Aktuell hat blocklist folgende Zahlen/Statistiken:

User: 402

Server: 503

Angriffe: 11,791,048

Reports: 2,604,820

Tägliche Mails: ~127562

Web-Traffic: ~68 GB

RBL-/API-Traffic: ~190 GB

Mail (In/Out)-Traffic: ~21 GB (weniger geworden)

Dazu kommen dann noch einmal ungefähr 30GB interner Traffic zwischen dem Mail-/Web- und MySQL-Server.

But there not only Spamlinks in them. A lot of SEO-Spamer use youtube or other Service to push here products.

Here a small list of the last links (http is replaced with hxxp):


hxxp://fastvavice.zaghost.com/art.php?n=244921
hxxp://araproely.4sql.net/art.php?n=703804
hxxp://morbelelen.lhosting.info/art.php?n=173207
hxxp://nanvietenxio.4sql.net/art.php?n=281103
hxxp://comptiharba.zaghost.com/art.php?n=996271
hxxp://nighwatbepe.0fees.net/art.php?n=107081
hxxp://gasdocone.netfast.org/art.php?n=686851
hxxp://www.qubmovies.com/images/cache/cover_image_277134.jpg[/img:d97c04d7ac
hxxp://www.qubmovies.com/images/cache/cover_image_267814.jpg[/img:d97c04d7ac
hxxp://www.qubmovies.com/images/cache/cover_image_448920.jpg[/img:d97c04d7ac
hxxp://www.qubmovies.com/images/cache/cover_image_3371.jpg[/img:d97c04d7ac
hxxp://www.qubmovies.com/images/cache/cover_image_360905.jpg[/img:d97c04d7ac
hxxp://www.suprafootwearusmall.com/supra-skytop-men-shoes-silver-black-skyblue-p-132.html
hxxp://www.suprafootwearusmall.com/supra-society-men-shoes-black-medium-blue-p-191.html
hxxp://foros.hispavista.com/cine/4/1225623/m/ebook-a-tapestry-of-orbits-do
hxxp://zygepobu.tm.pl/f-tapeta-świąteczna-htc-za-darmo.php
hxxp://pemysyfy.travel.pl/file,wsip,żeglarze,i,żywioły,bez,limitu.php
hxxp://pemysyfy.travel.pl/file,nowe,już,w,szkole,testy,chomikuj,bez,limitu.php
hxxp://www.burberry4salejp.org/%E3%83%90%E3%83%BC%E3
hxxp://www.burberryblackmarket.com/%E3%83%90
hxxp://www.discounthandbag-online.com/louis-vuitton
hxxp://www.youtube.com/watch?v=Ax8h5sNLoxI#240
hxxp://www.suprasforcheap.com/supra-051-mens-whole-black-p-299.html
hxxp://www.monsterbeats-online.com/pro
hxxp://pemysyfy.travel.pl/file,kolędy,instrumentalnie,pobierz,bez,limitu.php
hxxp://pemysyfy.travel.pl/file,antena,zewnętrzna,do,play,e353,bez,limitu.php
hxxp://pemysyfy.travel.pl/file,tatuaże,najseksowniejse,bez,limitu.php
hxxp://zygepobu.tm.pl/f-zmierz-przed-świtem-cz1-torrent-chomikuj-za-darmo.php
hxxp://www.myspace.com/waht-is-tramadol/blog/545328823#458
hxxp://www.myspace.com/waht-is-tramadol/blog/545328818#966
hxxp://www.myspace.com/waht-is-tramadol/blog/545328815#966
hxxp://www.myspace.com/waht-is-tramadol/blog/545328814#227
hxxp://www.myspace.com/waht-is-tramadol/blog/545328809#340
hxxp://www.myspace.com/waht-is-tramadol/blog/545328807#111
hxxp://www.myspace.com/waht-is-tramadol/blog/545328803#854
hxxp://www.myspace.com/waht-is-tramadol/blog/545328801#186
hxxp://www.myspace.com/waht-is-tramadol/blog/545328794#919
hxxp://www.myspace.com/waht-is-tramadol/blog/545328792#866
hxxp://www.myspace.com/waht-is-tramadol/blog/545328823#069
hxxp://www.myspace.com/waht-is-tramadol/blog/545328818#108
hxxp://www.myspace.com/waht-is-tramadol/blog/545328815#275
hxxp://www.myspace.com/waht-is-tramadol/blog/545328814#238
hxxp://www.myspace.com/waht-is-tramadol/blog/545328809#260
hxxp://www.myspace.com/waht-is-tramadol/blog/545328807#255
hxxp://www.myspace.com/waht-is-tramadol/blog/545328803#953
hxxp://www.myspace.com/waht-is-tramadol/blog/545328801#175
hxxp://www.myspace.com/waht-is-tramadol/blog/545328794#891
hxxp://www.myspace.com/waht-is-tramadol/blog/545328792#218
hxxp://forum.jigsaw-website.com/viewtopic.php?f=5&t=103909
hxxp://www.jaispolka.opole.pl/egzotyczne-wyprawy-w-nieznane.html

You can see, that there are listen myspace.com and yes, on there, there a posting with an image and a link to buy “Tramadol”

The Spamer abused big/free Services/Blogs again and again to send there spam advertising:

Abuse the about-me Sites from opera.com

Comment:

iexjtxpseqsftt, <a href="httxp://cultureandagriculture.org/" rel="nofollow">Viagra levitra compared</a>, WGgIgei.

Today (19.02.2012 +0100) we received 160 Posts. But there are only from the some IP-Addresses:

• 68.169.86.220 (NXDOMAIN) | ISPRIME; (USA, AS23393)

• 68.169.86.222 (NXDOMAIN) | ISPRIME; (USA, AS23393)

• 96.44.143.234 (96.44.143.234.static.quadranet.com.) | OC3 Networks & Web Solutions, LLC; (USA, AS29761)

• 216.45.48.210 (216.45.48.210.static.quadranet.com.) | OC3 Networks & Web Solutions, LLC; (USA, AS29761)

• 173.44.37.250 (tiger.xtom.com.) | IPTelligent LLC; (USA, AS8100)

• 173.44.37.242 (tiger.xtom.com.) | IPTelligent LLC; (USA, AS8100)

We are now looking for more old Domains to create more WordPress Honeypots.

If you have an old, not used WordPress or Domain, please contact us.

Nach IP-Adressen sortiert (unique):

1. 42486 IN
2. 21923 BR
3. 18550 ID
4. 18299 PK
5. 16819 RU
6. 14573 VN
7. 9621 CN
8. 9015 BY
9. 7919 KR
10. 7569 PL

Sortiert nach Anzahl der Angriffe:

1. 609167 US
2. 318654 CN
3. 217832 RU
4. 174484 DE
5. 167604 UA
6. 95454 CZ
7. 76311 GB
8. 51964 IN
9. 45674 PL
10. 34679 BR

Nach IP-Adressen sortiert (unique):

1. 35900 IN
2. 24968 BR
3. 17846 VN
4. 17341 RU
5. 14970 PK
6. 13883 ID
7. 12689 CN
8. 9444 BY
9. 9295 KR
10. 7730 UA

Sortiert nach Anzahl der Angriffe:

1. 401842 CN
2. 326062 US
3. 214859 RU
4. 167848 UA
5. 148064 DE
6. 69498 CZ
7. 43156 IN
8. 39568 KR
9. 38688 BR
10. 32829 GB

The Attacks comes in the last few Days from the same IP-Addresses, so we dont send new Reports. Only all 24 hours.

The result of this is, the Attacks increased again and again, but the Reports are consistent.

As well, the SEO-Spamer used more and more VPN-Services without Logs (perfect privacy) or tor-nodes:

Error-Message:

IP xxx.xxx.240.10 ist PROXY: Globale Whitelist: vpn perfect privacy

Nach IP-Adressen sortiert (unique):

1. 49783 BR
2. 44009 IN
3. 35928 PK
4. 23554 ID
5. 15894 VN
6. 15656 RU
7. 7315 UA
8. 7253 KR
9. 7116 CN
10. 6055 RO

Sortiert nach Anzahl der Angriffe:

1. 262521 US
2. 161297 CN
3. 124996 RU
4. 117225 CZ
5. 100868 UA
6. 78448 BR
7. 60512 IN
8. 56457 ID
9. 41721 PK

He used on mass VPN-Service and TOR-Exit-Servers.

One of the VPN-Servers are in the Whitelist, because he hase no Logs, but he stopped the Spamer or he ends self, after a day.

We are looking for unused WordPress-Installations for new Honeypots. If you installed a WordPress with a lot of Spam, please contact us.

X-ARF-Repors sind als erstes einmal nur normale E-Mails.
Einen X-ARF-Report erkennt man im Header an dem Tag:
X-Arf: yes

Dann kann man anfangen die Mail zu parsen, also Attachment 1 und 2 laden.
Der eigentliche Report ist im ersten Anhang als Yaml-Dokument und kann mit verschiedenen Yaml-Parsern eingelesen werden oder einfach Zeilenweise…

Da erhält man dann alle Daten. Wichtig ist dann das JSON-Schema von dem Key “schema-url” geladen und dann gecached wird.
Gehen wir wieder von einer SSH-Attacke aus, so ist das Schema z.B. hier abgebildet:
http://www.x-arf.org/schema/abuse_login-attack_0.1.2.json

Man liest dieses dann z.B. über php als Array ein. Dann kann man prüfen alles was im Schema nicht als “optional” gekennzeichnet ist, ist Pflicht (den Rest mit optional verwerfen wir, falls wir ihn nicht brauchen).

Es gibt im Yaml-Report den Key “report-type”, “category” usw. Sollte ein Feld nicht im Report sein, kann man entscheiden ob man den Report verwirft, manuell verarbeitet oder ob der Wert überhaupt benötigt wird.
Als Teamleiter von einem Abuse-Team, ist es für uns nicht wichtig, ob die Version des X-ARF-Generators enthalten ist oder das Angriffs-Ziel (sieht bei Nat/Proxy anders aus).

Wenn nun alles geprüft wurde (bei dem PHP-Xarf-Parser kann dies mit $parsexarf->checkreport($typ, $report) durchgeführt werden…. $typ kann man auch entfernen), kann man dann die Daten mit $parsexarf->data durchgehen und verarbeiten.

Hier einmal noch kurz anhand des Skripts von mir:

http://www.blocklist.de/downloads/validatexarf-php.tar.gz

$parsexarf = new parsexarf($config);
$mail = $parsexarf->getmails();

Wir erstellen ein neues Object übergeben dabei die Config-Daten (Postfach, Zugangsdaten usw…)
Dann laden wir mit $parsexarf->getmails(); alle Mails.


foreach($mail as $key => $value)
{
# Check Structru from Mail.
if($parsexarf->checkstructur('x-arf', $value) == 0)
{
# Check Yaml-Report (checkreport($typ, $report))
if($parsexarf->checkreport('x-arf', $value['report']) == 0)
{
$text = $value['all']->subject'

';
$errormsg = '
Good, NO Error!
';
echo $errormsg;
echo $text;
}

diese gehen wir dann in der Schleife durch und prüfen jede einzelne Mail.
Man kann dies natürlich bei $object->getmails() anpassen, das z.B. nur Mails mit bestimmten Absendern usw. geholt werden.

Dann wird mit:
if($parsexarf->checkstructur('x-arf', $value) == 0)
geprüft, ob die Structur der Mail ein X-ARF-Report ist (wenn nicht 0, kein X-ARF).
Da x-ARF und ARF fast gleich sind, kann man dies beim Typ noch übergeben, das man x-arf und arf in einem macht…..
Wenn also x-arf-Report, dann prüfen wir den Yaml-Report:
if($parsexarf->checkreport('x-arf', $value['report']) == 0)
Wenn keine 0 zurück gegeben wird, ist ein Fehler aufgetreten. Hier könnte man auch mit Exeptions arbeiten, oder dann die Fehler über $parsexarf->data durchgehen.

Die ist nur ein Beispiel dafür. Es ist relativ einfach X-Arf Reports zu verarbeiten.
Man hat dazu dann die Möglichkeit ein sehr feines Scoring zu setzten:

Reported-From Ergibt je nach Versender schon mal 200 Punkte

Category gibt für SSH 500, für mail 100 usw.

Report-Type für login-attack 200, für malware 500

usw. Damit kann man dann die IP automatisch sperren, das Abuse-Team informieren oder oder…..

Somit kann man z.B. automatisch die Reports an die entsprechenden Kunden/Reseller weiterleiten, falls die IP nicht aus dem eigenen Netz/Benutzung ist.

Dies ist jetzt relativ viel Text. Am einfachsten Ihr schaut euch einfach mal die Tools von X-ARF.org an:
http://www.x-arf.org/tools.html
und testet dann mit den Beispiel-Reports eure Skripte.

Bei Fragen, könnt Ihr euch gerne an xarf.org oder blocklist.de wenden.

Download: http://www.blocklist.de/downloads/validatexarf-php.tar.gz

Dazu kommt ein Gerücht, das die verwendeten Honeypots keine Reports generieren, wenn man in diese Foren nur alle 2 Stunden einen Beitrag schreibt

Wenn die Spamer sich mal die Seite von www.blocklist.de durchlesen würden, würden sie wissen, das ein Report nur erstellt wird, wenn der letzte über 24 Stunden her ist.

Mein Tipp an euch “SEO”-Money-Maker. Verwendet keine Domains von *.blocklist.de wie in der Sperrliste von xrchat LOL!!!