2012
06.29

After the last notice to myspace.net, dailybooth and other sites, only myspace.net answers on a twitter post with a template to the help site. The abused Sites are online away ­čÖü

quizilla has answer us and asked for the Usernames of the Accounts which has created the URLs. In the URLs there stand no username, but on the site. So we have build a crawler-Script which gets from the site the username. From over 65.000 urls are generated from ~2.000 accounts.

Now we send a new list to www.formspring.me with over 106624 urls.

There site was abused for first-load movie-affiliate links:

 

And when you scroll down, you see a lot of keywords to find the links on the „good“ site formspring.me to follow it to the bad site.

The complete list of abused urls on www.formspring.me is available on

https://www.blocklist.de/downloads/urls/www.formspring.me.txt

 

We have informed formspring.me over twitter and contact-form on the same time we set the article online.

 

If you have a same service (blogs, forums, portal-sites) who user can create there own site/content, contact us, we can look for your domain in our database on over 11,231,555 entrys.

-google-ads-
2012
06.20

Wir haben soeben over-blog.com dar├╝ber informiert, das wir ├╝ber 19.130 URLs zu Ihren Blog-System haben, welche von Spamern f├╝r Viagra-/Pillen-Spam und Fake-Porno-Seiten benutzt wird.

 

Warnung!!!

Die folgenden Links k├Ânnen Malware und pornographische Inhalte vorhalten!

 

Ein paar Beispiele:

hxxp://siowebtlast.over-blog.com/article-buy-now-coumadin-looto-99633776.html

 

hxxp://propecia-venta-espaawg.over-blog.es/

 

Dazu gibt es auch wieder die Adult-Fake-Seiten, welche zwar Porno-Bilder darstellen, allerdings nur einen Trojaner verlinken.

hxxp://shooshtime-in.over-blog.fr

Dieser Link leitet dann auf:

hxxp://www.google.com/url?q=http%3A%2F%2Fow.ly%2FaSpxk&sa=D&sntz=1&usg=AFQjCNE6FO3USGOI-jrUqTinkRkX8AHzIA

und ├╝ber Google.com dann weiter zu:

hxxp://ow.ly/aSpxk

Diese Seite leitet wieder weiter auf:

hxxp://litewebline.com/9/overblogfr

welche dann auf die End-Fake-Seite umleitet:

http://idujumebaset.etowns.org/tube/index.php

oder auch auf

hxxp://kyyqomuifici.etowns.org/

und andere…..

Bei Virustotal werden diese End-Seiten zum Teil nur von einem Dienst als schlecht angezeigt:

https://www.virustotal.com/url/d9842e76e46ec88cd07ae2b67656319bbf22adce7458f0b8ad86d5641c006eb0/analysis/1340194835/

bzw. die Malware-Dateien werden nur von 9 von 42 Scannern erkannt:

https://www.virustotal.com/file/61fa45a5a936c07ec1e0fc8271d9ea3b23df516bc016608435c59c380cbcd58a/analysis/1340194953/

 

Wir haben das Team von over-blog.com ├╝ber die deutsche Kontakt-Seite erfolgreich dar├╝ber informiert (f├Ąllt dabei gerade auf, das dort der eine Satz nur halb fertig ist) ­čÖé

 

Wir pr├╝fen ab und zu manuell die Eintr├Ąge, ob ein gro├čer Dienst wie z.B. damals opera.com missbraucht werden, bzw. durch eine sehr hohe Anzahl an Eintr├Ągen auf die gleiche URL/Host auffallen und melden dies dann manuell.

Wir hoffen auf  eine Antwort oder wie bei opera.com, das die User deaktiviert und Mechanismen eingebaut werden, damit man die Blogs nicht mehr daüfr missbrauchen kann.

-google-ads-
2012
06.20

Im letzten Newsletter fragten wir, ob jemand ein Logo entwerfen oder g├╝nstige Grafikdesigner kennt.

Alex von the opensource-copany.com hat uns darauf hin eins erstellt.

Dieses ist bereits auf der Webseite, in FaceBook und Twitter online.

Hier auch noch einmal ein recht herzliches Dankesch├Ân!

 

-google-ads-
2012
06.14

Mit dem Reporting von Attacken, hab ich bereits 2007 angefangen und damals dann das ARF-Format genutzt und anstatt den Header oder die Spammail in den Anhang zu packen, hab ich dort die Logfiles eingetragen.

Damit man sieht, wie viele Attacken auf meinen Servern eingehen, habe ich eine Statistik-Seite gebaut, ├Ąhnlich wie die aktuelle:

https://www.blocklist.de/de/statistics.html

Dann kamen irgendwann die ersten Anfragen, ob man die Reports nicht pausieren k├Ânnte oder nur nach dem xten-Angriff erhalten k├Ânnte.

Darauf hab ich die zweite Version gebaut:

 

Dann erst sp├Ąter entstand an einem Wochenende die aktuelle Seite mit Anmelde-, Login- Such- und Statistik-Seite. Nach und nach sind dann die graphischen Statistiken, Whitelist, Replacing usw. dazugekommen.

Am Anfang, haben nur die Arbeitskollegen mitgemacht, aber nach und nach, hat sich blocklist immer mehr verbreitet ­čÖé

Dann entstand X-ARF wo blocklist.de mit gearbeitet und auch als erste mit getestet haben.

Dadurch wurde blocklist auch wieder bekannter. Mittlerweile hat blocklist.de ├╝ber 630 registrierte Server mit ├╝ber 510 User. Die letzten Statistiken sind im Blog ver├Âffentlicht:

https://blog.blocklist.de/2012/05/29/current-stats-of-blocklist-de-user-traffic-mysql-load/

 

Wir arbeiten aktuell daran die Reporting-Software weiter zu optimieren und in komplett OOP umzubauen. Dann wird das Design der Webseite erneuert.

Aktuell belaufen sich die Kosten der Server f├╝r blocklist auf fast 200ÔéČ pro Monat die ich aus privater Tasche bezahle. Diese reichen aufgrund von Optimierungen (apc-Cache, indexes…) noch eine Zeit lang aus ­čÖé

Das blocklist jemals so gro├č wird, h├Ątte ich nicht gedacht ­čÖé

Auf viele weitere User und Attacken, die blocklist.de automatisch wie spamcop.net meldet.

-google-ads-