SPAM 2017, avagy locsolók és fűrészek akcióban

 ( bb | 2017. október 9., hétfő - 12:14 )

Sziasztok,

cpanel-es eximem van, greylistet, RBL listákat használok, csillámpónis szolgáltató kitiltva, spamassassint és eddig kezelhető mértékű SPAM jött.
Ennek vége lett 1 hete, és özönlik a frissen (újra)regisztrált domainekről a tökéletesen szépen megszerkesztett, főleg grafikát tartalmazó mail.

Általában a levelekben csak egy továbbugró link található.

kafkasitiraf.com
kardharmedia.com

többek között ide ugrik: http://tartas javitas.com

Mit lehet ezekkel kezdeni?

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Milyen RBL listákat használsz?
SA log mint mond egy ilyen levélre?
Ha a levélözön mindegyik ugyanazt a néhány linket tartalmazza akkor arra lehetne saját SA rule.

bl.spamcop.net
zen.spamhaus.org
sbl-xbl.spamhaus.org
b.barracudacentral.org

Szia!

Ez elég kevés.
SA logot tudsz bemásolni?
Ha valóban friss domainekről érkezik a levél akkor arra pl. itt egy SA szabály:

urirhssub SEM_FRESH fresh.spameatingmonkey.net. A 2
body SEM_FRESH eval:check_uridnsbl('SEM_FRESH')
describe SEM_FRESH Contains a domain registered less than 5 days ago
tflags SEM_FRESH net
score SEM_FRESH 2.5

De ezt is lehet még finomítani. Olyan további feketelistákat is alkalmaznék SA szinten mint uribl, hostkarma, psky.me...

váltózó. A sablon hasonló, de csereberélik a cuccot.
Nekünk egy Astaro öö izé Sophos UTM van előtte, van amit megfog, van, amit nem.

Kínomban nekiálltam iptables-el tiltani, akár /24-eket is. Sokat javult a helyzet, de természetesen mindig van új :(.

Szíves felhasználásra.... mind ugyanazon bűnözőhöz tartozik
66.37.19.160/27
66.45.240.144/28
109.230.237.194/27
206.72.206.13 - 212.38.189.17
212.38.189.7 - 212.38.189.8

Ez egy komplett szolgáltató tartománya. Mesések a PTR rekordjaik
185.140.108.0/23
185.140.110.0/23

Amúgy heti rendszereséggel vesznek más-más IP
szolgáltatótól tartományokat majd eldobják
őket miután kiment a temérdek SPAM.

Az IP címhez tartozó PTR rekordokat / domain neveket is úgy cserélik mint mások az alsónadrágot.

ilyen spam áradatkor még a mail server előtt, tűzfalban szoktam teljes ip tartományokat tiltani. Előbb-utóbb kitiltom az egész Internetet, és csak magammal fogok levelezni.

Két tartományukat elírtam...
1.
Hibás: 206.72.206.13 - 212.38.189.17
Javított: 206.72.206.10-206.72.206.14

2.
Hibás: 212.38.189.7 - 212.38.189.8
Javított: 212.38.189.7-212.38.189.17

Mai friss tartomány:
77.241.194.2-77.241.194.30

hozzám is megérkezett :/

Esetleg (ha SpamAssassint használtok), kipróbálhatnátok a lent említett megoldásomat is, IP range tiltások helyett.

Részemről okkal tiltok IP tartományokat.
De amint időm lesz belereszelem a spamassassin-ba is. :D

77.241.198.2-31

Napi friss:
78.129.241.132
78.129.241.133
78.129.241.134
78.129.241.135
78.129.241.136
78.129.241.137
78.129.241.138
78.129.241.185
78.129.241.186
78.129.241.89

ui: az alábbik is huncut PTR-el rendelkeznek ránézésre, de nem ugyanaz a banda elvileg....
78.129.241.152-78.129.241.169

Amúgy tudja valaki, hogy kik ezek?

Az összes domain IP címe ide mutat:
185.140.110.3

Whois:
% Abuse contact for '185.140.108.0 - 185.140.108.255' is 'abuse@vpsszerver.net'

inetnum: 185.140.108.0 - 185.140.108.255
netname: EAN-NUM-LOG
descr: VPS SERVERS
country: HU
admin-c: ACRO384-RIPE
tech-c: ACRO384-RIPE
status: ASSIGNED PA
mnt-by: ACRO384-MNT
created: 2016-03-07T17:23:09Z
last-modified: 2016-03-07T17:23:09Z
source: RIPE

role: EAN NUM LOG Kft
address: Hungary
address: 1027 Budapest
address: Bem utca 6.
phone: +36702162941
abuse-mailbox:

nic-hdl: ACRO384-RIPE
mnt-by: ACRO384-MNT
created: 2016-02-29T18:56:01Z
last-modified: 2017-03-17T11:46:21Z
source: RIPE # Filtered

% Information related to '185.140.108.0/23AS48131'

route: 185.140.108.0/23
descr: ENLK2-NET
descr: VPS SERVERS
origin: AS48131
mnt-by: ACRO384-MNT
created: 2016-03-17T17:10:08Z
last-modified: 2016-03-17T17:10:23Z
source: RIPE

Ha megézed a PTR rekordjait a tartományuknak akkor azt
hiszem nem marad kérdésed mit kell tenni velük...
https://pastebin.com/GDsRT2yQ
https://pastebin.com/97Vj9UGV
https://pastebin.com/ncatsKjA
https://pastebin.com/gFLkApit

További érdekesség, hogy designineu.com domain alá az IP-t a hostwind adja,
aki szintén egy hírhedt szolgáltató.....

google szerint kta ez a cég vagy mi, ehhez nem értek, akkor ez már nem is létezik hivatalosan? így nem tudok odamenni féltéglával a kezemben :/

kta = kényszertörlés alatt

Oda tudsz... szerencsére ki van írva, hogy kihez is kell menni:

A Cg.01-09-200121 cégjegyzékszámú EAN NUM LOG Kereskedelmi és Szolgáltató Korlátolt Felelősségű Társaság "kényszertörlés alatt" (1027 Budapest, Bem utca 6.) cég 2017. augusztus 7. napján hatályos adatai a következők:

I. Cégformától független adatok1. Általános adatok
Cégjegyzékszám: 01-09-200121
Cégforma: Korlátolt felelősségű társaság
Bejegyezve: 2014/12/19
Törlés hatálya: 2016/12/06
Törlés módja: hivatalból

57. Eltiltás hatálya alatt álló tagra, képviselőre vonatkozó adatok
57/1. Gencsi Attila Sándor (an.: Juhász Ibolya Anna)
Adóazonosító jel: 8402810683
Eltiltás kezdete: 2016/12/06
Eltiltás megszűnése: 2021/12/06
A változás időpontja: 2016/12/06
Bejegyzés kelte: 2017/01/20 Közzétéve: 2017/01/31
Hatályos: 2016/12/06 ...

hm.
nekem az assphez virusirto helyett hasznalt Szenti modszerrel tuningolt kis kiegeszitom ezt adja vissza :
-----------------

#./kapdelmardel Az_eg_sz_csal_d_r_m_re_vil_g_t_p_ly_s_aut_s_j_t_k_--4203368.eml

Received: from pie.bangnahino.com ([78.129.241.136] helo=pie.bangkeogiabao.com)
Sender = =?UTF-8?Q?S=E1ndor_=C1goston?=
1: 3.110.140.185
FromDomain = bangkeogiabao.com
BadFile

-----------------

bangkeogiabao.com reverse stimmel, es ki is szedi szepen ahogy azt illik.

--
HUP te Zsiga !

Hm, ezek elég "régen" tevékenykednek, én body_check-kel elég jól megfogtam úgy egy vagy két hónapja...ami nem változik az a:
00.jpg
body_check-ben:

/\/00.jpg/ REJECT spam_reklam

üdv: pomm

A 852-es kídlap telepötúsa sikeresen befejezádétt

Köszi. Ez egy gyors megoldás.

Ezekben a spamekben az a közös, hogy a From header-ben levő domain ugyanarra az ip címre mutat. Egy lehetséges megoldás egy általam írt SpamAssassin plugin, használd egészséggel! Azóta egyetlen ilyen spam nem jutott át.

szerk.: typo.

Sub, és kössz!..

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Sziasztok!
Én lehet, hogy találltam még egy azonosságot (ráadásul ez a szlovák verzióban is így van) mégpedig a törzsben a leiratkozó link formája: http://le.[random domain]/ub.php?[akármi]
Én erre csináltam egy szűrőt sa-nak, és azóta elvétve napi 2 max ami beesik ebből a fajtából.
Persze lehet, hogy nem ugyanarról beszélünk.

+1 erre a pluginre! 1:1-ben megoldja a topicnyito problema(ja)t.

Jo cucc, koszi! :)

Köszi!

+1 THX, human! (Szentinek. (blush) )

Napi friss vegyélmegmindent IP címek:
95.154.237.58:group.hphimexco.com
95.154.237.107:horn.poltokholunga.com
95.154.237.108:wrestle.yazdarzan.com
95.154.237.116:poorhouse.whatacoin.com
95.154.237.118:light.candevelops.com
95.154.237.119:squeamish.afrapay.com
95.154.237.120:join.bollycakes.com
95.154.237.128:airport.behbama.com
95.154.237.129:quaint.lequsa.com
95.154.237.130:donkey.sharekaropk.com
95.154.237.131:suet.schoolgharbd.com
95.154.237.133:listen.hipporo.com
95.154.237.135:awoke.velayatfaqih.com
95.154.237.136:release.ezgyaan.com
95.154.237.137:event.instapisos.com
95.154.237.138:tense.techitalks.com
95.154.237.145:memorize.daltano.com
95.154.237.149:blush.sharepointsteve.com
95.154.237.152:rub.neshaaneh.com
95.154.237.153:flawless.ximaphamminh.com

Miért nem használod az ajánlott tiltási módszert?
Egyszerűen szűrhető az összes. Legalább két konkrét megoldást is találsz.
Hokuszpk assphez is megcsinálta a szűrőt.

Mint már említettem volt oka van neki....
(Egy csapdázó postafiókon ugyebár nem igazán célszerű helyből eldobni a levelet)

meg igazából ez egy bug a spammernél, hogy ugyanoda mutat vissza a domain

bar nagyon nemvagyok buszke a kodra, mert anno ezt a kis kutyut meg valamikor tavaly a zipben jovo szemet ellen, -- amikor meguntam, hogy az assp magatol tobbet dob el, mint amennyit a virusirto felismer -- szereltem ossze, azota meg csak 'hekkeljuk bele ezt. meg azt es meg amaztis' modon bovult, ( pl. kiszuri a 'Receved' sorban 'localhost ([23' stringet tartalmazo de kesobb mar inkabb a 'localhost' utan nem '([127.' -ot tartalmazo leveleket. vietnamiak kapjak be... ) kisse atlathatatlan, optimalizalatlan, raadasul bedrotozott pathokat tartalmaz, ini nincs, - pl. ha valakit kivetellistara kell tenni, akkor ujraforditom az egeszet - szoval ha valakinek ennek ellenere ingerenciaja van, akkor szivesen odaadom, amugymeg tervezem, hogy a ket unnep kozott ujrairom aztan adom oda :)

--
HUP te Zsiga !

Akkor én is ide teszem a listámat.
Amivel neked is problémád van, az azok a VM szolgáltatók, ahol api -n keresztül lehet gépet csinálni és hozzá DNS rekordot felvenni.
Általában az történik, hogy ezeket a spamer hostokat valamilyen scriptelt megoldás létrehozza, beállítja, megcsinálja a DNS bejegyzéseket, DKIM -et stb, majd a host kiküldi a leveleket. Ez után a host és a DNS bejegyzés végérvényesen megszűnik, azokat többé nem használják.
A SPAM detektálását nehezíti, hogy akár egy terítésen belül is változatos nyelvezettel árulják ugyan azt (a locsoló csőtől az orosz tengeralattjáróig kb mindent)

Link a listára: https://pastebin.com/Ly7xRKpk

----
올드보이

hat ami ezektol jon, azt nem kell csapdazni, nyugodtan eldobhato.
nemismerem a konfigodat, SA peruser konfig nem jatszik ?
a csapdacimeken leveheted 0 -ra a pontokat, hogy meglegyen a lelkibeke, a normal userek meg megszabadulnak ettol a szemettol.

--
HUP te Zsiga !

[Feliratkozás]

---
Lehet, hogy kívül szőke vagyok, de belül sötét, oké?!

Napi friss: 70.36.99.32/27

Lehet jobban járnátok a korábban közzétett multi-dnsbl -es szolúcióval és néhány jólirányzott SpamAssassin szabállyal, mint naponta kicsapni valamilyen tartományt.

Csapdázó postafiókon/szerveren szerintem nem kapcsolom be ezeket a szűrő funkciókat...
Pont azért van ugyebár, hogy ezeket a mókás dolgokat megfogja.... szerintem :D

Akkor további kellemes csapdázást. :)

64.56.69.162 - 64.56.69.190
64.56.69.194 - 64.56.69.222
64.56.69.226 - 64.56.69.254

70.36.125.2 - 70.36.125.30

5.133.183.157
5.133.183.158
5.133.183.159
5.133.183.160/27
5.133.183.42

Van még? Hogy rohadna meg... 2017-ben miért gondolja valaki, hogy ez a "hirdetési" forma hatékony?!..

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Pár naponta veszegeti tizenhuszasával a VPS-eket mindig másik szolgáltatónál.
Persze 1-2 napon belül el is dobja őket mert RBL listákra kerül instant.
Ördögi kör.... :D

Khm: "Lehet jobban járnátok a korábban közzétett multi-dnsbl -es szolúcióval és néhány jólirányzott SpamAssassin szabállyal, mint naponta kicsapni valamilyen tartományt."

+1
A másik szál is megoldódott mikor kiderült, hogy csak az URIBL_BLOCKED miatt jöttek át SA-n a SPAM-ek.

sub