Groups | Search | Server Info | Login | Register
Groups > de.admin.net-abuse.misc > #6
| From | Sebastian Suchanek <sebastian.suchanek@gmx.de> |
|---|---|
| Newsgroups | de.admin.net-abuse.misc |
| Subject | Gaestebucheintraege mit Pseudo-IPs |
| Date | 2016-03-27 11:50 +0200 |
| Message-ID | <nd8hde.1vc.1@msgid.suchanek.de> (permalink) |
Hallo NG!
Letzte Nacht hat ein Spam-Bot in einem meiner Gästebücher eine
ganze Reihe Einträge nach folgendem Muster abgekippt:
| ywwqadfsadskk3sa
| 1091.159.340.165:47053
| 852.262.158.868:57214
| 416.1055.1085.339:15199
| 435.1001.263.1029:87489
| 806.852.702.742:43224
| 1011.998.351.598:48225
Alle Einträge kamen von 93.170.168.199, im E-Mail-Feld war
{$ZufälligerLocalpart}@weatheruk.ru eingetragen. Die Anzahl der
Zahlengruppen pro Eintrag variierte.
Auf einen flüchtigen Blick sehen die Zahlengruppen wie IPv4-
Adressen mit Portnummern aus, auf den zweiten Blick sieht man
aber leicht, dass da keine einzige gültige IPv4-Adresse dabei
ist.
Hat jemand sowas schon mal gehabt? Könnten das evtl.
"verschlüsselte"[1] IP-Adressen sein, z.B. für Spammer-Seiten,
C&C-Server von Botnetzwerken o.ä.?
Tschüs,
Sebastian
_____
[1] "Verschlüsselt" in dem Sinn, dass man nach einem bestimmten
Muster Ziffern aus der Zeichenkette entfernen muss, um
gültige IP-Adressen zu erhalten.
Back to de.admin.net-abuse.misc | Previous | Next — Next in thread | Find similar
Gaestebucheintraege mit Pseudo-IPs Sebastian Suchanek <sebastian.suchanek@gmx.de> - 2016-03-27 11:50 +0200
Re: Gaestebucheintraege mit Pseudo-IPs Andreas Kohlbach <march.10.ankman@spamgourmet.net> - 2016-03-27 16:45 -0400
Re: Gaestebucheintraege mit Pseudo-IPs Sebastian Suchanek <sebastian.suchanek@gmx.de> - 2016-03-28 00:05 +0200
Re: Gaestebucheintraege mit Pseudo-IPs Andreas Kohlbach <march.10.ankman@spamgourmet.net> - 2016-03-28 16:33 -0400
csiph-web