2012
08.30

Aktuell viele neue IPs aus Deutschland die versuchen zu relayen oder zu spamen

Seit ca. 23 Uhr sind die Reports an Deutsche Provider für den Attacken-Typ „mail“ stark angestiegen:
Zwischen 29.08.2012 23:00:00 +0200 und 23:59:59 +0200 haben wir 115 Reports an die folgenden deutschen Provider (zumindest in DE vertreten) gesendet:

arcor-ip.de (Vodafone)
kabelbw.com (Kabel BW)
unitymedia.de
versatel.de
t-ipnet.de (Telekom)
kabeldeutschland.de
telefonica.de
o2.com

Da scheint es wohl einen neuen Spam-Run zu geben oder es haben sich vermehrt deutsche Nutzer infiziert. Dies sieht man auch in den monatlichen Statistiken wo Deutschland auf Platz 3 rangiert.

Die monatlichen Statistiken sind immer nur vom aktuellen Monat und nicht wie die Statistiken vom gesamten Zeitraum.

 

-google-ads-
2012
08.15

Am 14.08.2012 ist die Anzahl der Reports und Attacken des Service MAIL (Filter auf z.B.: unknown User; relay access denied; Reject durch RBL’s, Spam…) massiv angestiegen:

 

Die Anzahl kommt nicht von einem Server, sondern es sind durchweg alle Server betroffen, die Mail-Attacken reporten.

Dabei fällt auf, das sehr viele IP-Adressen auf blocklist.de vorher noch nicht aufgefallen sind. Diese aber schon bei Spamhaus.org und anderen RBLs gelistet sind:

Aug 15 16:18:22 s30-ffm-r02 postfix/smtpd[26117]: NOQUEUE: reject: 
RCPT from unknown[79.126.234.115]: 554 5.7.1 Service unavailable; Client 
host [79.126.234.115] blocked using sbl-xbl.spamhaus.org; http://www.spamhaus.org/query/bl?ip=79.126.234.115; 
from=<x> to=<x> proto=ESMTP helo=<[79.126.234.115]>

Ebenso sind sehr viele relay-Versuche auf allen Server dabei, die meist von IP-Adressen aus dem gleichen geographischen Raum kommen:

Aug 15 16:19:30 rodney postfix/smtpd[16226]: NOQUEUE: reject: RCPT 
from 178-190-240-25.adsl.highway.telekom.at[178.190.240.25]: 
554 5.7.1 <x>: Relay access denied; from=<x> to=<x> proto=ESMTP helo=<[178.190.240.25]>

Dies hat das Research-Team von eleven auch am Montag festgestellt:

https://twitter.com/elevensecurity/status/234945277348413440

 

-google-ads-
2012
08.09

Spam (Black-Hat SEO?) for Mr Skin on flickr.com [updated]

We have over 3500 URLs to flickr.com which are posted in our Honeypot-Sites like this url:

http://www.flickr.com/people/83767546@N06/

On the site there is a Link with a Picture of a Video-Player to different Sites:

  • http://kankretniy-4.net/go.php?q=katrina+kaif+naked
  • http://kankretniy-6.net/go.php?q=kristy+swanson+playboy
  • http://kankretniy-3.net/go.php?q=kari+byron+nude
  • http://kankretniy-4.net/go.php?q=olivia+wilde+naked

 

The most Links redirect to http://tour.mrskin.com/kristy-swanson-c1016.html?nats=*** , http://galleries.mrskin.com/stacey-dash-g118.html?nats=*** and with other different Names from celebrity people with the Word „naked“.

 

 

We have informed flickr.com over the contact site and them the list with all urls:

https://www.blocklist.de/downloads/urls/www.flickr.com.txt 

 

[UPDATE 14.08.2012]

flickr.com has disabled all Sites/Accounts which are listen in the text file.

Thank you!

-google-ads-
Translate »