Wir haben soeben over-blog.com darüber informiert, das wir über 19.130 URLs zu Ihren Blog-System haben, welche von Spamern für Viagra-/Pillen-Spam und Fake-Porno-Seiten benutzt wird.

Warnung!!!

Die folgenden Links können Malware und pornographische Inhalte vorhalten!

Ein paar Beispiele:

hxxp://siowebtlast.over-blog.com/article-buy-now-coumadin-looto-99633776.html

hxxp://propecia-venta-espaawg.over-blog.es/

Dazu gibt es auch wieder die Adult-Fake-Seiten, welche zwar Porno-Bilder darstellen, allerdings nur einen Trojaner verlinken.

hxxp://shooshtime-in.over-blog.fr

Dieser Link leitet dann auf:

hxxp://www.google.com/url?q=http%3A%2F%2Fow.ly%2FaSpxk&sa=D&sntz=1&usg=AFQjCNE6FO3USGOI-jrUqTinkRkX8AHzIA

und über Google.com dann weiter zu:

hxxp://ow.ly/aSpxk

Diese Seite leitet wieder weiter auf:

hxxp://litewebline.com/9/overblogfr

welche dann auf die End-Fake-Seite umleitet:

http://idujumebaset.etowns.org/tube/index.php

oder auch auf

hxxp://kyyqomuifici.etowns.org/

und andere…..

Bei Virustotal werden diese End-Seiten zum Teil nur von einem Dienst als schlecht angezeigt:

https://www.virustotal.com/url/d9842e76e46ec88cd07ae2b67656319bbf22adce7458f0b8ad86d5641c006eb0/analysis/1340194835/

bzw. die Malware-Dateien werden nur von 9 von 42 Scannern erkannt:

https://www.virustotal.com/file/61fa45a5a936c07ec1e0fc8271d9ea3b23df516bc016608435c59c380cbcd58a/analysis/1340194953/

Wir haben das Team von over-blog.com über die deutsche Kontakt-Seite erfolgreich darüber informiert (fällt dabei gerade auf, das dort der eine Satz nur halb fertig ist) 🙂

Wir prüfen ab und zu manuell die Einträge, ob ein großer Dienst wie z.B. damals opera.com missbraucht werden, bzw. durch eine sehr hohe Anzahl an Einträgen auf die gleiche URL/Host auffallen und melden dies dann manuell.

Wir hoffen auf  eine Antwort oder wie bei opera.com, das die User deaktiviert und Mechanismen eingebaut werden, damit man die Blogs nicht mehr daüfr missbrauchen kann.

Im letzten Newsletter fragten wir, ob jemand ein Logo entwerfen oder günstige Grafikdesigner kennt.

Alex von the opensource-copany.com hat uns darauf hin eins erstellt.

Dieses ist bereits auf der Webseite, in FaceBook und Twitter online.

Hier auch noch einmal ein recht herzliches Dankeschön!

We have found a leak-Site on there a User have posted a Mail from hideme.ru.

Original:

Translated via google to English:

You can see, that he list BlockList.de to one of the Blacklist which the User does not insert there VPN-IP 🙂

In earlier Posts we have write over nobistech AS15003 here:

Nobistech – ubiquityservers

We see a long time that only Squid-Proxys (Version from 3.1.4 to 3.1.9) with SSH on the

Port 2382

and with the Domain ipvnow.com with no sites (linked to a enom-buy-site) in the Reverse-DNS….

We have 1,406 Records to IPs with the rdns hase ipvnow.com in the host.
262 with ns0.ipvnow.com

We think the Customer behind is the User „keliix06“.

We have send to abuse AT nobistech.net only for the last 8 Days ~500 Reports and we send only all 24 hours for each ip/attack one report…

Now, we have blocked the complete IP-Range permantly:

173.234.225.0 – 173.234.227.255

in the all-Export-List and in the RBL.

We have informed nobistech too in the same time we public this article.

Ein kurzes aktivieren der Logs auf einem der mittlerweile 4 RBL-Server hat gezeigt, das in 2 Minuten mehreer hundert unterschiedliche (unique) IP-Adressen (hauptsächlich DNS-Server) die RBL-Listen von blocklist.de abfragen.

Je nach Liste, welche nach Service-Diensten/Arten aufgesplittet sind, umfassen diese im Durschnitt über 6.000 IP-Adressen.

Wie man die RBL-Listen von blocklist z.B. selbst im Postfix, Amavis, Policyd oder Apache einsetzten kann ist unter folgender URL im Forum beschrieben:

https://forum.blocklist.de/viewtopic.php?f=11&t=17

Aktuell unterstüzten die RBL-Server noch kein IPv6, da müssen wir auf Updates vom Hersteller warten.

Bei Fragen, Anregungen oder Wünschen einfach ins Forum posten 😉

After our last notice we have build a new Check after the „normal“ Whitelist and other Checks.

Now, we look into the DNSBL from sectoor.de and exitlist.torproject.org for the spaming IP, when the Attack-Typ is RegBot or BadBot.

When the Tor-Server is in the dnsbl, but not in our Whitelist we received a notification to check the Tor-Server and block them permanently from our Honeypot-systems or whitelist them.

This make the way from tor-Server-Admins easier.

Dear Tor-Server-Owners,

please set a Webpage online on the Tor-Exit-IP which show that the IP is an Tor-Exit-Node-Server like this:

Site is from http://torservers.net

And when you received a Report from us, please contact us and send us your IP-Adresses from your Tor-Servers. We check the http-Site and when you have a short Text online which say or linked to more over Tor-Server, we add your IP into the Whitelist and mark them as Tor-/Proxy-Server and dont send new Reports to you.

But when you have not a description or site online which tell that the ip is an Tor-Server, we could not add your IP into the whitelist. And we thinking your are only a SEO-Spamer and you will safe your Spam-Server with xrumer, senuke, sickmarekting…..

On the the „SEO-User“ (Foren-Spamer) found one of a honeypot-site which are not direct from us:

http://theseobay.com/xrumer-support/1599-blocklist-de-footprint.html

But the Volume of Spampostings and Spam-Registratios continues to rise more and more:

Our Honeypot-Sites has in all Header/Footer and Agreements a Text, that all Postings and Registrations will be automatically reported. But we have a lot of Honeypots too which are not from us, so there use other methods to identify the spamer and report them over us. In the next Step, we lookup for the AS-Networks which have to much ignorant our Reports and block them complete (like AS15895).

Google blocks the urls which are listen in the postings from the seo-user, because he downloads our Lists of links from your postings and used it to find Spamer or User who works against the rules 🙂

Trotz das XSserver.eu IPs/Server nun sperrt, welche Foren-Spam versenden, ist kein Rückgang fest zu stellen, wobei recht viele IPs nun weg sind:

Am 01.04.2012 hat XSserver.eu damit angefangen die Server zu sperren.

Kurz davor und danach haben wir bereits festgestellt, das immer mehr neue IP-Adressen für BadBod und RegBot genutzt wurden (allein von einer Honeypot-Domain, wo sehr wenig Eintragungen stattfinden):

In einem anderen Foren, werden neue, falsch konfigurierte oder öffentliche Proxy-Server angeboten und das wohl mit einer großen Anzahl:

Dies sind hauptsächlich auch Reverse-Proxy wie z.B. nginx, die eigentlich zum Caching genutzt werden sollen. Aktuell scheinen die Seo-User die falsch konfigurierten Proxy zu suchen.

Wir reporten diese aber natürlich, wenn die in unsere Honeypots spamen und haben dadurch schon viele IPs mit falschen Proxy-Server deaktiviert, bzw. die Inhaber haben diese korrigiert.

Liebe Spamer, ein Captcha wo immer z.B. nur 1234 drin steht, sollte doch auffallen oder? 🙂

Xsserver.eu ist ein Provider, welcher beim Reseller Optimate-Server.de hosted.

Dieses AS hatte zuletzt über 700 IPs bei blocklist gelistet, welche RegBot- und BadBot-Spam gelistet waren. Zum Teil hatte abuse@xss…eu mehrere tausend Abuse-Reports von uns erhalten, aber nie etwas unternommen. Nachdem wir einmal das Netz komplett geblockt hatten, weil zu viele unterschiedliche IPs zu sehr gespamt hatten, war das Netz aber in der Export-Liste immer noch gelistet.

Der Netzwerk-Inhaber (Marcel Edler) hat uns dann vor ein paar Tagen angeschrieben und uns mitgeteilt, das er die IPs sperrt und xsserver.eu noch mal informiert. Wir haben darauf hin alle IP-Adressen gelöscht und natürlich auch den längst überfälligen Netz-Block.

Nun sehen wir in vielen Foren wie theseobay.com oder blackhatworld.com, das XSserver.eu die IPs mitlerweile sperrt und für 10$ eine neue IP zuteilt, wenn diese aber auch gelistet wird,  wird der Server komplett gesperrt:

Auszug aus dem Forum:

——————————————————————-

Xsserver Not Allowing SB and Xrumer