2012
08.30
Seit ca. 23 Uhr sind die Reports an Deutsche Provider für den Attacken-Typ „mail“ stark angestiegen:
Zwischen 29.08.2012 23:00:00 +0200 und 23:59:59 +0200 haben wir 115 Reports an die folgenden deutschen Provider (zumindest in DE vertreten) gesendet:
arcor-ip.de (Vodafone)
kabelbw.com (Kabel BW)
unitymedia.de
versatel.de
t-ipnet.de (Telekom)
kabeldeutschland.de
telefonica.de
o2.com
Da scheint es wohl einen neuen Spam-Run zu geben oder es haben sich vermehrt deutsche Nutzer infiziert. Dies sieht man auch in den monatlichen Statistiken wo Deutschland auf Platz 3 rangiert.
Die monatlichen Statistiken sind immer nur vom aktuellen Monat und nicht wie die Statistiken vom gesamten Zeitraum.
-google-ads-
2012
08.15
Am 14.08.2012 ist die Anzahl der Reports und Attacken des Service MAIL (Filter auf z.B.: unknown User; relay access denied; Reject durch RBL’s, Spam…) massiv angestiegen:
Die Anzahl kommt nicht von einem Server, sondern es sind durchweg alle Server betroffen, die Mail-Attacken reporten.
Dabei fällt auf, das sehr viele IP-Adressen auf blocklist.de vorher noch nicht aufgefallen sind. Diese aber schon bei Spamhaus.org und anderen RBLs gelistet sind:
Aug 15 16:18:22 s30-ffm-r02 postfix/smtpd[26117]: NOQUEUE: reject:
RCPT from unknown[79.126.234.115]: 554 5.7.1 Service unavailable; Client
host [79.126.234.115] blocked using sbl-xbl.spamhaus.org; http://www.spamhaus.org/query/bl?ip=79.126.234.115;
from=<x> to=<x> proto=ESMTP helo=<[79.126.234.115]>
Ebenso sind sehr viele relay-Versuche auf allen Server dabei, die meist von IP-Adressen aus dem gleichen geographischen Raum kommen:
Aug 15 16:19:30 rodney postfix/smtpd[16226]: NOQUEUE: reject: RCPT
from 178-190-240-25.adsl.highway.telekom.at[178.190.240.25]:
554 5.7.1 <x>: Relay access denied; from=<x> to=<x> proto=ESMTP helo=<[178.190.240.25]>
Dies hat das Research-Team von eleven auch am Montag festgestellt:
https://twitter.com/elevensecurity/status/234945277348413440
-google-ads-
2012
08.09
We have over 3500 URLs to flickr.com which are posted in our Honeypot-Sites like this url:
http://www.flickr.com/people/83767546@N06/
On the site there is a Link with a Picture of a Video-Player to different Sites:
- http://kankretniy-4.net/go.php?q=katrina+kaif+naked
- http://kankretniy-6.net/go.php?q=kristy+swanson+playboy
- http://kankretniy-3.net/go.php?q=kari+byron+nude
- http://kankretniy-4.net/go.php?q=olivia+wilde+naked
The most Links redirect to http://tour.mrskin.com/kristy-swanson-c1016.html?nats=*** , http://galleries.mrskin.com/stacey-dash-g118.html?nats=*** and with other different Names from celebrity people with the Word „naked“.
We have informed flickr.com over the contact site and them the list with all urls:
https://www.blocklist.de/downloads/urls/www.flickr.com.txt
[UPDATE 14.08.2012]
flickr.com has disabled all Sites/Accounts which are listen in the text file.
Thank you!
-google-ads-