03.14
Da wir ab und zu Rückmeldungen erhalten, das z.B. die Bezeichnung „dDOS“ bei einer einzelnen IP-Adresse falsch ist, hier einmal eine kurze Erklärung warum die Bezeichnung richtig ist:
ApacheDDOS:
Auf eine einzelne Domain oder IP-Adresse greifen sehr viele unterschiedliche IP-Adressen (dDOS) zu. Diese werden mit Fail2Ban über bestimmte Merkmale wie bestimmte UserAgent (Firefox 1.x, 2.x) oder bestimmte URL-Aufrufe: domain.tld/datei-gibts-nicht.txt ermittelt und gesperrt.
Diese werden dann von uns nach mehr als (default) 4 Aufrufe reportet.
Aus der Sicht des Empfängers der Reports, sieht es nach einem DOS aus (da ja nur eine IP gemeldet wurde). Aus der Sicht der betroffenen Server, ist es natürlich ein DDOS.
Liebe Empfänger von einem ApacheDDOS-Report: bitte prüft die Clients, da diese mit einem Trojaner infiziert und Teil eines Bot-Netzes sind.
enter
enter
enter
BadBots:
Dies sind IP-Adressen, welche auf Honeypot-Foren, Honeypot-Wikis oder Honeypot-Domains mit Gästebücher oder Kommentar-Funktion Einträge erstellen, welche andere URL’s (buy Viagra….) bespammen.
Hier werden viele Kommentare manuell über VPN-Dienstleister vorgenommen.
Und ja, ein Kommentar in einem Blog mit z.B.:
[url=http://www.tramadol2011.co.cc]morphine tramadol dosage equivalent[/url]
[url=http://www.tramadol2011.co.cc/link/tramadol/1_pharma.html][img:61396c6b8b]http://www.tramadol2011.co.cc/img0/tramadol/1_pharma.png[/img:61396c6b8b][/url]
[url=http://www.tramadol2011.co.cc/link/tramadol/2_pharma.html][img:61396c6b8b]http://www.tramadol2011.co.cc/img0/tramadol/2_pharma.png[/img:61396c6b8b][/url]
[url=http://www.tramadol2011.co.cc/link/tramadol/3_pharma.html][img:61396c6b8b]http://www.tramadol2011.co.cc/img0/tramadol/3_pharma.png[/img:61396c6b8b][/url]
Ist genauso schlimm wie SPAM!
enter
enter
enter
postfix:
Dies sind hauptsächliche Meldungen durch bereits mehrfache 5xx-Meldungen.
Wenn ein Mailserver harte Fehler wie z.B. folgenden nicht versteht, ist dieser falsch konfiguriert oder ein Bot:
Mar 13 10:14:03 server5 postfix/smtpd[27364]: NOQUEUE: reject: RCPT from unknown[211.147.3.74]: 554 5.7.1 Service unavailable; Client host [211.147.3.74] blocked using xbl.spamhaus.org; http://www.spamhaus.org/query/bl?ip=211.147.3.74; from=<anwalttzv @gmx.de> to=<info@domain.tld> proto=SMTP helo=<gmx.de>
Und auch wenn dadurch die Annahme der Spammail unterbunden wurde, ist der PC/Server trotzdem infiziert und sendet an einen anderen Server, welcher nicht spamhaus.org einsetzt eine Spammail!
enter
enter
enter
regbot:
Sind IP-Adressen, welche sich automatisiert (Bot halt) bei einigen Honeypot-Foren registrieren.
Auf den Seiten steht in h2 geschrieben, das alle Registrierungen und Postings reported werden. Die meisten IP-Adressen sind auch auf http://stopforumspam.com gelistet und werden an SFS weitergeben.
Und wo ist der Rest ;p
[…] sites. He used xrumer or other Tools or had a false configured mod_rewrite/mod_proxy who is abused: http://blog.blocklist.de/2011/03/14/…stfix/#badbots Please check the machine behind the IP ********** (***********.rdns.ubiquityservers.com) and fix […]
[…] He used xrumer or other Tools or had a false configured mod_rewrite/mod_proxy who is abused: http://blog.blocklist.de/2011/03/14/…stfix/#regbots If the IP is a Tor-Server: http://blog.blocklist.de/tor-server-owner/ Please check the machine […]
[…] The IP has send a SPAM-Comment on a Honeypot-Forum or Honeypot-Wiki with URLs to e.g. buy ****** or link to other spamvertised sites. He used xrumer or other Tools or had a false configured mod_rewrite/mod_proxy who is abused: http://blog.blocklist.de/2011/03/14/…stfix/#badbots […]