interessante Einliefer-IP, wird die von einem Botnetz verwendet?

[Juergen]

>
> Received: from mailin56.aul.t-online.de [...]
> Received: from mout.gmx.net ([212.227.15.18]) by mailin56.aul.t-online.de
> with esmtp id 1Ui1FR-1cY7mK0; Thu, 30 May 2013 13:42:25 +0200
> Received: from mikle.jp ([89.28.241.42]) by mx-ha.gmx.net (mxgmx002) with
> ESMTP (Nemesis) id 0MDPp7-1UeNyY46Hd-00Gsj7 for <##-meine-email-###@gmx.de>; Thu, 30 May
> 2013 13:42:24 +0200
> Received: by %115.96.38.41; Thu, 30 May 2013 11:33:13 -0100
> From: "Emilie Mayer" <ogx ätsch hotmail.com>
> Reply-To: "Emilie Mayer" <ogx ätsch hotmail.com>
> To: nicht-meine-email-##@gmx.de
> Subject: wichtig
> Date: Thu, 30 May 2013 14:26:13 +0200
> Content-Transfer-Encoding: 7Bit
> Content-Type: text/plain;
[...]
> Guten Tag,
>
> Bei Durchsicht der Unterlagen ist mir aufgefallen das Ihre
> Krankenkasse zu teuer ist. Aktuell koennten Sie sich bereits
> ab 59,00 Euro im Monat privat versichern.
> Bitte nutzen Sie unseren kostenlosen Vergleich online klicken
> Sie auf den folgenden Link:
> http://www.vergleichpkv24.com

Ist die Einliefer-IP schon irgendwie bekannt?

Die letzten Wochen waren die KK-Angebote vorwiegend in .ru, .ua, .ro,
.cz, .pl beheimatet, aber auch auch .cn-Domains registriert in USA ;-)

Die IP 89.28.241.42 hat ne interessante DNS-Auflösung. IP gehört zu
einem Provider (IT-Dienstleister für Behörden und Industrie), der auf
seiner Webseite (laut Google) bewirbt

| ...ist eine kombinierte Antivirus- und Antispam-Appliance. Alle
| eingehenden Mails werden von zwei von einander unabhängigen...

_ein_gehende Mails werden also geprüft, _aus_gehend scheinbar nicht.

Technischer Ansprechpartner der Domain zu 89.28.241.42 ist
hostmaster@"provider". Hab ne Mail geschrieben. Heute nachmittag mal
angerufen, ob Mail angekommen und was unternommen. Mail garnicht
gelesen, weil "hostmaster" heute nicht da... Auf deren Wunsch die Mail
nochmal an andere zuständige Adresse geschickt.

IP hat bei Google einen Honeypot-Treffer.

Eine "etwas benachbarte" IP desselben Providers (anderer Domain-Inh)
kenne ich bereits von meiner Webseite, mit nicht "ganz normalem" Zugriff ;-)

Jürgen

[Andreas Kohlbach]

Juergen wrote on 31. May 2013:

[...]

>> http://www. vergleichpkv24.com

>
> Ist die Einliefer-IP schon irgendwie bekannt?
>
> Die letzten Wochen waren die KK-Angebote vorwiegend in .ru, .ua, .ro,
> .cz, .pl beheimatet, aber auch auch .cn-Domains registriert in USA ;-)
>
> Die IP 89.28.241.42 hat ne interessante DNS-Auflösung. IP gehört zu
> einem Provider (IT-Dienstleister für Behörden und Industrie), der auf
> seiner Webseite (laut Google) bewirbt

Ich bin auch immer am Payload interessiert. Die URL hat einen whois der
angeblich in Panama ist, und eine Kontaktadresse
51a72c57...@t02cduv4f7f99a255f64.privatewhois.net die vermutlich
stimmt und auch Email an nimmt. Nicht dass man selbst dahin schreiben
sollte, weil man nur den Spammer selbst erreicht.

Die IP 67.211.200.9 ist bei Arima Networks in Kanada gehostet. Vielleicht kann
über curtis <at> arima.ca die Domain erden lassen, wenn man den Spam
dorthin sendet, und freundlich (in Englisch) erklärt, warum es Spam ist.
--
Andreas
43. If I knew it wasn't going to work, I would have tested it sooner.
--Top 100 things you don't want the sysadmin to say

[Juergen]

Am 01.06.2013 02:32, schrieb Andreas Kohlbach:

> Die URL hat einen whois der
> angeblich in Panama ist,

Na ja... ich finde in Panama nur ;-)
Fundacion Private Whois
Domain Administrator

das scheint einer zu sein, der den Domain"inhaber" verschleiern soll.

Registrar: Internet.bs Corp.

Bahamas ;-) Schöne neue Welt...

> und eine Kontaktadresse
> 51a72c57...@t02cduv4f7f99a255f64.privatewhois.net die vermutlich
> stimmt und auch Email an nimmt.

sitzen in .uk

Interessante Zusammenhänge dabei
mycredi.com 67.211.200.9 bei Arima rdns = option048.vps
ns ...
ns-canada.topdns.com
64.191.18.197 USA
109.201.142.225 Niederlande

ns-uk.topdns.com
77.247.183.137 Niederlande

ns-usa.topdns.com
85.159.232.241 Niederlande
108.61.12.163 USA
208.64.126.195 USA

> Die IP 67.211.200.9 ist bei Arima Networks in Kanada gehostet. Vielleicht kann

> über curtis<at> arima.ca die Domain erden lassen,...

Hmm, ich vermute mal, dass Arima weiss, was Spam ist ;-) Nachstehend ein
paar beworbene URLs der letzten Tage, alle gehostet bei denen ;-) Oder
die kommen mit dem "erden" nicht nach ;-) Die URLs selber leben aber
schon lange.

vergleichpkv24.com (wie oben)
vergleichpkv24.com (eingeliefert 178.159.122.52 .ua) am selben Tag
mycredi.com (fast identisch, eingeliefert 189.8.104.56 .br)
mcredi.com (eingeliefert 91.211.56.144 .ru)
pkvergleich48.com (eingeliefert 193.200.33.243 .ua)

hbbi.info (eingeliefert 81.214.120.148 .tr, NS scheint geerdet)
bbmw.info (eingeliefert 78.189.128.36 .tr, NS scheint geerdet)


Dass die Einliefer-IP im obigen Fall einem RA gehört, hat auch was...

Jürgen

[Juergen]

Am 01.06.2013 02:32, schrieb Andreas Kohlbach:

> Jürgen schrieb:

> Die IP 89.28.241.42 hat ne interessante DNS-Auflösung.

Irgendwie blick ich bei dieser IP jetzt nicht durch... kannst du mir
beim Verständnis helfen?

1. nslookup mit dieser IP ergibt keinen Hostnamen, wird nicht gefunden

2. dieselbe IP als traceroute ergibt eine Übersetzung in Hostnamen
und... bringt alle HOPs bis zum Ziel, und dort steht der Hostname,
der bei nslookup nicht gefunden wird.

Hab ich bei mir mit Win7/64 gemacht (via T-O-DNS), aber gleiche
Ergebnisse auch bei Internet-Diensten, die auch keinen Hostnamen finden,
aber Traceroute mit Ziel _und_ dabei Hostnamen finden.

Bei Heise kommt die IP sogar 2-mal am Ende als HOP.
Gibt's dazu irgendwas, was ich wissen sollte?

Jürgen

[Helmut Hullen]

Hallo, Juergen,

Du meintest am 01.06.13:

>> Die IP 89.28.241.42 hat ne interessante DNS-Auflösung.

> Irgendwie blick ich bei dieser IP jetzt nicht durch... kannst du mir
> beim Verständnis helfen?

> 1. nslookup mit dieser IP ergibt keinen Hostnamen, wird nicht
> gefunden

> 2. dieselbe IP als traceroute ergibt eine Übersetzung in Hostnamen
> und... bringt alle HOPs bis zum Ziel, und dort steht der
> Hostname, der bei nslookup nicht gefunden wird.

http://www.utrace.de/?query=89.28.241.42

zeigt "PDV-Systeme Sachsen".
Mit passender "abuse"-E-Mail-Adresse.

Viele Gruesse!
Helmut

[Juergen]

Am 01.06.2013 21:50, schrieb Helmut Hullen:
> Mit passender "abuse"-E-Mail-Adresse.

Danke ;-) siehe dazu mein Eingangs-Posting ;-)
"hostmaster" z.B. wird beim "Tech-Admin" nicht von seiner Vertretung
gelesen :-(

Warum zeigt nslookup keinen Hostnamen, aber tracert "kann's"?
Und warum wird der Hostname reverse nicht aufgelöst?
Und bei Heise's tracert kommt am Ziel zweimal dieselbe IP.

Jürgen

[Andreas Kohlbach]

Juergen wrote on 01. June 2013:
>
> Am 01.06.2013 02:32, schrieb Andreas Kohlbach:
>> Jürgen schrieb:
>> Die IP 89.28.241.42 hat ne interessante DNS-Auflösung.
>
> Irgendwie blick ich bei dieser IP jetzt nicht durch... kannst du mir
> beim Verständnis helfen?

Die geht nach PDV Systeme Sachsen GmbH.

Ich hatte mich aber um die URL im Spam gekümmert (whois auf
(Briefkasten-) Adresse in Panama) und deren IP bei dem kanadischen
Hoster.

[Thomas Hochstein]

Juergen schrieb:

> Technischer Ansprechpartner der Domain zu 89.28.241.42 ist
> hostmaster@"provider".

Aber wohl nur für technische Frage zur Domain; dafür ist der ja auch
der Role Account.

> Hab ne Mail geschrieben. Heute nachmittag mal
> angerufen, ob Mail angekommen und was unternommen. Mail garnicht
> gelesen, weil "hostmaster" heute nicht da... Auf deren Wunsch die Mail
> nochmal an andere zuständige Adresse geschickt.

Es hilft in der Regel nur bedingt weiter, den falschen Adressaten
anzuschreiben. :)

| thh@thangorodrim:~$ whois 89.28.241.42
| % This is the RIPE Database query service.
| % The objects are in RPSL format.
[...]
|
| % Abuse contact for '89.28.240.0 - 89.28.243.255' is 'abuse@[...]-sachsen.net'
|
| inetnum: 89.28.240.0 - 89.28.243.255
[...]

Grüße,
-thh
--
BITTE *vor* dem Posten in de.admin.net-abuse.mail die Hinweise unter
<http://th-h.de/faq/danam-intro.html> und ggf. die dort genannten FAQs lesen!

Weitere kleine Texte rund um das Thema E-Mail: <http://th-h.de/infos/email/>

[Juergen]

Am 01.06.2013 02:32, schrieb Andreas Kohlbach:

> Juergen wrote on 31. May 2013:

>>> http://www. vergleichpkv24.com
>> Ist die Einliefer-IP schon irgendwie bekannt?

> Die IP 67.211.200.9 ist bei Arima Networks in Kanada gehostet. Vielleicht kann
> über curtis<at> arima.ca die Domain erden lassen, wenn man den Spam
> dorthin sendet, und freundlich (in Englisch) erklärt, warum es Spam ist.

vergleichpkv24.com
hat ne interessante tracert
Routenverfolgung zu vergleichpkv24.com [67.211.200.9]
endet auf
20 PEER-1-NETW.edge1.Seattle3.Level3.net [4.59.232.2]
21 Zeitüberschreitung der Anforderung.
22 Zeitüberschreitung der Anforderung.
23 216.187.109.122
24 97.107.181.250
25 ovz6.cadedic.ru [67.211.206.237]
26 opion048.vps [67.211.200.9]

Ist bei tracert von deiner "Seite" aus auch .ru dabei?
War mir vorher garnicht aufgefallen.

Auf der IP 67.211.200.9, also bei arima gibts weitere Spam-Domains...
bei allen gleiche tracert, d.h. bei allen die .ru-Domain dazwischen und
der komische reverse-Hostname am Ende.

vergleichpkv24.com
mycredi.com
credimy.com
buvergleichen.com
vergleich99.com
ckredi.com
pkvergleich48.com (scheint auf Bahamas suspended zu sein)

cadecic.ru löst auf nach 66.196.43.58, IP ist wohl auch in Blacklists.

Einlieferung der Spams von .mx, .aol, .dk, .uk, .ru, .ua, .de

Jürgen

[Andreas Kohlbach]

Juergen wrote on 05. June 2013:
>
> Am 01.06.2013 02:32, schrieb Andreas Kohlbach:
>
> vergleichpkv24.com
> hat ne interessante tracert
> Routenverfolgung zu vergleichpkv24.com [67.211.200.9]
> endet auf
> 20 PEER-1-NETW.edge1.Seattle3.Level3.net [4.59.232.2]
> 21 Zeitüberschreitung der Anforderung.
> 22 Zeitüberschreitung der Anforderung.
> 23 216.187.109.122
> 24 97.107.181.250
> 25 ovz6.cadedic.ru [67.211.206.237]
> 26 opion048.vps [67.211.200.9]
>
> Ist bei tracert von deiner "Seite" aus auch .ru dabei?
> War mir vorher garnicht aufgefallen.

Nein, bei mir nicht.

[...]

Viele der aufgezählten Domains, inklusive vergleichpkv24.com scheinen nun
tot zu sein.

[Juergen]

Am 06.06.2013 00:06, schrieb Andreas Kohlbach:
>> > Ist bei tracert von deiner "Seite" aus auch .ru dabei?

> Nein, bei mir nicht.

Interessant

> Viele der aufgezählten Domains, inklusive vergleichpkv24.com scheinen nun
> tot zu sein.

Danke

Jürgen

[Karl-Josef Ziegler]

Am 31.05.2013 19:20, schrieb Juergen:

Nur zur Ergänzung: dazu benötigte ich keine Technik, das ist Spam von
Timo Richert, dessen Krankenakte füllt bereits dutzende Regalmeter.
Einer der letzten deuttschen Großspammer, der noch nicht hopps genommen
wurde.

Etwas zum Lesen:

http://antiabzockenet.blogspot.de/search/label/Timo%20Richert

Viele Grüße,

- Karl-Josef

[Juergen]

Am 06.06.2013 21:11, schrieb Karl-Josef Ziegler:
> das ist Spam von Timo Richert,...

> Einer der letzten deuttschen Großspammer, der noch nicht hopps genommen
> wurde.

Warum nicht?

> Etwas zum Lesen:

Danke, davon war mir bislang nur ip69 in Erinnerung und natürlich
Domainfactory... warum haben sich Letztere nur so genannt? ;-)

Dann ist wirklich passend, dass mein Spam über einen RA eingeliefert
wurde ;-)

Schade, dass man die Bahamas nicht absaufen lassen kann ;-)

Jürgen

[Karl-Josef Ziegler]

Am 06.06.2013 22:46, schrieb Juergen:

> Schade, dass man die Bahamas nicht absaufen lassen kann ;-)

Eine Mail an abuse @ internet.bs könnte sich durchaus lohnen.

Viele Grüße,

- Karl-Josef

[Juergen]

Am 06.06.2013 00:06, schrieb Andreas Kohlbach:

> 24 97.107.181.250
>> 25 ovz6.cadedic.ru [67.211.206.237]
>> 26 opion048.vps [67.211.200.9]
>>
>> Ist bei tracert von deiner "Seite" aus auch .ru dabei?
>> War mir vorher garnicht aufgefallen.

Ich melde mich nochmal dazu...
67.211.206.237 ist natürlich arima.

tracert für vergleichpkv24.com endet heute anders,
Domain weiterhin auf Bahamas registriert...

vergleichpkv24.com [62.116.181.25]
5 80.157.128.3
6 te9-1-c2.net.muc2.internetx.de [85.236.32.22]
7 25-181-116-62.rev.customer-net.de [62.116.181.25]

ckredi.com [62.116.181.25]
identisch wie vorstehend

tracert via Network-tools, Heise usw. identisch


ukredit.com [67.211.200.9]
endet wie ganz oben, also auch mit .ru, deren IP gehört zu arima.

Kannst du mal tracert zu ukredit.com machen, ob diesmal auch .ru bei dir
dabei ist. cadecic.ru steht bei nic.ru als "delegated".


Wenn's interessiert, schau auch mal hier ;-)
http://network-tools.com/default.asp?prog=express&host=mulka.net

Jürgen

[Andreas Kohlbach]

Juergen wrote on 07. June 2013:
>
> tracert für vergleichpkv24.com endet heute anders,
> Domain weiterhin auf Bahamas registriert...
>
> vergleichpkv24.com [62.116.181.25]
> 5 80.157.128.3
> 6 te9-1-c2.net.muc2.internetx.de [85.236.32.22]
> 7 25-181-116-62.rev.customer-net.de [62.116.181.25]
>
> ckredi.com [62.116.181.25]
> identisch wie vorstehend
>
> tracert via Network-tools, Heise usw. identisch
>
>
> ukredit.com [67.211.200.9]
> endet wie ganz oben, also auch mit .ru, deren IP gehört zu arima.
>
> Kannst du mal tracert zu ukredit.com machen, ob diesmal auch .ru bei
> dir dabei ist. cadecic.ru steht bei nic.ru als "delegated".

Ja, nic.ru ist dabei. Alles danach läuft in Timeout.