Fail2Ban Reporting Service

Since this Weekend the Spamer/Attackers use a lot of new IP-Addresses which are not seen befor by blocklist.de.

In the last Days, we have send the following numbers of Reports for NEW IP-Addresses:

• 28.02.2012 00:00 – 18:50 +0100

1673

• 27.02.2012 00:00 – 23:59 +0100

2254

• 26.02.2012 00:00 – 23:59 +0100

1790

• 25.02.2012 00:00 – 23:59 +0100

1987

The Attacks with new IP-Addresses comes on all Types of Attacks (SSH, imap, Mail, RFI….).

This numbers are unique new ip-addresses which was not seen on blocklist since over two years ago.

The Count of RFI-Attacks is increased too, after a few month of zero rfi-attacks.

Die Domain exetel.de ist aktuell nicht mehr zu erreichen und leitet auf die Transit-Seite der Denic weiter. Laut Whois wurde diese zuletzt am 07.02.2012 aktualisiert:

Die IP-Adressen von exetel.de sind bei dem Provider optimate-Server.de delegiert, welcher mit xsserver.eu und selbst mit optimate-server.de schon als seo-Spamer aufgefallen ist:

https://www.blocklist.de/de/search.html?as=197043

Das also der „Provider“ hinter exetel.de noch Kunden hat, ist unwahrscheinlich. Meiner Meinung nach sieht es mehr als Fake aus, das über Fake-Daten der Reseller erstellt wurde um die Schuld weiter zu geben. Dies ist nur meine Meinung!  Man müsste natürlich noch prüfen ob die Telefonnummer und Daten korrekt sind. Wobei die Faxnummer +1.5555555555 nicht gültig erscheint…..

Aktuell sind bei dem Provider optimate-server.de wegen andere Fälle bereits Ermittlungen [1] [2] am laufen. Evtl. wird dadurch ja festgestellt, ob z.B. auch exetel.de korrekt als Reseller arbeitet oder doch mehr dahinter ist.

Ich finde es Schade, das es in Deutschland so viele schwarze Schafe gibt, welche den Spamversand oder den Versand von Phishing-Mails erst nach über eine Woche unterbinden oder eben gar nichts unternehmen.

Wenigstens können die User von blocklist.de sich vor den angreifenden Systemen mit den Blacklisten schützen.

.

[Update: 15.03.2012]

Aktuell ist die Domain wieder aus dem Transit und erreichbar, zeigt aber auf eine default-Site von Namedrive.

Mal schauen wie es weiter geht.

.

[1] http://www.lvz-online.de/leipzig/polizeiticker/polizeiticker-mitteldeutschland/weitere-razzia-im-fall-kinoto-betreiber-des-filmportals-skyloadnet-in-sachsen-festgenommen/r-polizeiticker-mitteldeutschland-a-126233.html

[2] http://www.bild.de/regional/leipzig/kino-to/kino-to-verfahren-zwei-weitere-festnahmen-22693194.bild.html

Heute haben wir von einem User SSH-Attacken per Mail erhalten, welche vom Juni 2011 waren. Der Server, konnte die Mails nicht versenden und hat diese aber auch nicht gebounced. Nachdem dies vom Betreiber gefixt wurde, haben wir mehrere hundert (fast 2.000) SSH-Attacken erhalten.

Da bei den SSH-Logs kein Jahr enthalten ist, gehen wir vom aktuellen Jahr aus. Beim Reporting, prüfen wir ob die Attacke selbst nicht älter als 3 Tage ist, da dann eigentlich ein normaler Provider bereits das Problem gefixt hat und somit ein Report unnötig ist.

Da allerdings z.b. der 17.07.2012 nicht in der Vergangenheit, sondern in der Zukunft liegt, hat unsere Prüfung auf das Alter nicht angeschlagen und der Report wurde versendet.

Wir haben heute daher noch eine weitere Prüfung eingebaut, dass das Datum der Attacke auch nicht mehr als 3 Tage in der Zukunft liegen darf.

Da wir die Zeit aus den Logfiles nutzen, kann je nach Server, wenn dieser nicht synchron ist, die Zeit etwas abweichen. Wir schreiben daher z.B. bei den Mail-Reports die Zeit noch mit rein, wann wir die Attacke erhalten haben.

An alle, die heute die alten Reports erhalten haben: Bitte entschuldigen Sie

Es wurden bereits einige User gelöscht, wo die E-Mailadresse 2 Newsletter gebounced hat und wir anders keinen Kontakt herstellen konnten.

Aktuell hat blocklist folgende Zahlen/Statistiken:

User: 402

Server: 503

Angriffe: 11,791,048

Reports: 2,604,820

Tägliche Mails: ~127562

Web-Traffic: ~68 GB

RBL-/API-Traffic: ~190 GB

Mail (In/Out)-Traffic: ~21 GB (weniger geworden)

Dazu kommen dann noch einmal ungefähr 30GB interner Traffic zwischen dem Mail-/Web- und MySQL-Server.

We have a lot of Honeypot-Systems where about 1,677,458 in one Month posted.
We check the links self and report them, when there are interessting or from a global provider.
If you need the Links/URLs, please contact us, so we can share it with you for analysing or blacklisting. It is free!

But there not only Spamlinks in them. A lot of SEO-Spamer use youtube or other Service to push here products.

Here a small list of the last links (http is replaced with hxxp):


hxxp://fastvavice.zaghost.com/art.php?n=244921
hxxp://araproely.4sql.net/art.php?n=703804
hxxp://morbelelen.lhosting.info/art.php?n=173207
hxxp://nanvietenxio.4sql.net/art.php?n=281103
hxxp://comptiharba.zaghost.com/art.php?n=996271
hxxp://nighwatbepe.0fees.net/art.php?n=107081
hxxp://gasdocone.netfast.org/art.php?n=686851
hxxp://www.qubmovies.com/images/cache/cover_image_277134.jpg[/img:d97c04d7ac
hxxp://www.qubmovies.com/images/cache/cover_image_267814.jpg[/img:d97c04d7ac
hxxp://www.qubmovies.com/images/cache/cover_image_448920.jpg[/img:d97c04d7ac
hxxp://www.qubmovies.com/images/cache/cover_image_3371.jpg[/img:d97c04d7ac
hxxp://www.qubmovies.com/images/cache/cover_image_360905.jpg[/img:d97c04d7ac
hxxp://www.suprafootwearusmall.com/supra-skytop-men-shoes-silver-black-skyblue-p-132.html
hxxp://www.suprafootwearusmall.com/supra-society-men-shoes-black-medium-blue-p-191.html
hxxp://foros.hispavista.com/cine/4/1225623/m/ebook-a-tapestry-of-orbits-do
hxxp://zygepobu.tm.pl/f-tapeta-świąteczna-htc-za-darmo.php
hxxp://pemysyfy.travel.pl/file,wsip,żeglarze,i,żywioły,bez,limitu.php
hxxp://pemysyfy.travel.pl/file,nowe,już,w,szkole,testy,chomikuj,bez,limitu.php
hxxp://www.burberry4salejp.org/%E3%83%90%E3%83%BC%E3
hxxp://www.burberryblackmarket.com/%E3%83%90
hxxp://www.discounthandbag-online.com/louis-vuitton
hxxp://www.youtube.com/watch?v=Ax8h5sNLoxI#240
hxxp://www.suprasforcheap.com/supra-051-mens-whole-black-p-299.html
hxxp://www.monsterbeats-online.com/pro
hxxp://pemysyfy.travel.pl/file,kolędy,instrumentalnie,pobierz,bez,limitu.php
hxxp://pemysyfy.travel.pl/file,antena,zewnętrzna,do,play,e353,bez,limitu.php
hxxp://pemysyfy.travel.pl/file,tatuaże,najseksowniejse,bez,limitu.php
hxxp://zygepobu.tm.pl/f-zmierz-przed-świtem-cz1-torrent-chomikuj-za-darmo.php
hxxp://www.myspace.com/waht-is-tramadol/blog/545328823#458
hxxp://www.myspace.com/waht-is-tramadol/blog/545328818#966
hxxp://www.myspace.com/waht-is-tramadol/blog/545328815#966
hxxp://www.myspace.com/waht-is-tramadol/blog/545328814#227
hxxp://www.myspace.com/waht-is-tramadol/blog/545328809#340
hxxp://www.myspace.com/waht-is-tramadol/blog/545328807#111
hxxp://www.myspace.com/waht-is-tramadol/blog/545328803#854
hxxp://www.myspace.com/waht-is-tramadol/blog/545328801#186
hxxp://www.myspace.com/waht-is-tramadol/blog/545328794#919
hxxp://www.myspace.com/waht-is-tramadol/blog/545328792#866
hxxp://www.myspace.com/waht-is-tramadol/blog/545328823#069
hxxp://www.myspace.com/waht-is-tramadol/blog/545328818#108
hxxp://www.myspace.com/waht-is-tramadol/blog/545328815#275
hxxp://www.myspace.com/waht-is-tramadol/blog/545328814#238
hxxp://www.myspace.com/waht-is-tramadol/blog/545328809#260
hxxp://www.myspace.com/waht-is-tramadol/blog/545328807#255
hxxp://www.myspace.com/waht-is-tramadol/blog/545328803#953
hxxp://www.myspace.com/waht-is-tramadol/blog/545328801#175
hxxp://www.myspace.com/waht-is-tramadol/blog/545328794#891
hxxp://www.myspace.com/waht-is-tramadol/blog/545328792#218
hxxp://forum.jigsaw-website.com/viewtopic.php?f=5&t=103909
hxxp://www.jaispolka.opole.pl/egzotyczne-wyprawy-w-nieznane.html

You can see, that there are listen myspace.com and yes, on there, there a posting with an image and a link to buy „Tramadol“

The Spamer abused big/free Services/Blogs again and again to send there spam advertising:

Abuse the about-me Sites from opera.com

We have set up a new WordPress honeypot in the last days and the Spamer used it to spam into with comments like this:

Comment:

iexjtxpseqsftt, <a href="httxp://cultureandagriculture.org/" rel="nofollow">Viagra levitra compared</a>, WGgIgei.

Today (19.02.2012 +0100) we received 160 Posts. But there are only from the some IP-Addresses:

• 68.169.86.220 (NXDOMAIN) | ISPRIME; (USA, AS23393)

• 68.169.86.222 (NXDOMAIN) | ISPRIME; (USA, AS23393)

• 96.44.143.234 (96.44.143.234.static.quadranet.com.) | OC3 Networks & Web Solutions, LLC; (USA, AS29761)

• 216.45.48.210 (216.45.48.210.static.quadranet.com.) | OC3 Networks & Web Solutions, LLC; (USA, AS29761)

• 173.44.37.250 (tiger.xtom.com.) | IPTelligent LLC; (USA, AS8100)

• 173.44.37.242 (tiger.xtom.com.) | IPTelligent LLC; (USA, AS8100)

We are now looking for more old Domains to create more WordPress Honeypots.

If you have an old, not used WordPress or Domain, please contact us.

In the last Days, the Attacks increased, but the Reports not.

The Attacks comes in the last few Days from the same IP-Addresses, so we dont send new Reports. Only all 24 hours.

The result of this is, the Attacks increased again and again, but the Reports are consistent.

As well, the SEO-Spamer used more and more VPN-Services without Logs (perfect privacy) or tor-nodes:

Error-Message:

IP xxx.xxx.240.10 ist PROXY: Globale Whitelist: vpn perfect privacy

In the last 24 Hours, the SEO-Spamers (RegBot and BadBot) used not only the normal bulletproof-Hoster.

He used on mass VPN-Service and TOR-Exit-Servers.

One of the VPN-Servers are in the Whitelist, because he hase no Logs, but he stopped the Spamer or he ends self, after a day.

We are looking for unused WordPress-Installations for new Honeypots. If you installed a WordPress with a lot of Spam, please contact us.