Симферопольский Форум: Спамеры задолбали - Симферопольский Форум

Перейти к содержимому

Внимание! Для всех новых пользователей введена премодерация сообщений и тем.
Страница 1 из 1
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему

Спамеры задолбали

#1 Пользователь офлайн   GSMmaster 

  • I hate staff :)
  • Перейти к галерее
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Команда форума
  • Сообщений: 7 019
  • Регистрация: 14 Сентябрь 10
  • Сказали спасибо раз:
  • ГородNapoli Scitico, Russia
  • Страна:  

Отправлено 21 Декабрь 2011 - 08:44

Какая-то киевская пакость шлет пачками спам с разных SMTP, но источник один - машина с проксями 80.168.29.158

Подкиньте идею, куда написать жалобу на данный IP, дабы прикрыли?


#2 Пользователь офлайн   Iverton 

  • Живу здесь
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Команда форума
  • Сообщений: 983
  • Регистрация: 15 Сентябрь 10
  • Сказали спасибо раз:
  • Страна:  

Отправлено 21 Декабрь 2011 - 10:18

провайдеру .?


#3 Пользователь офлайн   Andreios 

  • Kill them all
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Старая гвардия
  • Сообщений: 6 388
  • Регистрация: 28 Июль 11
  • Сказали спасибо раз:
  • ГородСимферополь
  • Страна:  

Отправлено 21 Декабрь 2011 - 10:19

Смотрим whois 80.168.29.158


inetnum: 80.168.29.144 - 80.168.29.159
netname: CASEWISE-SYSTEMS-LIMITED
descr: Routed Connection
country: GB
admin-c: Pet80-RIPE
tech-c: CH309-RIPE
remarks: rev-srv: ns0.clara.net
remarks: rev-srv: ns1.clara.net
status: ASSIGNED PA
mnt-by: AS8426-MNT
source: RIPE # Filtered
remarks: rev-srv attribute deprecated by RIPE NCC on 02/09/2009

role: Claranet Hostmaster
address: Claranet UK Ltd
address: 21 Southampton Row
address: London WC1B 5HA
address: United Kingdom
phone: +44 (0) 20 7685 8000
fax-no: +44 (0) 20 7685 8001
remarks: Claranet UK Hostmaster
remarks: All abuse reports to abuse@clara.net
admin-c: OPS16-RIPE
tech-c: OPS16-RIPE
nic-hdl: CH309-RIPE
mnt-by: AS8426-MNT
source: RIPE # Filtered
abuse-mailbox: abuse@clara.net

person: Peter Mcwilliams
address: Station House, 9-13 Swiss Terrace, London NW6 4RR
phone: +44 (0)2077224000
nic-hdl: Pet80-RIPE
source: RIPE # Filtered

% Information related to '80.168.0.0/16AS8426'

route: 80.168.0.0/16
descr: CLARA-AGG5
origin: AS8426
mnt-by: AS8426-MNT
source: RIPE # Filtered


Пишем на адрес
All abuse reports to abuse@clara.net
жалобу. Если пров нормальный, то заблочат.
Иначе, блокируй этот ip локально.


#4 Пользователь офлайн   GSMmaster 

  • I hate staff :)
  • Перейти к галерее
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Команда форума
  • Сообщений: 7 019
  • Регистрация: 14 Сентябрь 10
  • Сказали спасибо раз:
  • ГородNapoli Scitico, Russia
  • Страна:  

Отправлено 21 Декабрь 2011 - 10:30

Просмотр сообщенияAndreios сказал:

Иначе, блокируй этот ip локально.

Не поможет. На этом IP прокси, через который спамеры лезут на разные SMTP, с которых и идет спамец...


#5 Пользователь офлайн   Andreios 

  • Kill them all
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Старая гвардия
  • Сообщений: 6 388
  • Регистрация: 28 Июль 11
  • Сказали спасибо раз:
  • ГородСимферополь
  • Страна:  

Отправлено 21 Декабрь 2011 - 10:33

Ну и фиг с ней, прокся выдает ip-ки наверняка же из этих же подсетей? Блокируй всю подсеть, типа - 80.168.29.0/24. Или еще шире, уж сам смотри.


#6 Пользователь офлайн   GSMmaster 

  • I hate staff :)
  • Перейти к галерее
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Команда форума
  • Сообщений: 7 019
  • Регистрация: 14 Сентябрь 10
  • Сказали спасибо раз:
  • ГородNapoli Scitico, Russia
  • Страна:  

Отправлено 21 Декабрь 2011 - 10:38

Так не поможет же :) Эта машина ко мне не стучится. В общем, написал на abuse, посмотрим...


#7 Пользователь офлайн   Andreios 

  • Kill them all
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Старая гвардия
  • Сообщений: 6 388
  • Регистрация: 28 Июль 11
  • Сказали спасибо раз:
  • ГородСимферополь
  • Страна:  

Отправлено 21 Декабрь 2011 - 10:45

Дык какая разница какая машина, она к тебе стучится из под ip-ка из этого пула, если ты заблочишь эти ip-ки, то и пакеты от них не будут доходить.


#8 Пользователь офлайн   GerinG 

  • Zero tolerance
  • Перейти к галерее
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Модераторы
  • Сообщений: 2 517
  • Регистрация: 14 Сентябрь 10
  • Сказали спасибо раз:
  • ГородСимферополь и район
  • Страна:  

Отправлено 21 Декабрь 2011 - 11:56

Просмотр сообщенияAndreios сказал:

Дык какая разница какая машина, она к тебе стучится из под ip-ка из этого пула, если ты заблочишь эти ip-ки, то и пакеты от них не будут доходить.


А кто говорил про ипы из этого пула? Машинка - гейт и все. Ее блокирование ничего не даст.

Или я чего неправильно понял?

Воля - это такой нематериальный актив, с помощью которого можно послать на *уй любую объективную реальность.

#9 Пользователь офлайн   Andreios 

  • Kill them all
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Старая гвардия
  • Сообщений: 6 388
  • Регистрация: 28 Июль 11
  • Сказали спасибо раз:
  • ГородСимферополь
  • Страна:  

Отправлено 21 Декабрь 2011 - 12:10

Давайте разберемся, спамеры юзают проксю, они со своей тачки, отправляют пакеты куда-либо, пакеты заворачиваются на сервер с прокси, на котором происходит изменение заголовков пакетов (это если не прозрачная), в итоге source-ip адрес подменяется прокси-сервером, чтобы замаскировать реальный источник пакета, и к точке назначения они приходят уже с новым ip-ом. ip-ки присваиваются из одной подсети (почти 100%), даже если их динамически меняют, подсеть останется той же, следовательно заблокировав локально входящие пакеты, из этой подсети, они буду блокироваться при первичной обработке пакетов.


#10 Пользователь офлайн   Andreios 

  • Kill them all
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Старая гвардия
  • Сообщений: 6 388
  • Регистрация: 28 Июль 11
  • Сказали спасибо раз:
  • ГородСимферополь
  • Страна:  

Отправлено 21 Декабрь 2011 - 12:11

GSMmaster, еще можно сюда написать - http://www.spamcop.net/


#11 Пользователь офлайн   GSMmaster 

  • I hate staff :)
  • Перейти к галерее
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Команда форума
  • Сообщений: 7 019
  • Регистрация: 14 Сентябрь 10
  • Сказали спасибо раз:
  • ГородNapoli Scitico, Russia
  • Страна:  

Отправлено 22 Декабрь 2011 - 10:50

Просмотр сообщенияAndreios сказал:

Давайте разберемся, спамеры юзают проксю, они со своей тачки, отправляют пакеты куда-либо, пакеты заворачиваются на сервер с прокси, на котором происходит изменение заголовков пакетов (это если не прозрачная), в итоге source-ip адрес подменяется прокси-сервером, чтобы замаскировать реальный источник пакета, и к точке назначения они приходят уже с новым ip-ом. ip-ки присваиваются из одной подсети (почти 100%), даже если их динамически меняют, подсеть останется той же, следовательно заблокировав локально входящие пакеты, из этой подсети, они буду блокироваться при первичной обработке пакетов.


Нет, не верно.

From - Tue Oct 04 09:48:18 2011
X-Account-Key: account2
X-UIDL: :K-!!b5J!!'K##!OKI!!
X-Mozilla-Status: 0011
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:                                                                                 
Return-Path: <dp@sphost.com.ua>
X-Original-To: REMOVED
Delivered-To: REMOVED
X-Greylist: delayed 3012 seconds by postgrey-1.31 at REMOVED; Tue, 04 Oct 2011 08:04:47 EEST
Received: from sphost.com.ua (sphost.com.ua [178.162.167.129])
	by REMOVED (Postfix) with ESMTP id 9B6E7631A0
	for <REMOVED>; Tue,  4 Oct 2011 08:04:47 +0300 (EEST)
Received: from sphost.com.ua (unknown [80.168.29.158])
	by sphost.com.ua (Postfix) with ESMTP id 7070EA0E438;
	Tue,  4 Oct 2011 04:32:30 +0200 (CEST)
DomainKey-Signature: a=rsa-sha1; q=dns; c=simple;
	s=key; d=sphost.com.ua;
	h=Message-ID:Reply-To:From:To:Subject:Date:MIME-Version:Content-Type:X-MSMail-Priority:X-Mailer:X-MimeOLE;
	b=aWrq+g1Lm8+eMquR1xA7Ygnz+IVDbx8RC7nqVcH/P92dj9DFplWQFY2/x8kbvLhfNjTegZ9UXBn9VGOypruAN+DFQ2JzUoqbTM3ElaZJLgy43qRh1BuUspSfB/t+qFIVS/6b3GznxeD21zV0P8R3fT5ENm4Hcd8uwnL5Gd7m9MQ=;
Message-ID: <f98001cc8245$a8228290$2a93ea7d@dp>
Reply-To: "=?windows-1251?B?xM8g0+rw0fLw7unR5fDi6PE=?=" <dp@sphost.com.ua>
From: "=?windows-1251?B?xM8g0+rw0fLw7unR5fDi6PE=?=" <dp@sphost.com.ua>
To: <utvmovies@utvnet.com>
Subject: =?windows-1251?B?UmU6IM7UztDMy8XNyMUg0dLQzsjSxcvczc7JIMvI1sXNx8jIIMTL3yDC0cXVIQ==?=
Date: Tue, 04 Oct 2011 03:28:17 +0300




Received: from novatel.kiev.ua (unknown [178.162.167.135])
	by REMOVED (Postfix) with ESMTP id E5300DBECF
	for <REMOVED>; Mon,  3 Oct 2011 18:50:16 +0300 (EEST)
Received: from novatel.kiev.ua (unknown [80.168.29.158])
	by novatel.kiev.ua (Postfix) with ESMTP id DB16FD62007;
	Mon,  3 Oct 2011 23:08:20 +0200 (CEST)
DomainKey-Signature: a=rsa-sha1; q=dns; c=simple;
	s=key; d=novatel.kiev.ua;




Received: from web-up.kiev.ua ([188.72.250.17] helo=web-up.kiev.ua) by
	ASSP.nospam with ESMTP (ASSP 1.9); 21 Dec 2011 04:51:35 +0200
Received: from web-up.kiev.ua (unknown [80.168.29.158])
	by web-up.kiev.ua (Postfix) with ESMTP id E7D66717082;
	Wed, 21 Dec 2011 02:50:00 +0100 (CET)




Я свои адреса убрал.

Принцип действия этого спамера понятен или расписать?


#12 Пользователь офлайн   Eugene 

  • Юджин
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Старая гвардия
  • Сообщений: 1 653
  • Регистрация: 16 Сентябрь 10
  • Сказали спасибо раз:
  • ГородСимферополь

Отправлено 22 Декабрь 2011 - 11:47

Return-Path: <dp@sphost.com.ua>
это всегда одинаковое ?
фильтруй по return-path

Жизнь - вечная борьба: до обеда с голодом, после обеда со сном.

#13 Пользователь офлайн   GSMmaster 

  • I hate staff :)
  • Перейти к галерее
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Команда форума
  • Сообщений: 7 019
  • Регистрация: 14 Сентябрь 10
  • Сказали спасибо раз:
  • ГородNapoli Scitico, Russia
  • Страна:  

Отправлено 22 Декабрь 2011 - 13:48

Нет, всегда разное.

Короче, принцип таков - есть, допустим, SMTP сервак atb.com.ua
спамер ставит обратный адрес чегототам@atb.com.ua и отправляет через проксю почту через этот SMTP. Сервак считает, что отправитель - свой, и почту рассылает. Потом берут следующий SMTP с другим доменом, ставят подходящий адрес отправител и так же шлют. И так до бесконечности. Но всё идёт одним путем - через прокси, который 80.168.29.158.


#14 Пользователь офлайн   alexk 

  • Dyslexic Devil Worshipper
  • Перейти к галерее
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Команда форума
  • Сообщений: 967
  • Регистрация: 16 Сентябрь 10
  • Сказали спасибо раз:
  • ГородБерлин
  • Страна:  

Отправлено 22 Декабрь 2011 - 14:12

Я бы написал на abuse@clara.net что-нибудь такое:

I'd like to inform you that an ip address 80.168.29.158 belonging to your network is involved in sending unsolicited email messages to our addresses [список]. Attached are a few samples with full headers:

[
примеры писем от спамеров с полными заголовками.
....
]
I'd appreciate it if you could investigate the issue and take necessary measures to stop the spammers from sending emails through your network, particularly, via 80.168.29.158.

Thank you,
Подпись.

Come as you are.

Поблагодарили: 1

#15 Пользователь офлайн   Eugene 

  • Юджин
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Старая гвардия
  • Сообщений: 1 653
  • Регистрация: 16 Сентябрь 10
  • Сказали спасибо раз:
  • ГородСимферополь

Отправлено 22 Декабрь 2011 - 14:31

Просмотр сообщенияGSMmaster сказал:

80.168.29.158


80.168.29.158 - ты всех запутал - это не прокси - это источник (писем со спамом)

188.72.250.17, 178.162.167.129, 178.162.167.135 - это открытые (читай дырявые) релеи

Жизнь - вечная борьба: до обеда с голодом, после обеда со сном.

#16 Пользователь офлайн   GSMmaster 

  • I hate staff :)
  • Перейти к галерее
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Команда форума
  • Сообщений: 7 019
  • Регистрация: 14 Сентябрь 10
  • Сказали спасибо раз:
  • ГородNapoli Scitico, Russia
  • Страна:  

Отправлено 22 Декабрь 2011 - 14:45

Просмотр сообщенияEugene сказал:

80.168.29.158 - ты всех запутал - это не прокси - это источник (писем со спамом)

Хе, не всё так просто, это именно прокси, щупал его nmap'ом и тестировал в кач-ве проксика на браузере.

Кстати, на пинг не отвечает, может письмо сработало? :)


#17 Пользователь офлайн   старый трубочист 

  • Невменяемый шовинист (с) Lara Kroft
  • PipPipPipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
  • Группа: Старая гвардия
  • Сообщений: 3 062
  • Регистрация: 16 Сентябрь 10
  • Сказали спасибо раз:
  • ГородСимферополь
  • Страна:  

Отправлено 22 Декабрь 2011 - 19:00

А что шлют? Если рекламу с телефонами или е-мейл, то можно организовать спам-атаку. Помнится где-то читал, что при подобной спам-атаке звонили в 3 часа ночи по указанному в рекламе мебели мобильному и спрашивали:
"Вы продаете славянский шкаф?". Через день и мобильник был выключен и спам с данной рекламой перестал сыпаться.


#18 Гость_bred_*

  • Группа: Гости

Отправлено 26 Май 2012 - 22:58

пришел ржачный спам -

Цитата

Здравствуйте, дорогие,
Как погода в вашем регионе? Я надеюсь, что это нормально, Меня зовут мисс Тина, я написал это письмо к вам для дружбы или больше, чтобы быть, я хотел бы знать больше о вас, может быть, мы можем быть хорошими друзьями, ответить мне, так что я пошлю вам свою фото, и я расскажу вам более подробно обо мне. Я буду ждать вашего ответа. Примите мой привет
Тина
- интересно, китайские школьники с автопереводом, или афганские хакеры? ))))


Поделиться темой:


Страница 1 из 1
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему

1 человек читают эту тему
0 пользователей, 1 гостей, 0 скрытых пользователей