http://www.spamvrij.nl/lijsten/bedrijf.php?idbedrijf=1407
Het marketingtiger.com domein is door DomainsbyProxy afgeschermd.
www.marketingtiger.com is gehost in China, op 61.129.33.134. De whois
van dat IP laat al weer zien wat voor 'shady business' dit is:
inetnum: 61.129.32.0 - 61.129.33.255
netname: GREEN-POWER-BAR
descr: Green Power Bar
country: CN
admin-c: LJ526-AP
tech-c: LJ526-AP
mnt-by: MAINT-CHINANET-SH
changed: ip-a...@mail.online.sh.cn 20040413
status: ASSIGNED NON-PORTABLE
source: APNIC
Hosten in een internetcafe, goed bezig. Daar stond een frameset waarin
http://www.suchmaschinen-experten.biz/marketingtiger/ werd geopend.
Die wordt op z'n beurt weer gehost bij OMCNet in Duitsland op
212.77.232.1.
Inmiddels werkt het niet meer, Zoneedit heeft de DNS aangepast,
www.marketingtiger.com leeft nu op 0.0.0.0. De .biz pagina doet het
nog. Een wget met toegevoegd Host: header naar 61.129.33.134 geeft
alleen nog maar een pagina met wat onbegrijpbare Chinese zooi.
Overigens heb ik nog geen idee welk bedrijf hier achter zit. De
Nederlandse pagina heeft erg slecht taalgebruik. Er is ook een Duitse
variant, te vinden op http://www.suchmaschinen-experten.biz/.
Waarschijnlijk wees www.suchmaschinenreport.com (ook gehost op
61.129.33.134, ook voorzien van een verbeterd A-record) daar naartoe.
In het recente verleden is er ook nog in het Duits gespammed voor
900suchmachinen.com, zie ook
http://groups.google.nl/groups?q=900suchmaschinen.com
www.900suchmaschinen.com (momenteel op 222.77.186.35) doet het nog
wel, die redirect via eenzelfde frame naar
http://www.suchmaschinenexperten.biz/900suchmaschinen/. Dit domein
(let op het streepje) draait ook op 212.77.232.1 bij OMCNet.
Carel
Waarvoor dank aan mijzelf voor die tip natuurlijk ;-)
> Overigens heb ik nog geen idee welk bedrijf hier achter zit. De
> Nederlandse pagina heeft erg slecht taalgebruik.
De pagina's lijken niet door een Nederlander vertaald te zijn in ieder
geval.
Ik begreep trouwens uit betrouwbare bron dat al diverse mensen vragen
hebben gesteld aan hun huidige Zoekmachinemarketing boer over
Marketingtiger.
Groet,
Geert
Vanzelfsprekend :)
> De pagina's lijken niet door een Nederlander vertaald te zijn in ieder
> geval.
>
> Ik begreep trouwens uit betrouwbare bron dat al diverse mensen vragen
> hebben gesteld aan hun huidige Zoekmachinemarketing boer over
> Marketingtiger.
Dezelfde partij spamt ook voor -jawel- nep-planten. Zie
www.superproducts2005.com (gehost op 222.77.186.35 waar ook
900suchmaschinen.com zit) met een frame die een pagina van
www.internetchoiceeurope.com haalt. Die laatste is ook gehost bij
OMCNet.
Carel
:-)
>> De pagina's lijken niet door een Nederlander vertaald te zijn in ieder
>> geval.
>>
>> Ik begreep trouwens uit betrouwbare bron dat al diverse mensen vragen
>> hebben gesteld aan hun huidige Zoekmachinemarketing boer over
>> Marketingtiger.
>
> Dezelfde partij spamt ook voor -jawel- nep-planten. Zie
> www.superproducts2005.com (gehost op 222.77.186.35 waar ook
> 900suchmaschinen.com zit) met een frame die een pagina van
> www.internetchoiceeurope.com haalt. Die laatste is ook gehost bij
> OMCNet.
Dat is interessant.
WeFindProducts Ltd. Zug, Paris, Amsterdam Oceandr. 29/33 6. Floor,
Gibraltar
Zit voor de rest op die pagina internetchoiceeurope.com *erg* veel
rotzooi, wellicht bedoeld als (slechte) SEO technologie..
En de gegevens van dat domein:
owner-contact: P-TGB81
owner-organization: Trade Town Asia Ltd.
owner-fname: Frank
owner-lname: Martens
owner-street: 6 Main Street
owner-city: Gibraltar
owner-state: Gibraltar
owner-zip: 11111
owner-country: GI
owner-phone: +34.68545895
owner-email: ma...@hostingsforyou.com
Hmm, dat is nogsteeds Gibraltar, maar wel een ander adres.
Groet,
Geert
De spams zijn in het Nederlands, de website is (even afgezien van de
kwaliteit) in het Nederlands, de doelgroep is Nederlands en misschien
is er een Nederlandse partij/affiliate bij betrokken.
Carel
> Ik heb er nog niet zoveel over gezien, maar ze mailen in ieder geval
> stevig door. Samples:
Ze sturen me trouw iedere dag een nieuw mailtje. De eerste paar keren heb
ik nog actie ondernomen, ik denk dat ik er nu geen energie meer aan
besteed. Inmiddels een reactie van Yahoo gekregen, ze nemen "appropriate
action".
Ruitenheer
Ik zag dat ze vandaag ook nog wat hebben gemaild, maar niet op
dezelfde schaal als eerder deze week. Het lijkt er dus op dat
halverwege de spamrun iemand tot de ontdekking kwam dat de gespamde
URL het niet meer deed :)
Carel
Tja voor hoe lang is de vraag. Nieuw domein aanvragen en ergens
bulletproof hosten en ze kunnen weer flink door. Aan de hoeveelheid te
zien die ze al verstuurd hebben zullen vast nog wel wat aankunnen
(totdat de proxies dood gaan o.i.d.)
Geert
Maar de afname van de spam was te vroeg gejuicht. Ik kreeg er vandaag weer
2 binnen, weer met dezelfde (inmiddels dode) url.
Ruitenheer
Sinds zaterdag heb ik elke dag wel mailtjes van ze ontvangen. Wat zou
die gekke code onderaan de berichten zijn? Lijkt een soort unique
identifier, maar wat hebben ze daar aan?
--
Met vriendelijke groeten,
Geert Wirken
Het kan een unieke identifier zijn, maar bedenk dan wel dat de spammer
ze ook ergens moet loggen. Dat betekent dus al snel een (tekstbestand,
database) met miljoenen identifiers. En ik heb zo het gevoel dat deze
spammer dat niet precies na gaat lopen op niet-afgeleverde mails (de
afzenders zijn tocg nep) of op exemplaren die worden gerapporteerd.
De kans is groter dat het hashbusters zijn. Systemen als de DCC maken
eenvoudig gezegd een hash van mails die ze tegenkomen. Komt dezelfde
hash vaak langs, gaat er een alarm af: de mail is bulk. Door te zorgen
dat een (voldoende) deel van iedere mail totaal verschillend is
voorkom je dat soort alarmen.
Carel
Kwam er vannacht hier weer minimaal 1 binnen zetten, komende vanaf
71.142.24.137 (open proxy of course)
Resolving link obfuscation
http://www.marketingtiger.com
Host www.marketingtiger.com (checking ip) = 202.109.140.212
host 202.109.140.212 (getting name) no name
URL doet 't dus weer, geeft hier echter alleen een Apache Welcome page.
Geert
> [hashbusters] Systemen als de DCC maken
> eenvoudig gezegd een hash van mails die ze tegenkomen. Komt dezelfde
> hash vaak langs, gaat er een alarm af: de mail is bulk. Door te zorgen
> dat een (voldoende) deel van iedere mail totaal verschillend is
> voorkom je dat soort alarmen.
Inderdaad, maar het wordt ze niet te gemakkelijk gemaakt:
<http://www.rhyolite.com/anti-spam/dcc/>
"The checksums include values that are constant across common variations
in bulk messages"
"the main DCC checksums are fuzzy and ignore aspects of messages"
--
Affijn, Ruud
"Gewoon is een tijger."
> Website werkt weer op het moment. Ik krijg 2 tot 4 spams per dag binnen
> van die mongolen..
Op enige intelligentie kun je ze niet betrappen. Als je al overwoog om
zaken met ze te doen, zou je dat na de zoveelste spam over moeten zijn.
> heeft een abuse via yahoo.co.uk zin?
Mijn mailtjes naar ab...@yahoo.co.uk hadden geen zin, van ab...@yahoo.com
kreeg ik wel snel bericht
> Gebruikte adressen:
>
> ordermark...@yahoo.co.uk
> deletemark...@yahoo.co.uk
>
>
> Disclaimer::
> MarketingTiger.com
> Telephone 0044- (0) 871 6610034
> Telefax 0044- (0) 871 661 8220
> London - Paris - St. Galllen
Ik heb even een offerte voor hun eigen site aangevraagd.
Ruitenheer