IP-Adressen der Spammer

Huschi

Moderator
Staff member
Hi,

habt Ihr schon mal ein bischen Euer maillog angesehen?
Da mit watchlog täglich einen Bericht zumailed sehe ich halt wieviele Spammer versuchen meinen vServer zu mißbrauchen.
Auffällig sind dabei halt immer die IP-Nummern von denen aus versucht wird zu Spammen:
Laut RIPE-Abfrage sind diese gar nicht vergeben!

D.h. daß diese Spammer zusätzlich noch IP-Spoofing betreiben.

Ist noch jemanden was Kurioses an den Spammern aufgefallen?

huschi the husch
 

Huschi

Moderator
Staff member
LogWatch auf vServer

Nachtrag:

Wer logwatch auf seinem vServer aktivieren will:
[code:1]chmod a+x /etc/cron.daily/00-logwatch[/code:1]

Bei den dedizierten Servern muß man halt erst schauen, ob logwatch schon installiert ist. (Standart bei RedHat ab 7.3 & Suse 8.0)
Nachinstallieren ist kein Problem: Einfach das passende Packet bei rpmseek.com suchen. Es benötigt keine weiteren Packete (außer Perl).

Abstract
LogWatch is a customizable log analysis system. LogWatch parses
through your system's logs for a given period of time and creates a
report analyzing areas that you specify, in as much detail as you
require. LogWatch is easy to use and claims that it will work right
out of the package on almost all systems. Note that LogWatch now
analyzes Samba logs.

huschi the husch
 

Thorsten

SSF Facilitymanagement
Staff member
Hallo Huschi,
Huschihusch said:
...wieviele Spammer versuchen meinen vServer zu mißbrauchen.
Du meinst Relay Versuche nicht Spam oder? Als was gibt sich der einliefernde Mailserver denn aus? Und mit welcher (gefakten) IP Adresse.

mfG
Thorsten
 

Huschi

Moderator
Staff member
Thorsten said:
Du meinst Relay Versuche nicht Spam oder? Als was gibt sich der einliefernde Mailserver denn aus? Und mit welcher (gefakten) IP Adresse.
[code:1]h9MA0E818978: ruleset=check_rcpt, arg1=<crystalalpinekid@yahoo.com>, relay=[4.18.45.62], reject=550 5.7.1 <crystalalpinekid@yahoo.com>... Relaying denied. IP name lookup failed [4.18.45.62]
h9ML92820554: ruleset=check_rcpt, arg1=<seedhere8484@aol.com>, relay=[211.163.115.37], reject=550 5.7.1 <seedhere8484@aol.com>... Relaying denied. IP name lookup failed [211.163.115.37]
[/code:1]
Das sind nur zwei IP-Beispiele. Jede Absender-IP hat es ca. 30-40 mal mit ständig wechselnden Email-Adressen versucht.
Als Email-Domains sind es immer yahoo.com, aol.com, hotpop.com & hotmail.com

huschi the husch
 

Eddi

Registered User
Hi Huschi,

ich habe mal einen Trace gemacht. Die Adresse existiert und liegt vermutlich in China.

Die letzten Hops, die noch bekannt sind:

P2-1-0.HKGAR1.Hong-kong.opentransit.net (193.251.241.198)
Jitong.GW.opentransit.net (193.251.250.10)

Ab da geht es in den Rechts-freien Raum. Du bist übrigens nicht der einzige, der damit belästigt wird.
 

Huschi

Moderator
Staff member
Eddi said:
ich habe mal einen Trace gemacht. Die Adresse existiert und liegt vermutlich in China.
Mal läßt sie sich anpingen, mal nicht. Es ändert nichts daran das RIPE keine Eintragungen zu diesen Adressen hat. Und das ein Trace hinhaut (auch wenn ein Ping gerade nicht funktioniert) liegt u.a. daran, daß Internet-Router die jeweils nächsten Hops noch gespeichert haben.
Ich denke, daß da jemand wirklich mit Verstand & System dran geht, und wahrscheinlich auch noch gut damit verdient. Und dieser Jemand sitzt nicht in China... :)

Ab da geht es in den Rechts-freien Raum. Du bist übrigens nicht der einzige, der damit belästigt wird.
Ja, leider kann man momentan eh nichts gegen diese Spammer machen.

Ich wollte ja nur mal fragen wie es Euch damit so geht.

huschi the husch
 

Thorsten

SSF Facilitymanagement
Staff member
Hi,
Huschihusch said:
Laut RIPE-Abfrage sind diese gar nicht vergeben!
Laut RIPE nicht. Aber das ist ja auch nicht der Nabel der Welt oder?
[code:1]
inetnum: 211.163.0.0 - 211.163.255.255
netname: CNNIC
country: CN
descr: No.4, Zhongguancun No.4 South Street,Haidian District, Beijing
descr: P.O.Box
admin-c: SD50-AP
tech-c: SD50-AP
status: ALLOCATED PORTABLE
changed: ipas@cnnic.net.cn 20030902
mnt-by: MAINT-CNNIC-AP
source: APNIC
[/code:1]

mfG
Thorsten
 

Huschi

Moderator
Staff member
Ich glaub mein RIPE pfeifft.

Ich bekomme die ganze Zeit nur das angezeigt:
[code:1]inetnum: 0.0.0.0 - 255.255.255.255
netname: IANA-BLK
descr: The whole IPv4 address space
country: EU # Country is really world wide
admin-c: IANA1-RIPE
tech-c: IANA1-RIPE
status: ALLOCATED UNSPECIFIED
remarks: The country is really worldwide.
remarks: This address space is assigned at various other places in
remarks: the world and might therefore not be in the RIPE database.
mnt-by: RIPE-NCC-HM-MNT
mnt-lower: RIPE-NCC-HM-MNT
mnt-routes: RIPE-NCC-NONE-MNT
changed: bitbucket@ripe.net 20010529
changed: bitbucket@ripe.net 20020625
changed: hostmaster@ripe.net 20031014
source: RIPE[/code:1]
Gegenpobe mit div. bekannten IPs funktioniert aber tadellos.
Das sind die Zeiten wo man langsam ins Bett gehen sollte... :(

huschi the husch
 

Eddi

Registered User
@Huschi
ist wohl doch China oder?

Ich habe ihn jetzt:

person: Suxxa Du
address: Ji Txxg Communications Co.,Ltd.
address: West Wing 6th Floor,
address: Zhongding Mansion,
address: Jia 18 West Street of North Road
address: Haidian District,Beijing P.R.China
country: CN
phone: +86-10-xxx27054
fax-no: +86-10-xxx19877
e-mail: xxxxx@public.gb.com.cn

Ich habe aus bekannten Gründen die genaue Adresse unkenntlich gemacht. Bei Bedarf eine PM schicken
 

Huschi

Moderator
Staff member
Eddi said:
address: West Wing 6th Floor,
address: Zhongding Mansion,
address: Jia 18 West Street of North Road
address: Haidian District,Beijing P.R.China
Danke, falls ich dort mal vorbei komme, hau ich ihm ein paar vor den Latz.
(Nein, ich bin nicht so brutal. Außerdem kann der bestimmt Ching-Jiutsodu (o.Ä.) und killed mich mind. allein 4 mal mit dem kleinen Zeh.)

huschi the husch
 

Top