2011
03.24

Wir wurden von einem User angemailt, das wir für sein Netzwerk die falsche Abuse-Adresse verwenden.
Zu der IP im Betreff, wurde die korrekte abuse-mailbox-Adresse verwendet.
Erst nach mehreren Rückfragen, konnten wir dann feststellen welches Netz er meinte, da die sonst genannten IP-Adressen und deren Reports alle die korrekte abuse-mailbox aus dem Whois verwendet hatten.

Wir haben Ihm dann mitgeteilt, das wir nur für Empfänger-Adressen oder AS-Nummern die Adressen umschreiben oder die Reports blockieren können.
Darauf hin lies er uns drei AS-Nummern von drei großen Hoster zukommen und hat uns doch gebeten für diese die Reports zu deaktivieren.

.
nenenenenen 😐

-google-ads-
2011
03.14

Da wir ab und zu Rückmeldungen erhalten, das z.B. die Bezeichnung „dDOS“ bei einer einzelnen IP-Adresse falsch ist, hier einmal eine kurze Erklärung warum die Bezeichnung richtig ist:

ApacheDDOS:


Auf eine einzelne Domain oder IP-Adresse greifen sehr viele unterschiedliche IP-Adressen (dDOS) zu. Diese werden mit Fail2Ban über bestimmte Merkmale wie bestimmte UserAgent (Firefox 1.x, 2.x) oder bestimmte URL-Aufrufe: domain.tld/datei-gibts-nicht.txt ermittelt und gesperrt.
Diese werden dann von uns nach mehr als (default) 4 Aufrufe reportet.
Aus der Sicht des Empfängers der Reports, sieht es nach einem DOS aus (da ja nur eine IP gemeldet wurde). Aus der Sicht der betroffenen Server, ist es natürlich ein DDOS.

Liebe Empfänger von einem ApacheDDOS-Report: bitte prüft die Clients, da diese mit einem Trojaner infiziert und Teil eines Bot-Netzes sind.

 

enter

enter

enter

BadBots:


Dies sind IP-Adressen, welche auf Honeypot-Foren, Honeypot-Wikis oder Honeypot-Domains mit Gästebücher oder Kommentar-Funktion Einträge erstellen, welche andere URL’s (buy Viagra….) bespammen.
Hier werden viele Kommentare manuell über VPN-Dienstleister vorgenommen.
Und ja, ein Kommentar in einem Blog mit z.B.:
[url=http://www.tramadol2011.co.cc]morphine tramadol dosage equivalent[/url]
[url=http://www.tramadol2011.co.cc/link/tramadol/1_pharma.html][img:61396c6b8b]http://www.tramadol2011.co.cc/img0/tramadol/1_pharma.png[/img:61396c6b8b][/url]

[url=http://www.tramadol2011.co.cc/link/tramadol/2_pharma.html][img:61396c6b8b]http://www.tramadol2011.co.cc/img0/tramadol/2_pharma.png[/img:61396c6b8b][/url]

[url=http://www.tramadol2011.co.cc/link/tramadol/3_pharma.html][img:61396c6b8b]http://www.tramadol2011.co.cc/img0/tramadol/3_pharma.png[/img:61396c6b8b][/url]

Ist genauso schlimm wie SPAM!

 

enter

enter

enter

postfix:


Dies sind hauptsächliche Meldungen durch bereits mehrfache 5xx-Meldungen.
Wenn ein Mailserver harte Fehler wie z.B. folgenden nicht versteht, ist dieser falsch konfiguriert oder ein Bot:
Mar 13 10:14:03 server5 postfix/smtpd[27364]: NOQUEUE: reject: RCPT from unknown[211.147.3.74]: 554 5.7.1 Service unavailable; Client host [211.147.3.74] blocked using xbl.spamhaus.org; http://www.spamhaus.org/query/bl?ip=211.147.3.74; from=<anwalttzv @gmx.de> to=<info@domain.tld> proto=SMTP helo=<gmx.de>
Und auch wenn dadurch die Annahme der Spammail unterbunden wurde, ist der PC/Server trotzdem infiziert und sendet an einen anderen Server, welcher nicht spamhaus.org einsetzt eine Spammail!

 

enter

enter

enter

regbot:


Sind IP-Adressen, welche sich automatisiert (Bot halt) bei einigen Honeypot-Foren registrieren.

Auf den Seiten steht in h2 geschrieben, das alle Registrierungen und Postings reported werden. Die meisten IP-Adressen sind auch auf http://stopforumspam.com gelistet und werden an SFS weitergeben.

-google-ads-
2011
03.02

Aktuell haben wir 128 User, welche insgesamt 184 Server eingetragen haben.

Diese wiederum haben bisher mehr als 632.100 Angriffe gemeldet, wodurch 397.141 Reports generiert wurden.

Der Server von blocklist.de empfängt täglich zwischen 13.000 und 18.000 Mails von den Server, welche beim Projekt teilnehmen.

Der http-Traffic beläuft sich täglich auf fast 2GB (ohne die Listen). Der komplette Traffic mit Export-Listen und RBLDNS beträgt 8GB (das Forum ist darin nicht enthalten).

-google-ads-
Translate »