09.04
Ein Kollege von einem anderen Abuse-Team (BotNetzProvider) hat mich darauf aufmerksam gemacht, das aktuell im Channel #bitcoin auf irc.freenode.org massiv von Bots gespamt wird:
http://botnetzprovider.de/goatse.html
Die Bots schreiben einen per Query an, was dann so aussieht:
Die Links können evtl. gefährlichen Content beinhalten!
Als Text:
23:50 [ypevj066gy(~ypevj066g@46.100.250.110)] \ \_-~ i want my 150 BTC ~-_\ | 1GoatSe6pWoeTXugzofi7QUG3SFskFH2yp
23:50 [ypevj066gy(~ypevj066g@46.100.250.110)] \_ \ _.--------.______\| | http://goo.gl/oTdER
23:50 [ypevj066gy(~ypevj066g@46.100.250.110)] \ \______// _ ___ _ (_(__> \ | http://goo.gl/oTdER
23:50 [ypevj066gy(~ypevj066g@46.100.250.110)] \ . C ___) ______ (_(____> | / http://goo.gl/oTdER
23:50 [ypevj066gy(~ypevj066g@46.100.250.110)] /\ | C ____)/ \ (_____> |_/ http://goo.gl/oTdER
23:50 [ypevj066gy(~ypevj066g@46.100.250.110)] / /\| C_____) | (___> / \ http://goo.gl/oTdER
23:50 [ypevj066gy(~ypevj066g@46.100.250.110)] | ( _C_____)\______/ // / / \ http://goo.gl/oTdER
23:50 [ypevj066gy(~ypevj066g@46.100.250.110)] | \ |__ \\_________// (_/ | this will stop when
23:51 [ypevj066gy(~ypevj066g@46.100.250.110)] | \ \____) `---- --' | pirateat40 pays
23:51 [ypevj066gy(~ypevj066g@46.100.250.110)] | \_ ___\ /_ _/ | or i get my 150 BTC
23:51 [ypevj066gy(~ypevj066g@46.100.250.110)] | make it stop / | | \ 150 BTC | http://goo.gl/oTdER
Was genau hinter den Links kommt (wahrscheinlich ein Exploit-Kit oder Malware-Downloader) haben wir bisher noch nicht untersucht.
Wir haben nun die Skripte angepasst und reporten die Bots über BlockList.de an die entsprechendne Provider:
https://www.blocklist.de/de/view.html?ip=46.100.250.110
Die IP-Adressen der Bots sind aus aller Welt, aber ein großteil kommt aus Polen.
Ob die Bots nur Windows-Systeme sind, haben wir noch nicht untersucht.
[Update: 00:30 Uhr]
Seit 00 Uhr scheint es vorbei zu seinen oder die Bots bespamen unseren User nicht mehr 🙁
[Update: 00:45 Uhr]
Doch, es geht nun langsam auf dem neuen Nick weiter 🙂
So wie es aussieht, hat der Bitcoin-User pirateat40 mit einem Pyramiden-System mehrere Millionen US-Dollar eingenommen:
http://www.ninjalane.com/newspost5855.aspx
https://twitter.com/GreatEscapeBlog/status/240856486119612416
http://www.spiegel.de/netzwelt/web/diaspora-wird-community-projekt-a-852482.html
[Update: 17:30 Uhr]
Bis jetzt haben wir schon über 300 uniq IP-Adressen reportet.
[UPDATE: 05.09.2012 21:12 Uhr]
Der Spamer hat seine Nachrichten geändert. Diese sehen nun wie folgt aus:
21:08 [xexh556ot(~xexh556ot@74.115.1.90)] <html>
21:08 [xexh556ot(~xexh556ot@74.115.1.90)] <head><title>302 Found</title></head>
21:08 [xexh556ot(~xexh556ot@74.115.1.90)] <body bgcolor="white">
21:08 [xexh556ot(~xexh556ot@74.115.1.90)] <center><h1>302 Found</h1></center>
21:08 [xexh556ot(~xexh556ot@74.115.1.90)] <hr><center>nginx/1.0.6</center>
21:08 [xexh556ot(~xexh556ot@74.115.1.90)] </body>
21:08 [xexh556ot(~xexh556ot@74.115.1.90)] </html>
Wenn die Bots sich die Texte von einer Webseite holen, so scheint evtl. der Webserver überlastet zu sein, bzw. hat nicht weitergeleitet 🙂
[UPDATE: 06.09.2012 01:27 Uhr]
Seit ca. 22:30 Uhr gestern sind keine neue Spam-Nachrichten mehr im IRC eingegangen. wahrscheinlich hat der seine Bots nicht richtig konfiguriert oder seine Webseite wo sich die Bots das Template her holen wurde gesperrt oder er hat das Bot-Netz nur für 3 Tage gemietet 🙂
[UPDATE: 06.09.2012 02:01 Uhr]
Seit 02:00 Uhr geht es wieder weiter 🙂 Die Bots scheinen wohl immer zwischen 22 und 2 Uhr, bzw. 00 und 2 Uhr eine Pause zu machen.
[UPDATE: 07.09.2012 18:03 Uhr]
Seit ca. 12 Uhr haben wir auf keinem Honeybot mehr eine Spam-Nachricht erhalten 🙁 entweder hat er aufgegeben oder seine 150BTC erhalten 😉
Sehr gut, da sieht man mal wieder, dass die koordinierte Zusammenarbeit früchte trägt. In ca. 3 Stunden waren Skripte vorhanden, die jeder in sein $irc-client benutzen konnte zum reporten an die ircOPS. Genau so gut können wir unsere Abuse-Reports koordinieren.