Loggen, was iptables wegwirft
Sonntag, 4. Dezember 2016
Um meine Server gegen diverse Arten von Angriffen abzusichern, habe ich fail2ban installiert und mir eine Reihe von Filtern angepaßt oder selbst neu gebaut. Anhand der Filter meldet fail2ban an iptables, welche IPs wie lange gesperrt werden sollen. Das funktioniert soweit ganz gut.
Trotzdem gibt es eine Reihe von IP-Adressen und -Ranges, die man eigentlich nicht fail2ban überlassen muß. Denn sie werden immer und immer wieder in den Filtern landen und immer und immer wieder erneut gebannt werden müssen. Von diesen IPs und -Ranges kommen nämlich ausschließlich Spamkommentare, aggressives Crawling auf Websites, Suchen nach ausnutzbaren Schwachstellen, Einbruchsversuche in Blogs, auf der Shell und in weitere Dienste sowie Spam-Mails. Also will man sie grundsätzlich blocken. Ist mit iptables auch nicht schwer. Aber … (mehr …)
Neue Spamwelle „Abmahnung”
Mittwoch, 13. Oktober 2010
Auf einem Mail-Account, der nur auf einer Website als Kontaktmöglichkeit genannt und sonst nirgends eingesetzt oder angegeben wird, schlugen bei mir vorhin zwei gleichlautende Spam-Mails auf. An sich nichts Ungewöhnliches. Das Besondere an dieser Art von Erpressungs-Spam besteht darin, daß die Spammer auf die Abmahn-Geilheit der Content-Industrie aufspringen.
Die Mail kommt scheinbar von einem Rechtsanwalt. Die Domain rechtsanwalt-giese.info liegt aber seltsamerweise bei privacyprotect.org, die Adresse des Domaininhabers ist erkennbar gefälscht (Stadt: Zürich; Land: Niederlande; internationale Vorwahl der Telefonnummer: Dänemark), und der Nameserver ist russisch. Der Netzblock, in welchem die zur Domain gehörige IP 91.216.215.66 liegt, gehört ebenfalls zu einer russischen Firma, die sich Encore Ltd. nennt. Spamhaus listet 91.216.215.0/24 bereits als „dirty network”, und zwar seit 29.07.2010.
Der Text der Mail sieht so aus: (mehr …)
Alte Bekannte: IP69
Sonntag, 29. November 2009
Ist ja echt nicht zu glauben. Eben trudelte via Twitter eine Warnung ein: Ein Rechtsanwalt Frank Michalak will Geld für die Nutzung von nachbarschaft24.net eintreiben. Die Art von Domainnamen kenn' ich doch ...? Und siehe da:
frosch@seerose:~$ host nachbarschaft24.net
nachbarschaft24.net A 78.41.80.3
frosch@seerose:~$ whois 78.41.80.3
inetnum: 78.41.80.0 - 78.41.80.255
[...]
person: Hostmaster of the Day
address: ip69 internet solutions AG
address: Bahnhofsplatz 14
address: DE-96317 Kronach
address: Germany
Damit hat ein später Kommentator zu einem Blog-Eintrag aus dem letzten Jahr ja doch recht, und der Spammerladen IP69 ist umgezogen. Ich hätte da vielleicht doch mal genauer hingucken sollen. War's in Düsseldorf nicht mehr so schön? Kann man in Bayern besser spammen? — Scheint tatsächlich so!
Außerdem ist Thomas Rodenbücher wohl aus der Firma ausgeschieden; ja, genau der, der mir auf meine erste Veröffentlichung hin eine Klage angedroht hat (auf die ich übrigens immer noch warte). Der alleinige Vorstand ist jetzt der bekannte Spammer Christian Hoffmann (Suchmaschinen liefern noch mehr).
Aber das ist ja überhaupt keine organisierte Kriminalität, nein ...
IP69 kann’s nicht lassen
Dienstag, 6. Mai 2008
Nachdem ich am Sonntag gegen 12:00 Uhr nun auch einmal den bekannten Werbeanruf von nachbarschaftspost.com bekam, trudelte gestern Spam für die nächste Runde ein. Beworben wurde auf der Kontaktadresse des Chaosdorfs die Domain direkt-noch-spass.net, deren whois zunächst auf den bekannten „Whois-Protection-Service” in Belize zeigt. Der hat mittlerweile wohl einen neuen Nameserver bekommen: ns1.mail2consumer.net — dieser wiederum ist zwar ebenfalls auf die Briefkastenfirma in Belize angemeldet, hat jedoch als Nameserver — ns1.ip69.de. Nein, es fällt ja überhaupt nicht auf ...
Macht Spammen eigentlich süchtig? Und wer schickt die Merkbefreiten von IP69 auf Entziehungskur?
IP69, Neuauflage
Mittwoch, 2. April 2008
gulli.com berichtete gestern unter der Überschrift Trickbetrüger Nutzen automatisierte Anrufe über eine eigentlich andere Art von Spam, aber mir fielen in dem Artikel sofort die genannten Domainnamen ins Auge. Also mal eben ein whois auf nachbarschaftspost.com gemacht, da taucht erstmal ein scheinbarer Whois-Anonymisierungsdienst auf:
admin-organization: MCMS "Whois Protection Service Belize" Limited
admin-fname: Whois
admin-lname: Protected
admin-street: Mountainview Boulevard
admin-city: City of Belmopan
admin-zip: 0000
admin-country: BZ
admin-phone: +501 845 8671698
admin-fax: +501 845 0204259
admin-email: protect@whois-protection.net
IP69, Update
Donnerstag, 7. Februar 2008
Aufgrund meiner letzten beiden Blogeinträge zu IP69 droht mir diese Firma jetzt mit Unterlassungsklage. Ist schon interessant: Auf Beschwerden konnte man nicht reagieren (obwohl ich die Publikation angekündigt hatte), aber auf eine tatsächliche Publikation kommt die Antwort binnen Minuten! — Na fein, mein Anwalt freut sich schon. 😉
Wenn man sich ein wenig im Netz umschaut, stellt man schnell fest, daß ich mit der Behauptung und der Erkenntnis gar nicht so allein bin (danke an Rainer für die Links): Bei Anti-Abzocke.net [Update 2009-11-29] Website scheint aufgegeben worden zu sein. [/Update] hat jemand fleißig eine Menge Informationen über den Spamhoster IP69 zusammengetragen. Auch die c't hat sich schon mit der Abzockermasche der Kunden (?) der Firma IP69 auseinandergesetzt. Da hängt also auch noch so richtig Betrug mit hintendran.
Auch im Usenet in der Newsgroup de.admin.net-abuse.mail ist das Thema gerade in der Diskussion, so treffe ich dank dieser Spam-Aktionen sogar noch alte Bekannte.
Also ich wette mal: IP69 wird nicht klagen. Und wenn doch, werde ich eine Menge Spaß haben. 🙂
Noch ein Update: Ein weiterer, indirekt Geschädigter durch IP69 ist der Betreiber der Domain vollspeed-saugen.com: Er kann so nämlich seine Domain nicht richtig nutzen, weil seine Adresse teils als Absendeadresse für die Spams aus dem Hause IP69 mißbraucht wurde.
IP69-Kunde Jürgen Schäfer spammt wieder
Donnerstag, 7. Februar 2008
Nachdem der spammende Kunde von IP69 mit Kondomen und Nachbarschaftsnetzen nicht mehr weiterkommt, probiert er es nun offenbar mit einem „Verwandtschaftstester”, und damit der Spam auch wirklich auffällt, heißt der Betreff „Bist du mit Hitler verwand?” (sic). Die beworbene Domain ist verwandschaftstester24.net, die wieder im bekannten IP-Block liegt (hier: 80.249.114.47). Von der selben Maschine aus wurde der Müll auch an die Kontaktadresse des Chaosdorfs eingeliefert.
Der Domaininhaber ist verschleiert, angemeldet wurde sie am 03.02.2008 (also wie üblich kurz vor der Spam-Aktion), die Nameserver liegen wieder bei g0mail.net, deren Nameserver bei ip69.de liegen.
Wann klemmt IP69 Herrn Jürgen Schäfer endlich ab???
Nachtrag: Ein paar der „alten” Domainnamen hab ich nochmal mit host verfolgt:
| host mail.gratis-condom.net | 38.97.225.135 |
| host likeit.private-info.net | 80.249.114.51 |
| host nachbarschaftsteam.net | 216.188.26.235 |
Letzterer löst rückwärts auf park-www.trellian.com auf. Fuhr man mit dieser Domain etwa nicht so gut?
IP69 habe ich über diese Blogeinträge gerade informiert. Mit einer Reaktion rechne ich wie üblich nicht — merkbefreit halt.
ip69 ist ein Spammerladen
Montag, 28. Januar 2008
Im letzten Jahr wollte mir ein deutschsprachiger Spammer immer wieder Kondome schenken. Mir fiel auf, daß diese Mails immer vom selben Host kamen. Also rief ich bei dem Hoster (ip69.de) an; dort wurde ich auf Mail verwiesen. OK, also schickte ich den Spam per Mail hin. Reaktion: Keine.
Auch die nächsten Spams dieser Art kamen wieder von dort, wieder informierte ich ip69. Reaktion: Keine. Die Spammerei ging weiter.
Am 24. November wollte man mir keine Kondome schenken, sondern mich in ein „Nachbarschaftsnetz” einladen. Der Host hatte sich nur leicht geändert, die Daten blieben im Prinzip die gleichen. Statt von mail.gratis-condom.net (80.249.126.6) aus spammte man jetzt von likeit.private-info.net (80.249.114.66) aus. Port 25 dieser Kiste steht offen (Debian Linux mit Exim als Mailserver; das meldet sich zumindest bei einem entsprechenden telnet-Versuch), aber einen postmaster will man dort anscheinend nicht kennen (Fehlermeldung: „relaying denied”). Nun ja, is' klar, ne — Beschwerden unerwünscht. (mehr …)