Groups | Search | Server Info | Login | Register
Groups > de.admin.net-abuse.misc > #6
| Path | csiph.com!fu-berlin.de!uni-berlin.de!individual.net!not-for-mail |
|---|---|
| From | Sebastian Suchanek <sebastian.suchanek@gmx.de> |
| Newsgroups | de.admin.net-abuse.misc |
| Subject | Gaestebucheintraege mit Pseudo-IPs |
| Date | Sun, 27 Mar 2016 11:50:06 +0200 |
| Lines | 34 |
| Message-ID | <nd8hde.1vc.1@msgid.suchanek.de> (permalink) |
| Mime-Version | 1.0 |
| Content-Type | text/plain; charset=iso-8859-15 |
| Content-Transfer-Encoding | 8bit |
| X-Trace | individual.net fR1XB2K6DFVHgsP4UEywuwwy7HLfydbFAist1iibx+q7UmenI= |
| Cancel-Lock | sha1:jg0BLTz84wUy3GZG2kX/f/DTdKo= |
| User-Agent | Xnews/2005.10.18 Mime-proxy/1.4.c.1 (Win32) Hamster/2.1.0.11 |
| X-Face | //SzobV}i|*=Ael([X.`2mqbxR)[{/\,EZ%&hMI`Hh:)K3g>hCB/hs\3(,v%=vu|Aug"0>Uql/*1KlD^BRTd@D2&3p~kY$/7^,{N<HC`jeymVYHgBa4v`^0;%Ep47Zc3.rUTNMK}3]MO0JRp8gB!t"?K=twH=(Qa>{w<v\*.o~[Kd."gt&vGqX7M1%{tHQAUsbfR<Q?aC|<w_FGpQ~D4{/HtI\BU5H~(5XXy(7g@~^q73-gERW!XR[g-Imghu.DB4R^_%Z7`z-AE~B\g\!# |
| X-KorrNews | Used |
| X-Complaints | webmaster@suchanek.de |
| Xref | csiph.com de.admin.net-abuse.misc:6 |
Show key headers only | View raw
Hallo NG!
Letzte Nacht hat ein Spam-Bot in einem meiner Gästebücher eine
ganze Reihe Einträge nach folgendem Muster abgekippt:
| ywwqadfsadskk3sa
| 1091.159.340.165:47053
| 852.262.158.868:57214
| 416.1055.1085.339:15199
| 435.1001.263.1029:87489
| 806.852.702.742:43224
| 1011.998.351.598:48225
Alle Einträge kamen von 93.170.168.199, im E-Mail-Feld war
{$ZufälligerLocalpart}@weatheruk.ru eingetragen. Die Anzahl der
Zahlengruppen pro Eintrag variierte.
Auf einen flüchtigen Blick sehen die Zahlengruppen wie IPv4-
Adressen mit Portnummern aus, auf den zweiten Blick sieht man
aber leicht, dass da keine einzige gültige IPv4-Adresse dabei
ist.
Hat jemand sowas schon mal gehabt? Könnten das evtl.
"verschlüsselte"[1] IP-Adressen sein, z.B. für Spammer-Seiten,
C&C-Server von Botnetzwerken o.ä.?
Tschüs,
Sebastian
_____
[1] "Verschlüsselt" in dem Sinn, dass man nach einem bestimmten
Muster Ziffern aus der Zeichenkette entfernen muss, um
gültige IP-Adressen zu erhalten.
Back to de.admin.net-abuse.misc | Previous | Next — Next in thread | Find similar
Gaestebucheintraege mit Pseudo-IPs Sebastian Suchanek <sebastian.suchanek@gmx.de> - 2016-03-27 11:50 +0200
Re: Gaestebucheintraege mit Pseudo-IPs Andreas Kohlbach <march.10.ankman@spamgourmet.net> - 2016-03-27 16:45 -0400
Re: Gaestebucheintraege mit Pseudo-IPs Sebastian Suchanek <sebastian.suchanek@gmx.de> - 2016-03-28 00:05 +0200
Re: Gaestebucheintraege mit Pseudo-IPs Andreas Kohlbach <march.10.ankman@spamgourmet.net> - 2016-03-28 16:33 -0400
csiph-web