Спамеры задолбали

[GSMmaster]

Какая-то киевская пакость шлет пачками спам с разных SMTP, но источник один - машина с проксями 80.168.29.158

 

Подкиньте идею, куда написать жалобу на данный IP, дабы прикрыли?

[Iverton]

провайдеру .?

[Andreios]

Смотрим whois 80.168.29.158

 

 

inetnum: 80.168.29.144 - 80.168.29.159

netname: CASEWISE-SYSTEMS-LIMITED

descr: Routed Connection

country: GB

admin-c: Pet80-RIPE

tech-c: CH309-RIPE

remarks: rev-srv: ns0.clara.net

remarks: rev-srv: ns1.clara.net

status: ASSIGNED PA

mnt-by: AS8426-MNT

source: RIPE # Filtered

remarks: rev-srv attribute deprecated by RIPE NCC on 02/09/2009

 

role: Claranet Hostmaster

address: Claranet UK Ltd

address: 21 Southampton Row

address: London WC1B 5HA

address: United Kingdom

phone: +44 (0) 20 7685 8000

fax-no: +44 (0) 20 7685 8001

remarks: Claranet UK Hostmaster

remarks: All abuse reports to abuse@clara.net

admin-c: OPS16-RIPE

tech-c: OPS16-RIPE

nic-hdl: CH309-RIPE

mnt-by: AS8426-MNT

source: RIPE # Filtered

abuse-mailbox: abuse@clara.net

 

person: Peter Mcwilliams

address: Station House, 9-13 Swiss Terrace, London NW6 4RR

phone: +44 (0)2077224000

nic-hdl: Pet80-RIPE

source: RIPE # Filtered

 

% Information related to '80.168.0.0/16AS8426'

 

route: 80.168.0.0/16

descr: CLARA-AGG5

origin: AS8426

mnt-by: AS8426-MNT

source: RIPE # Filtered

 

 

Пишем на адрес

All abuse reports to abuse@clara.net

жалобу. Если пров нормальный, то заблочат.

Иначе, блокируй этот ip локально.

[GSMmaster]

Иначе, блокируй этот ip локально.

Не поможет. На этом IP прокси, через который спамеры лезут на разные SMTP, с которых и идет спамец...

[Andreios]

Ну и фиг с ней, прокся выдает ip-ки наверняка же из этих же подсетей? Блокируй всю подсеть, типа - 80.168.29.0/24. Или еще шире, уж сам смотри.

[GSMmaster]

Так не поможет же :) Эта машина ко мне не стучится. В общем, написал на abuse, посмотрим...

[Andreios]

Дык какая разница какая машина, она к тебе стучится из под ip-ка из этого пула, если ты заблочишь эти ip-ки, то и пакеты от них не будут доходить.

[GerinG]

Дык какая разница какая машина, она к тебе стучится из под ip-ка из этого пула, если ты заблочишь эти ip-ки, то и пакеты от них не будут доходить.

 

А кто говорил про ипы из этого пула? Машинка - гейт и все. Ее блокирование ничего не даст.

 

Или я чего неправильно понял?

[Andreios]

Давайте разберемся, спамеры юзают проксю, они со своей тачки, отправляют пакеты куда-либо, пакеты заворачиваются на сервер с прокси, на котором происходит изменение заголовков пакетов (это если не прозрачная), в итоге source-ip адрес подменяется прокси-сервером, чтобы замаскировать реальный источник пакета, и к точке назначения они приходят уже с новым ip-ом. ip-ки присваиваются из одной подсети (почти 100%), даже если их динамически меняют, подсеть останется той же, следовательно заблокировав локально входящие пакеты, из этой подсети, они буду блокироваться при первичной обработке пакетов.

[Andreios]

GSMmaster, еще можно сюда написать - http://www.spamcop.net/

[GSMmaster]

Давайте разберемся, спамеры юзают проксю, они со своей тачки, отправляют пакеты куда-либо, пакеты заворачиваются на сервер с прокси, на котором происходит изменение заголовков пакетов (это если не прозрачная), в итоге source-ip адрес подменяется прокси-сервером, чтобы замаскировать реальный источник пакета, и к точке назначения они приходят уже с новым ip-ом. ip-ки присваиваются из одной подсети (почти 100%), даже если их динамически меняют, подсеть останется той же, следовательно заблокировав локально входящие пакеты, из этой подсети, они буду блокироваться при первичной обработке пакетов.

 

Нет, не верно.

 

From - Tue Oct 04 09:48:18 2011
X-Account-Key: account2
X-UIDL: :K-!!b5J!!'K##!OKI!!
X-Mozilla-Status: 0011
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:                                                                                 
Return-Path: <dp@sphost.com.ua>
X-Original-To: REMOVED
Delivered-To: REMOVED
X-Greylist: delayed 3012 seconds by postgrey-1.31 at REMOVED; Tue, 04 Oct 2011 08:04:47 EEST
Received: from sphost.com.ua (sphost.com.ua [178.162.167.129])
by REMOVED (Postfix) with ESMTP id 9B6E7631A0
for <REMOVED>; Tue,  4 Oct 2011 08:04:47 +0300 (EEST)
Received: from sphost.com.ua (unknown [80.168.29.158])
by sphost.com.ua (Postfix) with ESMTP id 7070EA0E438;
Tue,  4 Oct 2011 04:32:30 +0200 (CEST)
DomainKey-Signature: a=rsa-sha1; q=dns; c=simple;
s=key; d=sphost.com.ua;
h=Message-ID:Reply-To:From:To:Subject:Date:MIME-Version:Content-Type:X-MSMail-Priority:X-Mailer:X-MimeOLE;
b=aWrq+g1Lm8+eMquR1xA7Ygnz+IVDbx8RC7nqVcH/P92dj9DFplWQFY2/x8kbvLhfNjTegZ9UXBn9VGOypruAN+DFQ2JzUoqbTM3ElaZJLgy43qRh1BuUspSfB/t+qFIVS/6b3GznxeD21zV0P8R3fT5ENm4Hcd8uwnL5Gd7m9MQ=;
Message-ID: <f98001cc8245$a8228290$2a93ea7d@dp>
Reply-To: "=?windows-1251?B?xM8g0+rw0fLw7unR5fDi6PE=?=" <dp@sphost.com.ua>
From: "=?windows-1251?B?xM8g0+rw0fLw7unR5fDi6PE=?=" <dp@sphost.com.ua>
To: <utvmovies@utvnet.com>
Subject: =?windows-1251?B?UmU6IM7UztDMy8XNyMUg0dLQzsjSxcvczc7JIMvI1sXNx8jIIMTL3yDC0cXVIQ==?=
Date: Tue, 04 Oct 2011 03:28:17 +0300

 

---

Received: from novatel.kiev.ua (unknown [178.162.167.135])
by REMOVED (Postfix) with ESMTP id E5300DBECF
for <REMOVED>; Mon,  3 Oct 2011 18:50:16 +0300 (EEST)
Received: from novatel.kiev.ua (unknown [80.168.29.158])
by novatel.kiev.ua (Postfix) with ESMTP id DB16FD62007;
Mon,  3 Oct 2011 23:08:20 +0200 (CEST)
DomainKey-Signature: a=rsa-sha1; q=dns; c=simple;
s=key; d=novatel.kiev.ua;

 

---

Received: from web-up.kiev.ua ([188.72.250.17] helo=web-up.kiev.ua) by
ASSP.nospam with ESMTP (ASSP 1.9); 21 Dec 2011 04:51:35 +0200
Received: from web-up.kiev.ua (unknown [80.168.29.158])
by web-up.kiev.ua (Postfix) with ESMTP id E7D66717082;
Wed, 21 Dec 2011 02:50:00 +0100 (CET)

---

 

Я свои адреса убрал.

 

Принцип действия этого спамера понятен или расписать?

[Eugene]

Return-Path:

это всегда одинаковое ?

фильтруй по return-path

[GSMmaster]

Нет, всегда разное.

 

Короче, принцип таков - есть, допустим, SMTP сервак atb.com.ua

спамер ставит обратный адрес чегототам@atb.com.ua и отправляет через проксю почту через этот SMTP. Сервак считает, что отправитель - свой, и почту рассылает. Потом берут следующий SMTP с другим доменом, ставят подходящий адрес отправител и так же шлют. И так до бесконечности. Но всё идёт одним путем - через прокси, который 80.168.29.158.

[alexk]

Я бы написал на abuse@clara.net что-нибудь такое:

 

I'd like to inform you that an ip address 80.168.29.158 belonging to your network is involved in sending unsolicited email messages to our addresses [список]. Attached are a few samples with full headers:

 

[

примеры писем от спамеров с полными заголовками.

....

]

I'd appreciate it if you could investigate the issue and take necessary measures to stop the spammers from sending emails through your network, particularly, via 80.168.29.158.

 

Thank you,

Подпись.

[Eugene]

80.168.29.158

 

80.168.29.158 - ты всех запутал - это не прокси - это источник (писем со спамом)

 

188.72.250.17, 178.162.167.129, 178.162.167.135 - это открытые (читай дырявые) релеи

[GSMmaster]

80.168.29.158 - ты всех запутал - это не прокси - это источник (писем со спамом)

Хе, не всё так просто, это именно прокси, щупал его nmap'ом и тестировал в кач-ве проксика на браузере.

 

Кстати, на пинг не отвечает, может письмо сработало? :)

[старый трубочист]

А что шлют? Если рекламу с телефонами или е-мейл, то можно организовать спам-атаку. Помнится где-то читал, что при подобной спам-атаке звонили в 3 часа ночи по указанному в рекламе мебели мобильному и спрашивали:

"Вы продаете славянский шкаф?". Через день и мобильник был выключен и спам с данной рекламой перестал сыпаться.

[Гость bred]

пришел ржачный спам -

 

Здравствуйте, дорогие,

Как погода в вашем регионе? Я надеюсь, что это нормально, Меня зовут мисс Тина, я написал это письмо к вам для дружбы или больше, чтобы быть, я хотел бы знать больше о вас, может быть, мы можем быть хорошими друзьями, ответить мне, так что я пошлю вам свою фото, и я расскажу вам более подробно обо мне. Я буду ждать вашего ответа. Примите мой привет

Тина

- интересно, китайские школьники с автопереводом, или афганские хакеры? ))))