id 1BLgjZ-0007ji-00
for [Link nur für registrierte Mitglieder sichtbar. ]; Thu, 06 May 2004 13:08:09 +0200
Received: from [210.84.179.171] (helo=wallstreet.com)
by mxng16.kundenserver.de with smtp (Exim 3.35 #1)
id 1BLgjU-0001yH-00
for andereweiterleitungsadresse; Thu, 06 May 2004 13:08:05 +0200
Date: Thu, 06 May 2004 23:07:48 +0000
From: [Link nur für registrierte Mitglieder sichtbar. ].edu.tr
To: MeinName <andereweiterleitungsadresse>
References: <58FILAA51CDAA568@meinedomain(.de>
In-Reply-To: < [Link nur für registrierte Mitglieder sichtbar. ]>
Message-ID: < [Link nur für registrierte Mitglieder sichtbar. ].edu.tr>
MIME-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 8bit
X-RBL-Warning: (dialup.bl.kundenserver.de) This mail has been received from a dialup host.
X-Provags-Forward: andereweiterleitungsadresse -> [Link nur für registrierte Mitglieder sichtbar. ]
X-Antispam: SUSPICIOUS_DATE_FUTURE
X-Antispam: IN_REPLY_TO
X-Antispam: NO_VALID_TO_FOR_THIS_USER
X-Spamcount: 8
X-Spamsensitivity: 12
X-NAS-Bayes: #0: 1; #1: 9.6628E-030
Subject: [Norton AntiSpam] Software
X-NAS-Classification: 1
X-NAS-MessageID: 707
X-NAS-Validation: {422A2553-B862-4C1E-BF20-B686211C9920}
X-PMFLAGS: 34078848 0 1 PX6OT9EK.CNM
Microsoft Windows XP Professiojnal 2002
Retail price: $270.99 Our low Pricye: $50.00 You Save: $220.00

Adobe Photoshzop 7.0
Retail price: $609.99 Our low Price: $60.00 You Savoe: $550.00

Microsoft Office XP Professional 2002
Retail price: $579.99 Our low Price: $60.00 You Savne: $510.00

Adobe Illustrator 10 Retaiyl price: $270.99 Our low Price: $60.00 You Savoe: $210.00

Corel Draw Graphics Suite 11 Reitail price: $270.99 Our low Pricte: $60.00 You Save: $210.00
Delphi 7
Retaiwl price: $404.99 Our low Price: $60.00 You Save: $335.00

And more!!!

Why so cheap?
All the software is OEM- Meaninog that you don`t get the box and the manual with your software. All you will receivve is the actual software and your unique registration code.
All the softwarge is in the English language for PC. Our offers are unbeatablue and we always update our prices to make sure we provide you with the beskt possible offers. Hurry up and place your ordmer, because our supplies are limited.


Visiot us now! [Link nur für registrierte Mitglieder sichtbar. ]


bgrtlo ooeccky ivxi kktauqxil dexquz ymrjctz gjbrikmg vzqdal uxwhaa erudphw ajea pociynxei wwmwth ufnuftl axdttdry eimgrl vopekm rtwacbn xgtj gfmozqhxw pjdixy yndjbvt xvvyjtfr dlypbx ttuezf htcfhpt qrej ozgniztcc fatgxc orgnynx aueqdwih hzgmmp lgrokt irpkhir whgt tbyzevikc trovtc bbqmubf kllufick djmbjq xtczbv nwdqyft kziq jwdfblhmp raqcqn vunxpcu utrzceyl viizoj lxycoy uqpimkx jbae vuxuxbtix drwrdt obkfafw qnicltel yzhvue

[DocSnyder]

Der beworbene Host 221.233.29.33 steht natürlich bei Chinanet. Die MX-Anfragen, die der relativ starken Flut vorauseilen, kommen jedoch von der IP 67.109.250.204 bei XO.com.
Lustig wird`s nun, wenn man beide mit nmap scannt und die Uptimes vergleicht:
---
Starting nmap 3.50 ( http://www.insecure.org/nmap/ ) at 2004-05-06 16:45 CEST
Host 221.233.29.33 appears to be up ... good.
Initiating SYN Stealth Scan against 221.233.29.33 at 16:45
Adding open port 80/tcp
Adding open port 53/tcp
Adding open port 25/tcp
Adding open port 587/tcp
Adding open port 22/tcp
The SYN Stealth Scan took 166 seconds to scan 1659 ports.
For OSScan assuming that port 22 is open and port 1 is closed and neither are firewalled
Interesting ports on 221.233.29.33:
(The 1654 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
53/tcp open domain
80/tcp open http
587/tcp open submission
Device type: general purpose
Running: FreeBSD 4.X
OS details: FreeBSD 4.6.2-RELEASE - 4.8-RELEASE, FreeBSD 4.7-RELEASE
Uptime 12.294 days (since Sat Apr 24 09:45:32 2004)
TCP Sequence Prediction: Class=truly random
Difficulty=9999999 (Good luck!)
IPID Sequence Generation: Busy server or unknown class
Nmap run completed -- 1 IP address (1 host up) scanned in 193.410 seconds
---
---
Starting nmap 3.50 ( http://www.insecure.org/nmap/ ) at 2004-05-06 16:50 CEST
Host 67.109.250.204 appears to be up ... good.
Initiating SYN Stealth Scan against 67.109.250.204 at 16:50
Adding open port 25/tcp
Adding open port 587/tcp
Adding open port 80/tcp
Adding open port 22/tcp
The SYN Stealth Scan took 19 seconds to scan 1659 ports.
For OSScan assuming that port 22 is open and port 1 is closed and neither are firewalled
Interesting ports on 67.109.250.204:
(The 1655 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
22/tcp open ssh
25/tcp open smtp
80/tcp open http
587/tcp open submission
Device type: general purpose
Running: FreeBSD 4.X
OS details: FreeBSD 4.6.2-RELEASE - 4.8-RELEASE, FreeBSD 4.7-RELEASE
Uptime 12.295 days (since Sat Apr 24 09:45:33 2004)
TCP Sequence Prediction: Class=truly random
Difficulty=9999999 (Good luck!)
IPID Sequence Generation: Busy server or unknown class
Nmap run completed -- 1 IP address (1 host up) scanned in 37.131 seconds
---
Wie man leicht sieht, handelt es sich um ein und dieselbe Kiste. Sekundengenau gleiche Uptimes sind anders nicht möglich. Auch im SMTP-Dialog sowie beim HTTP-Aufruf der blanken IP zeigen sich keinerlei Unterschiede. Offenbar handelt es sich bei der Chinanet-IP um eine reines Portforwarding, das natürlich die Latenzzeit erhöht und damit die Unterschiede in den Portscan-Ergebnissen erklärt.
/.
DocSnyder.
--
Friss, Spammer, friss: http://docsnyder.de/spl/forum/

[DocSnyder]

Kleine Korrektur: die MX-Anfragen vor den Spam-Zustellungen kommen nicht von 67.109.250.204. Meine Spamtrap-Subdomains laufen nämlich in 221.233.29.33 rein, damit der Spammer seinen eigenen Müll frisst. Da beide IPs zu derselben Kiste gehören, kommen die MX-Anfragen von ersterer als Ergebnis auf die Zustellversuche.
In diesem Zug hat der Spammer jedoch verraten, dass er den Nameserver 63.216.0.50 benutzt. Hundertprozentig kann ich dies noch nicht bestätigen, da dieser Spammer bei weitem nicht der Einzige ist, der meine Spamtraps bespammt.
/.
DocSnyder.
--
Friss, Spammer, friss: http://docsnyder.de/spl/forum/

[DocSnyder]

Inzwischen bin ich mir sicher, dass der Spammer den DNS 63.216.0.50 = ash.dns.cais.net für seine MX-Anfragen benutzt, da ich meine Spamtrap-Subdomains so eingestellt habe, dass nur MX-Anfragen von dort aus zu meinem Server führen. Und schon ist die Flut wieder in vollem Gange da.
CAIS.net ist ein US-amerikanischer ISP, der gemäß SPEWS als extrem merkbefreit gilt und deshalb so gut wie komplett gelistet (S2680) ist.
Da es sich bei der beworbenen Software offenbar um M$-Raubkopien handelt - wo kann man diesen Fall am besten eintüten?
/.
DocSnyder.
--
Friss, Spammer, friss: http://docsnyder.de/spl/forum/