A spamokba belenézve újabb 10-15 szervert találtam, ami szintén ezen hosting cég alatt futott persze és itt már volt "normális" weboldal is.... Egy kedves kis akciosakcio.XYZ meg hasonló rendkívül értékes oldalakra juttatta az ember 1-2 kattintás után vagy automatikusan.
Nagyon kedvesen fel is vették a ticketet a rendszerükbe, aminek meg is örültem hírtelen. Gondoltam én végre egy cég, aki foglalkozik is az abuse@ címre érkező dolgokkal és válaszolnak is. Korán örültem.
A ticketet felvették ugyan és válaszoltak is rá 4 órán belül, hogy akkor ők most felveszik a kapcsolatot az ügyféllel.
Érdemi válasz azóta se érkezett, csak pár hét múlva lezárták a hibajegyet. Az IP címek továbbra is tolták ki magukból a szemetet, a domain továbbra is élt.
Ezt még eljátszottam velük másik 4 alkalommal csak úgy poénból persze közben a levelező szervereken és a hálózati eszközökön is kellemes kis blokkoló beállításokat eszközöltem és kuncogva lestem miként pattannak nap mint nap.
A cérna ma szakadt el miután a hét elején ismét feltűnt egy másik tartományukból hasonlóan értékes szerverek tömege
és én megint futottam egy kört velük. Az ügyintézésük azonos volt. Hibajegy felvesz, pár üzenet váltása majd jön a sablon szöveg, hogy akor ők most jól felveszik az ügyféllel a kapcsolatot.
Mondom SZTOJ! Ezt már játszottuk. Csekkoljátok le, hogy ezek a regisztrációs adatok olyan helyekre mutatnak,
amik sose léteznek és ugyebár a weboldal is "értéket képvisel" no meg "hasznos" leveleket küld ki.
Erre bekértek tőlem a felderített 4 domainra meg IP tartományra mindenféle adatot, hogy szerintem miért SPAM, meg hogy küldözgessem el nekik a levél fejléceket. Ezt is megfutottuk persze sokat nem ért...
3 üzenetváltás után jött a sablon válasz és hibajegy lezárás. :D
Részemről az utolsó üzenetemmel zártam velük a kapcsolatot.
Never mind! I have better idea.
We started to block your whole /24 blocks where you have 40% or more spammer servers.
Till this time it's around 10k IP address.Thanks for your pleasant service.
Magam megnyugtatása érdekében még egy 2 soros kis scriptet ráküldtem a tartományaikra, csak a poén kedvéért, hogy lássam miféle reverse dns címek is vannak regisztrálva. Azóta röhögök a kollégákkal a találtakon.
Számolatlanul is több mint tíz olyan /24-es blokkot találtam, ahol 253 db szerver igen jól szituált névvel és mögöttes tartalommal rendelkezik. Innentől nem kérdés, hogy megtaláltam az USA-ban a sz***net.hu külföldi megfelelőjét. Mottó: occón bárkinek bármit szabályok nélkül.... csak fizessen.
Íme az érintett IP címek és domainek:
http://pastebin.com/t12zH2Y7
http://pastebin.com/2NEXyZhu
http://pastebin.com/1FW0Y6Tq
http://pastebin.com/vSmr8t1C
http://pastebin.com/1gDYpzCt
http://pastebin.com/nzfUh9Rt
http://pastebin.com/S9rXmxK3
http://pastebin.com/nA67X8Je
Ezek pedig a felderítés során talál érdekességek. Csak a móka kedvéért érdemes rá vetni egy pillantást.
http://pastebin.com/u6vNUn75
http://pastebin.com/VpXKEie8
http://pastebin.com/XfVYs5Ne
http://pastebin.com/AMdwypYu
Természetesen az itt felsoroltak közül mind tisztességes és főként legális üzleti tevékenységet folytató cégek szervereiről van szó és még a gyanuper sem merülhet fel, hogy a szolgáltató cég bizony a fizető ügyfél jó ügyfél alapon bármit megenged.
Mindenki döntse el magában, hogy mit kezd a céggel és az általuk használt tartományok felől érkező forgalommal.
108.174.192.0/20
199.59.56.0/21
192.119.64.0/18
Részünkről DROP és csak azért nem TARPIT mert még a lassításukra szánt erőforrást se érdemlik meg.
- hawk blogja
- A hozzászóláshoz be kell jelentkezni
- 2549 megtekintés
Hozzászólások
ez a zealot kft nevu spammer bunozo banda, akik bevasarolnak random kinai kacatokbol (pl. elalvasgatlo, fedelzeti kamera, nappali feny, etc), majd azt elegge tularazottan probaljak meg jellemzoen egy aljas modon manipulalo hangvetelu spamben elsozni. Szerintem az egesz hostwinds halozatot blokkolni erdemes. A zealot kft hazug bandanak meg mit is kuldjunk karacsonyra? Molekulakat. Ja, neeeem, hanem ... atomot :-)
--
"Pontosan ez a ti bajotok. Ez a kurva nagy csőlátás. [...]" (bviktor)
- A hozzászóláshoz be kell jelentkezni
Nekem is van egy kazal IP címem tőlük letiltve. Illetve... mivel le se tojták az abuse -ra írt, forrást is tartalmazó leveleimet, az óta már tartományok.
Ilyen is van: 142.11.192.0/18
- A hozzászóláshoz be kell jelentkezni
Épp most fut erre a tartományra is az rdns felderítés és itt is vannak komplett /24-es blokkok, amik 1 céghez tartoznak és furábbnál furább címeket adtak nekik. Erősen valószínűsíthető ennél is a felhasználás mikéntje és célja.
Blokkolva ez is a fenébe.
- A hozzászóláshoz be kell jelentkezni
Bookmark
- A hozzászóláshoz be kell jelentkezni
Friss infó:
Utolsó két felvitt hibajegy megkapta a lezárva státuszt a szolgáltatótól.
Vígan fut az összes tovább és ontják a kéretlen leveleket.
Köszönjük Emese. :D Marad a full blokk az eddig megismert 30+x ezer IP címükre.
- A hozzászóláshoz be kell jelentkezni
bulletproof provider. Valsag van, igy fokozottan igaz a penz beszel kozmondas. Szoval amig a himtag fizet, addig nem zargatjak...
--
"Pontosan ez a ti bajotok. Ez a kurva nagy csőlátás. [...]" (bviktor)
- A hozzászóláshoz be kell jelentkezni
Kiváncsi vagyok meddig bírják cérnával :D
https://clients.hostwinds.com/viewticket.php?tid=535062&c=doAlMOrm
- A hozzászóláshoz be kell jelentkezni
riszpekt, hogy addig utotted ezt a tokeletlen szolgaltatot, amig kipicsaztak a futyi spammert :-)
--
"Pontosan ez a ti bajotok. Ez a kurva nagy csőlátás. [...]" (bviktor)
- A hozzászóláshoz be kell jelentkezni
Sokat nem ér mert holnapra már másik 3 helyről tolja. :D
- A hozzászóláshoz be kell jelentkezni
Ezt a reakciót sajnos előre borítékoltam volna neked... :( Én is itt adtam fel, és nem is tudom, hogy mit lehetne kezdeni még a tartomány blokkolásán kívül!? Minden esetre elszomorító :(
- A hozzászóláshoz be kell jelentkezni
Vajon mi lehet a furcsa a következő pár sorban....
Kb egy hónapja bejelentett spammer címek:
linerider123.com has address 192.119.66.242
linerider123.com has address 192.119.64.179
linerider123.com has address 192.119.64.169
linerider123.com has address 192.119.64.165
linerider123.com has address 192.119.64.183
linerider123.com has address 192.119.66.241
linerider123.com has address 192.119.64.166
linerider123.com has address 192.119.64.17
linerider123.com has address 192.119.64.168
linerider123.com has address 192.119.64.180
linerider123.com has address 192.119.64.164
linerider123.com has address 192.119.64.182
linerider123.com has address 192.119.64.175
linerider123.com has address 192.119.64.181
linerider123.com has address 192.119.64.155
linerider123.com has address 192.119.64.159
linerider123.com has address 192.119.64.157
linerider123.com has address 192.119.64.16
linerider123.com has address 192.119.66.243
linerider123.com has address 192.119.64.162
linerider123.com has address 192.119.64.167
frissen bejelentett spammer címek:
maxi24-gr.com has address 192.119.64.166
maxi24-gr.com has address 192.119.64.181
maxi24-gr.com has address 192.119.64.180
maxi24-gr.com has address 192.119.64.157
maxi24-gr.com has address 192.119.64.183
maxi24-gr.com has address 192.119.66.242
maxi24-gr.com has address 192.119.64.162
maxi24-gr.com has address 192.119.64.179
maxi24-gr.com has address 192.119.64.159
maxi24-gr.com has address 192.119.64.167
maxi24-gr.com has address 192.119.64.164
maxi24-gr.com has address 192.119.64.182
maxi24-gr.com has address 192.119.64.169
maxi24-gr.com has address 192.119.64.17
maxi24-gr.com has address 192.119.64.165
maxi24-gr.com has address 192.119.66.243
maxi24-gr.com has address 192.119.66.241
maxi24-gr.com has address 192.119.64.175
maxi24-gr.com has address 192.119.64.155
maxi24-gr.com has address 192.119.64.16
maxi24-gr.com has address 192.119.64.168
ui: nem ... a két domainhoz tartozó IP címeknek még véletlenül se volt azonos az akkori és a mostani whois rekordja.
network:Customer Organization:Andras Horvat
network:Customer Address;I:Teréz krt. 82
network:Customer City;I:Várpalota
network:Customer State/Province;I:Veszprém
network:Customer Postal Code;I:8104
network:Customer Country Code;I:HU
network:Organization;I:Hostwinds LLC
- A hozzászóláshoz be kell jelentkezni
Na már ügyeskednek...
https://clients.hostwinds.com/viewticket.php?tid=381826&c=GSXCxqyY
--
http://hwk.hu
- A hozzászóláshoz be kell jelentkezni
epp most szurtam le ugyanazt a kiscsajt, akivel te is ticketeltel, es elmondtam neki, hogy ez igy egy nagy szar. O valtig allitgatta, hogy fellepnek a spamek ellen, es ha folytatodo spammelesrol van szo, akkor megszuntetik az account-ot. Hat, ha o mondja...
--
"Pontosan ez a ti bajotok. Ez a kurva nagy csőlátás. [...]" (bviktor)
- A hozzászóláshoz be kell jelentkezni
Ismét egy jól ismert SPAM került a kezemhez a cég hálózatából.
De legalább megint blokkolhatok két teljes tartományt tőlük.
- 23.254.128.0/17
- 198.143.96.0/19
Mindkettőbe a culturalgranada.com domain szerverei találhatóak és
a már jól ismert többi tartományukból szintén van pár IP a domainhoz rendelve.
Illetve fogtam még egy érdekességet. Elkezdtek egy másik szolgáltatónál is emberkedni.
Innen éppen a trafipax ellen akarnak védeni .com :D
És, hogy miből sejtem, hogy ugyanaz az elvetemült banda?
Hát csak abból, hogy teljesen véletlenül eddig 5 különböző email címre is megkaptuk
ugyanazt a kéretlen levelet és valamiért mindben teljesen azonosak voltak az
X-Mailer-RecptId értékei mint a hostwind-es hálóból kapott SPAM-nál.
Vajon mennyi lehet a valószínűsége, hogy két különböző magyar cég, ugyanazt
az oldalcsoportot hírdeti és ráadásul még a címzett egyedi azonosítója is tök egyforma :D
upawnbk.com 94.242.210.90
+ még másik 30 IP
Bejelentés ide is ment.
- A hozzászóláshoz be kell jelentkezni
+1:
192.236.128.0/17
t
- A hozzászóláshoz be kell jelentkezni