Spammer benutzt meinen Domainnamen fuer Adresse
Kai Weber
ich habe heute schon die dritte "Undelivered Mail Returned to Sender"
Nachrichten bekommen. Offenbar benutzt jmd. meinen Domainnamen
glorybox.de, um Adressen zu generieren und in derem Namen Spam zu
verschicken.
Womöglich werden jetzt ein paar Beschwerden hier eintrudeln, auf die ich
gerne mit guten Gegen-Beweisen und Argumenten vorbereitet wäre.
Unten angehängt einmal T-Online und eine merkwürdige Nachricht von
<nol...@GetResponse.com>. Von dieser Nachricht nur die Received-Header.
Die sehen irgendwie komisch aus.
Kai
--[ Beispiel #1 ]--
Received: (qmail 67455 invoked from network); 12 Sep 2003 07:52:05 -0000
Received: from unknown (HELO gasthof-thaller.at) (68.80.238.156) by 0 with
SMTP; 12 Sep 2003 07:52:05 -0000
--[ Beispiel #2 ]--
From: Mail Delivery System <Mailer...@t-online.de>
Subject: Mail delivery failed: returning message to sender
To: shard...@glorybox.de
Date: Fri, 12 Sep 2003 09:31:32 +0200
|------------------------- Failed addresses follow: ---------------------|
<07385...@t-online.de>
unknown user / Teilnehmer existiert nicht
|------------------------- Message text follows: ------------------------|
Received: from la-cigale.de ([65.35.61.89]) by mailin04.sul.t-online.de
with esmtp id 19xiOp-1Q9Y5C0; Fri, 12 Sep 2003 09:31:23 +0200
User-Agent: Mozilla/5.022 (Macintosh; U; PPC; U; NT4.0; en-us) Gecko/25250101
MIME-Version: 1.0
To: 07385...@t-online.de
From: "Shelby Harding" <shard...@glorybox.de>
Subject: =?iso-8859-1?B?U2lsZGVuYWZpbCBDaXRyYXRlICBTcGVjaWFs?=
Date: Fri, 12 Sep 2003 07:31:24 +0000
Message-ID: <3F61764C...@glorybox.de>
Content-Type: text/html
Content-Transfer-Encoding: 8bit
X-Seen: false
<html><body>
<center><!--74w58dz6qyfh--><a
+href="http://www.copyrighte.com/host/default.asp?ID=omni"><img
+src="http://vanline2.com/pics/gv1.gif" height="270" width="405"></a></center>
</html></body>
Töns Büker
> ich habe heute schon die dritte "Undelivered Mail Returned to Sender"
> Nachrichten bekommen. Offenbar benutzt jmd. meinen Domainnamen
> glorybox.de, um Adressen zu generieren und in derem Namen Spam zu
> verschicken.
Freu' Dich, dass es nur drei sind. Bei mir sind es
zwischen 2 und 3 _pro Minute_.
Tschö
Töns
--
There is no safe distance.
Paul *Paulchen* Bär
"Kai Weber" rief...
> Hallo,
>
> ich habe heute schon die dritte "Undelivered Mail Returned to
> Sender" Nachrichten bekommen. Offenbar benutzt jmd. meinen
> [Domainnamen], um Adressen zu generieren und in derem Namen
> Spam zu verschicken.
Hallo, Kai,
geht mir (erstmalig) auch grad so, gleich zwei unserer Domains
sind betroffen.
Soweit ich bislang erkennen kann, sind die Spammails (für die
grad die Bounces hier aufschlagen) vollkommen unterschiedlich
und auch rund um die Erde eingeliefert worden. Fürchte, dass
da heute noch einiges auf uns zu kommt.
> Womöglich werden jetzt ein paar Beschwerden hier eintrudeln,
> auf die ich gerne mit guten Gegen-Beweisen und Argumenten
> vorbereitet wäre.
Beschwerden sind hier noch nicht eingetroffen, aber ich sehe
auch da schon Berge an Mails anrollen.
Mann gönnt sich ja sonst nix (muss ich wirklich unseren
Kleinbus schwarz umpinseln?)?
Christian Lißner
bei jeder einzelnen Mail zu variieren. Seit heute schlägt es auch bei
meiner Domain mit einigen Bounces ein. Das kann ja heiter werden...
Grüße
Christian
Holger Lembke
>geht mir (erstmalig) auch grad so, gleich zwei unserer Domains
>sind betroffen.
Dito hier, gerade eben #3, allerdings nicht auf dieser Domain.
"Cheap Prices For Viagra" bzw. =?ISO-8859-1?b?TG93Z...
--
mit freundlichen Grüßen BUllSHit
Holgi, +49-531-3497854
Sascha Ehlert
ebenfalls.
2*2 in jeweils 5 Minuten
Jeweils von ganz woanders eingeliefert worden.
Neues Spam-Tool?
Die Zeitnähe hier zu den anderen Fällen, läßt mich vermuten das da
einige wenige hinterstecken.
Habe vorher noch nie erlebt das einer meine Domain als Reply angibt.
Allerdings nicht einmal einen gültigen local-Part?!
Gruß
Sascha
Backhausen, Sven
Kai Weber <usenet...@glorybox.de> wrote:
> ich habe heute schon die dritte "Undelivered Mail Returned to Sender"
> Nachrichten bekommen. Offenbar benutzt jmd. meinen Domainnamen
> glorybox.de, um Adressen zu generieren und in derem Namen Spam zu
> verschicken.
>
Tja, uns hats erstmalig auch getroffen. Ich hab mal probeweise in einen
der Bounces genauer reingeschaut, wurde über einen Windows NT Rechner
eingeliefert. Der hat Port 139 und Port 80 offen. Auf solchen Maschinen
existiert meist ein Benutzer namens Administrator. Da auch. Hat kein
Passwort. Ich war kurz davor, rm -rf * einzutippen, habs aber sein
lassen.
Matthias Schwaiger
... und schon wieder einer, dem es so geht wie euch!
Naive Frage: Kann man irgendwas dagegen tun?
Sammelt beispielsweise zufälligerweise jemand solche E-Mail-Headers, um
dann den Urheber dessen ausfindig zu machen?
In der Hoffnung, dass es bei ein paar Mails bleibt,
Matthias
Frank Widmaier
> ich habe heute schon die dritte "Undelivered Mail Returned to Sender"
> Nachrichten bekommen. Offenbar benutzt jmd. meinen Domainnamen
> glorybox.de, um Adressen zu generieren und in derem Namen Spam zu
> verschicken.
Ich kann hierauf nun auch warten. Ein Bekannter wurde angeschrieben,
dass er auf meiner mozhilfe.de gelistet ist, aber in verschiedenen
Suchmaschinen noch nicht eingetragen ist, blabla...
Scheinbar werden die Spammer etwas aggressiver in ihrem Vorgehen.
--
mozilla/netscape: http://mozhilfe.de http://mozilla.kairo.at news:dcsm.*
Tips & Tricks: http://holgermetzger.de http://mozilla-anleitung.de
mozilla/netscape-FAQ: http://mozilla.kairo.at/doc/mozilla-faq.php
Berthold Bronisz
"Kai Weber" schrieb im Newsbeitrag
> ich habe heute schon die dritte "Undelivered Mail Returned to Sender"
> Nachrichten bekommen. Offenbar benutzt jmd. meinen Domainnamen
> glorybox.de, um Adressen zu generieren und in derem Namen Spam zu
> verschicken.
Nun, da bist Du nicht alleine. In der Zwischenzeit trudeln hier fast
"minütlich" zwischen 5-6 "Undelivered Mail..." Mails ein. Meine betroffene
E-Mail Adresse irge...@bbronisz.de ist eine Umleitung, die ich seinerzeit
bei Freecity eingerichtet habe. Dort habe ich nun das "Catchall"
deaktiviert, sodass die generierten Mails nicht zu mir gelangen, es sei
denn, dass zufällig die richtige Adresse generiert wurde. Daher mein Tipp an
diejenigen, die sich ebenfalls eine Umleitung bei Freecity eingerichtet
haben, den "Catchall" zu deaktivieren. Das kann man dort unter
Domain/E-Mailpflege, in dem man unter:
"E-Mail Catch-All"
Sollen alle E-Mail-Adressen Ihrer Domain, die Sie nicht angegeben haben,
standardmäßig auf die in Ihrem FreeCity Profil angegebene Adresse
na...@provider.de umgeleitet werden?
Nein angibt.
Damit sollte das Problem zumindest bei Freecity.de gelöst sein.
Gruß
Bert
Matthias Leisi
> Jeweils von ganz woanders eingeliefert worden.
> Neues Spam-Tool?
> Die Zeitnähe hier zu den anderen Fällen, läßt mich vermuten das da
> einige wenige hinterstecken.
Ebenfalls zeitnah hier auf einigen Domains, die ich betreue;
ganz unterschiedliche IPs aus aller Herren Länder. Ich vermute
mal eine Serie von Spam-Zombies (wie hiess der Wurm/Trojaner
schon wieder?).
Zudem wird nicht für einen ganzen Spam-Run eine einzelne Domain
missbraucht, sondern schön scheibchenweise.
Die beworbene URL hat immer ein "ID=omni". Alle Domains (die ich
bisher gesehen habe) sind bei paycenter.com.cn mit soweit ich es
sehe gleichen Angaben registriert -> Na super, jetzt registriert
Spam-Hausen schon selbst Domains :-%
Aufgelöst werden all die Hosts auf 219.153.0.215 -> Chinanet,
Provinz Chongqing (die sind mir in letzter Zeit nicht über den
Weg gelaufen?).
-- Matthias
--
Swiss Internet User Group http://www.siug.ch/
Oliver Musch
> Ich kann hierauf nun auch warten. Ein Bekannter wurde angeschrieben,
> dass er auf meiner mozhilfe.de gelistet ist, aber in verschiedenen
> Suchmaschinen noch nicht eingetragen ist, blabla...
Das ist aber alt... Ich bekomme seit 2 Jahren "Hinweise zur Verbesserung
der Suchmaschinen-Ergebnisse" für eine Domain eines Bekannten, der mich
mit eMail für die Fotografien auf seiner Seite eingetragen hat.
Bekanntester Vertreter dürfte TrafficMagnet sein.
--
Gruß
Oliver
Chris Bintz
Backhausen, Sven wrote:
>
> Tja, uns hats erstmalig auch getroffen. Ich hab mal probeweise in einen
> der Bounces genauer reingeschaut, wurde über einen Windows NT Rechner
> eingeliefert. Der hat Port 139 und Port 80 offen. Auf solchen Maschinen
> existiert meist ein Benutzer namens Administrator. Da auch. Hat kein
> Passwort. Ich war kurz davor, rm -rf * einzutippen, habs aber sein
> lassen.
Warum, der versendet doch bestimmt unfreiwillig den Spam und wäre Dir
sicherlich dankbar wenn Du das stoppst.
Chris
Carsten Krueger
Hab meine Domain auch bei Freecity
Gruß Carsten
--
http://learn.to/quote - richtig zitieren
http://www.realname-diskussion.info - Realnames sind keine Pflicht
http://oe-faq.de/ - http://www.oe-tools.de.vu/ - OE im Usenet
http://www.spamgourmet.com/ - Emailadresse(n) gegen Spam
Frank Widmaier
> Das ist aber alt... Ich bekomme seit 2 Jahren "Hinweise zur Verbesserung
> der Suchmaschinen-Ergebnisse" für eine Domain eines Bekannten, der mich
> mit eMail für die Fotografien auf seiner Seite eingetragen hat.
so herum kannte ich es noch nicht. Irgendeine Frau schreibt mich
regelmaessig wegen meiner Domains an (inkl. Screenshot der Startseite),
ich solle mioch doch registrieren lassen.
Dass aber nun ein Bekannter eine email bekommt, von dem ich _nur_ eine
MID auf der Seite habe - das ist schon etwas befremdlich.
Uli Bernt
>Womöglich werden jetzt ein paar Beschwerden hier eintrudeln, auf die ich
>gerne mit guten Gegen-Beweisen und Argumenten vorbereitet wäre.
>
><html><body>
><center><!--74w58dz6qyfh--><a
>+href="http://www.copyrighte.com/host/default.asp?ID=omni"><img
>+src="http://vanline2.com/pics/gv1.gif" height="270" width="405"></a></center>
></html></body>
Hallo,
anhand der HTML-Reste mit dem gv1.gif kann ich Dir bestätigen, dass
auch meine domain vom gleichen Spammer missbraucht wird, über ein
Dutzend kamen zurück.
uli
Harald Kipp
Mails, soweit im Bounce erkennbar, sind unterschiedlich und es
werden unterschiedliche User unserer emails verwendet.
Ich verwende auf einer unserer Seiten contact.php mit
massenweise Fakeadressen und hatte schon an einen Racheakt
gedacht.
Harald
Ingo Hahn
<usenet...@glorybox.de>:
> Hallo,
>
> ich habe heute schon die dritte "Undelivered Mail Returned to Sender"
> Nachrichten bekommen. Offenbar benutzt jmd. meinen Domainnamen
> glorybox.de, um Adressen zu generieren und in derem Namen Spam zu
> verschicken.
Bei mir schlagen die auch auf dummerweise auf die Domainendung
ej-kitzingen.de das ist die Seite der Evangelischen Jugend im Dekanat
Kitzingen und es ist extrem ärgerlich, wenn mit einer gefälschte
Absenderadresse der Evangelischen Jugend Spam verteilt wird am ende noch
Potenzmittel / Porno etc.
Mich würde auch iinterresieren was man dagegen tun kann. Von 1und1 kam nur
zurück das man nichts tun kann und es problemlos möglich ist
absenderadressen zu fälschen. Wie kann ich z.b. verhindern das die domain
ej-kitzingen auf verschiedenen Mailservern als Spammdomain gesperrt wird?
Liebe Grüße
Ingo
Christian Peper
> Hallo,
>
> ich habe heute schon die dritte "Undelivered Mail Returned to Sender"
> Nachrichten bekommen. Offenbar benutzt jmd. meinen Domainnamen
> glorybox.de, um Adressen zu generieren und in derem Namen Spam zu
> verschicken.
Dito hier, betroffen sind mindestens:
c-peper.de
der-trublu.de
dogabi2002.de
Diesmal kommt bei mir jedoch recht wenig an, es sind bisher nur etwa 20-30
Stück (wegen der verschiedenen Domains kommen die nicht im selben Ordner an
und einige hat Spamassassin erwischt)
el TruBlu
Harald Kipp
> absenderadressen zu fälschen. Wie kann ich z.b. verhindern das die domain
> ej-kitzingen auf verschiedenen Mailservern als Spammdomain gesperrt wird?
Die Sorge ist unbegründet. Man wird zumindest vorher versuchen,
den postmaster oder abuse zu erreichen. Erst wenn Du dann nicht
reagierst, wirst Du gesperrt.
Allerdings sind die Sperrlistenbetreiber nicht so blöd. Die
sehen schon, welchen Ursprung die email tatsächlich hat.
Der massive Angriff hat zumindest den Vorteil, dass auch
Otto Normaluser darauf aufmerksam gemacht wird, dass der
Absender von Spams üblicherweise gefälscht ist.
Hoffen wir mal, dass der Verursacher ausfindig gemacht wird.
Meine Spamaggressionen warten seit Monaten auf das passende
Ventil. Der Typ hat dann eindeutig die A*-karte gezogen.
Harald
--
For spam do not remove n_o_s_p_a_m from email address
Jacob Palczynski
> Hallo,
>
> ich habe heute schon die dritte "Undelivered Mail Returned to Sender"
> Nachrichten bekommen. Offenbar benutzt jmd. meinen Domainnamen
> glorybox.de, um Adressen zu generieren und in derem Namen Spam zu
> verschicken.
>
> [...]
Bei mir sind's mittlerweile 15 Stück; das ganze hat zur gleichen Zeit
angefangen, scheint auch der gleiche Täter zu sein. Betroffen ist bei mir
palczynski.de
--
Positronic Artificial Lifeform Limited to Exploration
Ingo Hahn
<nhoasr...@egnite.de>:
> Die Sorge ist unbegründet. Man wird zumindest vorher versuchen,
> den postmaster oder abuse zu erreichen. Erst wenn Du dann nicht
> reagierst, wirst Du gesperrt.
Sehr beruhigend. Aber ärgerlich ist es trotzdem. wie kann man helfen den
Verursacher zu finden? Sprich kann jemand mit den Bounces was anfangen um
den Verursacher zu ermitteln? Sonst stell ich einfach chatch all ab udn hab
meine ruhe (wenn ich eh nix tun kann)
Liebe Grüße
Ingo
Tina Mueller
> ich habe heute schon die dritte "Undelivered Mail Returned to Sender"
> Nachrichten bekommen. Offenbar benutzt jmd. meinen Domainnamen
> glorybox.de, um Adressen zu generieren und in derem Namen Spam zu
> verschicken.
ich bekomme seit april bounces und bin mittlerweile bei
500 am tag angekommen. und es wird taeglich mehr... =(
gruss, tina
--
http://www.tinita.de/ \ enter__| |__the___ _ _ ___
http://Movies.tinita.de/ \ / _` / _ \/ _ \ '_(_-< of
http://www.perlquotes.de/ \ \ _,_\ __/\ __/_| /__/ perception
- the above mail address expires end of december 2003 -
Harald Kipp
> Sehr beruhigend. Aber ärgerlich ist es trotzdem. wie kann man helfen den
> Verursacher zu finden? Sprich kann jemand mit den Bounces was anfangen um
> den Verursacher zu ermitteln? Sonst stell ich einfach chatch all ab udn hab
> meine ruhe (wenn ich eh nix tun kann)
Die laufen hier auch auf, leider sind es viele verschiedene Quellen.
Also benutzt jemand eine umfangreiche Liste offener Relais. Alte
Bekannte hatte ich schon entdeckt (China, Korea, die üblichen halt),
aber auch unbekannte z.B. eine aus Schweden.
Im Moment kann man nur warten, bis jemand bessere Informationen
hat als die Bounces. Provider oder Spamtraps, z.B. Dann soll der
Typ sich warm anziehen. Ich koche.
Berthold Bronisz
"Carsten Krueger" schrieb im Newsbeitrag
> 9 Stück.
>
> Hab meine Domain auch bei Freecity
>
> Gruß Carsten
Ich nehme an, Du hast den "Catchall" nun auch deaktiviert!? Jedenfalls habe
ich jetzt Ruhe mit dem Müll. Ansonsten sollte man es "gelassen" sehen, denn
a.) man kann es nicht verhindern und b.) ist jede Aufregung deswegen -siehe
a.)- sinnlos und versaut einem womöglich nur den Tag. Naja und dann habe ich
natürlich noch einen Mailfilter (Mailwasher) der, sollte doch mal
irgendetwas durchkommen, mir den Müll ohnehin schon zum Löschen anzeigt.
Gruß
Bert
Paul *Paulchen* Bär
"Frank Widmaier" schrieb
> Dass aber nun ein Bekannter eine email bekommt, von dem
> ich _nur_ eine MID auf der Seite habe - das ist schon
> etwas befremdlich.
Tröste Dich, bei mir schreibt diese nette Dame immer an
error[at]<meinedomain>.de (Auf meiner error404-Seite ist
eine Mailangabe - gedacht für Fehlerhinweise). Und Mails
dieser Dame sind doch eindeutig ein Fehler? ...
Dietrich Schaffer
In solchen Fällen hilft man doch gerne und verpaßt dem Admin ein
sicheres Paßwort ;-)
Servus,
Dietrich
Carsten Krueger
>Ich nehme an, Du hast den "Catchall" nun auch deaktiviert!?
Ja, leider.
>a.) man kann es nicht verhindern
Wohl war.
> Naja und dann habe ich natürlich noch einen Mailfilter (Mailwasher) der, sollte doch mal
>irgendetwas durchkommen, mir den Müll ohnehin schon zum Löschen anzeigt.
Man müsste bounces irgendwie automatisch löschen wenn man nicht vorher
an diese Adresse an diesen "Empfänger" eine Mail gesendet hat.
saso
meine Domain wird ebenso gerade ausgebeutet.
Aber was kann man denn konkret tun?
Vorallem , wenn es ein Server/Betreiber aus dem Ausland ist.
Bekomme ich die ReturnMails auch wenn ich den
Catchall für meine domain abschalte?
Lars Burk
Das ist ja witzig, dass man sich mal hier trifft. Werde auch gerade von
Bounces genervt, aber mich erwischt es heute das erste mal...
Liebe Grüße
Lars Burk
"Tina Mueller" <use...@expires12.2003.tinita.de> schrieb im Newsbeitrag
news:bjsea8$mletv$1...@ID-24002.news.uni-berlin.de...
Rathner
> Nachrichten bekommen. Offenbar benutzt jmd. meinen Domainnamen
> glorybox.de, um Adressen zu generieren und in derem Namen Spam zu
> verschicken.
Erstmalig ist mir das mit meiner Domain "rathner.de" heute ebenfalls
passiert. Allerdings sind es bisher eher 30 als 3 "undelivered"-Spam-Mails
(hatte die Mails bisher nicht gezählt).
Sieht übrigens nach der gleichen Quelle aus:
> <html><body>
> <center><!--74w58dz6qyfh--><a
> +href="http://www.copyrighte.com/host/default.asp?ID=omni"><img
> +src="http://vanline2.com/pics/gv1.gif" height="270"
width="405"></a></center>
> </html></body>
bei mir:
<html><body>
<center><!--5i3al4cbm6hw--><a href=3D"http://www.coolfee1.com/host/defaul=
t.asp?ID=3Domni"><img src=3D"http://discountrate2.com/pics/gv1.gif" heigh=
t=3D"270" width=3D"405"></a></center>
</html></body>
Der Verursacher dieser Spam-Mails sollte sich schon mal warm anziehen.
Inzwischen sammel ich alle Spuren und lösche die Mails nicht mehr, so dass
ich bei einer ggf. fälligen Strafanzeige Beweise beisteuern kann.
MfG
Thomas
Lars Burk
"Kai Weber" <usenet...@glorybox.de> schrieb im Newsbeitrag
news:bjrv9m$maa34$1...@ID-52028.news.uni-berlin.de...
> ich habe heute schon die dritte "Undelivered Mail Returned to Sender"
> Nachrichten bekommen. Offenbar benutzt jmd. meinen Domainnamen
> glorybox.de, um Adressen zu generieren und in derem Namen Spam zu
> verschicken.
bei mir hat es "g r u v . d e" erwischt und zwischen 12:13 und jetzt sind 14
Nachrichten eingegangen. Ich hasse das.
> Womöglich werden jetzt ein paar Beschwerden hier eintrudeln, auf die ich
> gerne mit guten Gegen-Beweisen und Argumenten vorbereitet wäre.
>
> Unten angehängt einmal T-Online und eine merkwürdige Nachricht von
> <nol...@GetResponse.com>. Von dieser Nachricht nur die Received-Header.
> Die sehen irgendwie komisch aus.
>
Scheint ja eine konzentrierte Aktion gewesen sein, wenn es schon soviele
Opfer gibt. Der Catch All lässt sich bei Strato leider nicht ausschalten,
daher heißt es, manuell aussortieren, finde ich aber OK. Normalerweise
interessiert es mich, wenn es Bounces gibt. So ist man wenigstens
informiert, wenn mal wieder die kriminelle Energie bei jemanden ansteigt!
Scheinen ja dann alle vom gleichen Spammer zu sein oder gibt es jetzt schon
Distributed Spamming??? Argh.
Viele Grüße noch aus Lüneburg
Lars
Harald Kipp
> Sieht übrigens nach der gleichen Quelle aus:
Ich kann da nix gleiches entdecken.
>
> Der Verursacher dieser Spam-Mails sollte sich schon mal warm anziehen.
> Inzwischen sammel ich alle Spuren und lösche die Mails nicht mehr, so dass
> ich bei einer ggf. fälligen Strafanzeige Beweise beisteuern kann.
Sammeln tu ich auch, aber Strafanzeige kannst'e sicher vergessen.
Wird aus irgend so einer Spammernation kommen, die nicht rafft, dass
das nervt und daher eh nix tut. Anarchistische Selbstjustiz ist das
einzige Mittel.
Backhausen, Sven
"Rathner" <TheCh...@rathner.de> wrote:
>
> Der Verursacher dieser Spam-Mails sollte sich schon mal warm anziehen.
> Inzwischen sammel ich alle Spuren und lösche die Mails nicht mehr, so
> dass ich bei einer ggf. fälligen Strafanzeige Beweise beisteuern kann.
>
(zumindest bei den hier aufgeschlagenen Bounces) wurden sie Spams alle
über gehackte Windows-Kisten verschickt. Ich glaube nicht, dass dort
viel geloggt wird. Btw, zwei von denen sind zumindest theoretisch
greifbar (t-ipconnect.de).
Andreas Thiel
wenn es dich beruhigt, auch meine Domain hat es erwischt und wird von
Spammern mißbraucht.
Mir bleibt eigentlich nur eins: Abwarten, denn bislang konnte ich noch
nicht anhand eines der Header feststellen, von wo der Mist kommt, nur
das Viagra beworben wird und
http://www_donat43_com/host/default.asp?ID=omni zum Anklicken ist für
weitere Info. (Versteht sich von selbst, dass die Adresse von mir
verändert wurde _=.)
Gruß,
Andreas
-------------------------------------------------------------------
Hiermit widerspreche ich der Nutzung und, oder Uebermittlung meiner
Daten fuer Werbezwecke oder fuer die Markt- und, oder
Meinungsforschung gemaess Par. 28 Absatz 3 Bundesdatenschutzgesetz !
-------------------------------------------------------------------
Rolf Hackemann
Frank Widmaier schrieb:
> so herum kannte ich es noch nicht. Irgendeine Frau schreibt mich
> regelmaessig wegen meiner Domains an (inkl. Screenshot der Startseite),
> ich solle mioch doch registrieren lassen.
Die grasen systematisch alles ab, wo ne Mailadresse verzeichnet sein
kann, also auch Gästebücher. Über dies masche hat eine Freundin diese
"Post" bekommen.......weil sie sich ins GB einer Site eingetragen
hatte, die ich administriert hatte.
Anscheinend haben sie mitbekommen, das die Site offline ist, denn
mittlerweile ist seit Monaten Ruhe. Sind übrigens immer, so weit ich
mich erinnere, unterschiedliche Absender gewesen (kann ich aber nicht
nachchecken, da die Mails gleich vernichtet wurden).
Tschüss, Rolf
Ralf Laesecke
auch ich erhalte reichlich "Undelivered Mail Returned to Sender",
bis jetzt ca. 40.
Ich bin schon vor ein paar Monaten dazuübergegangen alle Mail mit GPG zu
signieren. Auch wenn die Empfänger die Signatur nicht überprüfen, erkennen
Sie an den "cryptischen Zeichen" am Ende der Mail, das Sie von mir ist.
Bekommt ihr auch ständig asiatische Spam ?, scheinbar bin ich da irgendwie
auf eine Liste geraten. Vielleicht die gleiche Liste die hier verwendet
wurde.
Naja hab auf alle fälle mal ne Mail an liuqi...@yahoo.com.cn und
dd...@163.com (auf die sind die Domains registriert) und an
paycenter.com.cn (DNS) geschickt. Wird wohl nix bringen, aber nix tun
bringt auch nix.
Und ich werd da bestimmt nix bestellen!
Schönes Wochenende ?!
------
Wer Rechtschreibfehler findet darf sie behalten !
Tina Mueller
> Hallo Tina,
hi lars!
> Das ist ja witzig, dass man sich mal hier trifft. Werde auch gerade von
> Bounces genervt, aber mich erwischt es heute das erste mal...
dann hoffe ich fuer dich, dass es nicht mehr wird... :-/
bei mir laesst es seit heute wieder ein wenig nach, das
laesst hoffen...
meine email vom 4. hattest du bekommen, oder?
Thorsten Späth
ich hab mir extra vorhin mal nen Filter eingebaut, weil das Geraffel in der
Inbox doch etwas zu nervig war. Zumindst wird in der HMTL-Mail bei 30% der
Fälle ein Bild von
nachgeladen. Die damit in verbindung stehenden a href verteilen sich auf
donat43.com, remarkhere.com, banke4.com, account7x24.com .
Allesamt lt. whois in China ansässig! Komisch ist aber irgendwie, daß die
Fake-Domains irgendwie alle im europäischen raum liegen.
Gruß,
Thorsten
"Andreas Thiel" <Pie...@Athiel.de> schrieb im Newsbeitrag
news:3F61DA95...@Athiel.de...
[...]
Maurice Müller
>Rathner wrote:
>
>> Sieht übrigens nach der gleichen Quelle aus:
>
>Ich kann da nix gleiches entdecken.
3D aus dem zweiten Beispiel streichen. ID ist bei beiden "ommni"...
Just a hint...
Gruß,
Maurice
Jens Knigge
ich habe das auch vor kurzem erleben dürfen. Bis ich von der Dienstreise
zurück und merkte, was los war und den Catch-All abgeschaltet hatte, gingen
ca. 55.000 Bounces ein. Dumm, wenn man eine Flatrate hat und der Compi die
Mails auch noch dauernd abholt.
Gruß
Jens Knigge
Rathner
news:bjskti$7ul$00$1...@news.t-online.com...
> > Sieht übrigens nach der gleichen Quelle aus:
>
> Ich kann da nix gleiches entdecken.
Ich sehe schon ein ähnliches Muster:
Immer gleich sind "ID=3Domni" oder "ID=omni" sowie "gv1.gif". Wäre schon
großer Zufall, wenn heute bei verschiedenen Quellen stets diese
Übereinstimmung da wäre.
Hier die Beispiele aus meinen Bounces:
1. Beispiel:
<html><body>
<center><!--5i3al4cbm6hw--><a href=3D"http://www.coolfee1.com/host/defaul=
t.asp?ID=3Domni"><img src=3D"http://discountrate2.com/pics/gv1.gif" heigh=
t=3D"270" width=3D"405"></a></center>
</html></body>
2. Beispiel:
<html><body>
<center><!--hlhy5k2gyu4u--><a
href="http://www.copyrighte.com/host/default.asp?ID=omni"><img
src="http://visithere3.com/pics/gv1.gif" height="270"
width="405"></a></center>
</html></body>
3. Beispiel:
<html><body>
<center><!--by61mngk8w2d1q--><a
href="http://www.remarkhere.com/host/default.asp?ID=omni"><img
src="http://discountrate2.com/pics/gv1.gif" height="270"
width="405"></a></center>
</html></body>
4. Beispiel:
<html><body>
<center><!--r7em89ls9y75--><a
href="http://www.region365.com/host/default.asp?ID=omni"><img
src="http://vanline2.com/pics/gv1.gif" height="270"
width="405"></a></center>
</html></body>
... ließe sich beliebig fortsetzen!
Größte Gemeinsamkeit: In allen Fällen steckt hinter den "beworbenen"
Websites der gleiche Administrator:
Administrative Contact: gui zhou, guang zhou, 1799 huang pu rd, guangzhou
Guangdong 510735, China, tel: 86 020 82061321, fax: 86 020 82061321,
liuqi...@yahoo.com.cn.
> > Der Verursacher dieser Spam-Mails sollte sich schon mal warm anziehen.
> > Inzwischen sammel ich alle Spuren und lösche die Mails nicht mehr, so
dass
> > ich bei einer ggf. fälligen Strafanzeige Beweise beisteuern kann.
>
> Sammeln tu ich auch, aber Strafanzeige kannst'e sicher vergessen.
> Wird aus irgend so einer Spammernation kommen, die nicht rafft, dass
> das nervt und daher eh nix tut. Anarchistische Selbstjustiz ist das
> einzige Mittel.
>
> Harald
Vermutlich sind die Chancen z. Zt. noch gering, einen anonymen Spammer
1. zu identifizieren und
2. strafrechtlich zu belangen.
Andererseits muss sich für diese Typen das Spammen in irgendeiner Weise
finanziell lohnen:
z. B. durch Prämien für die Klicks auf die entsprechenden Websites. Die
Betreiber der per Spam beworbenen Websites müßten auf jeden Fall in der Lage
sein, den Prämienempfänger ("ID=omni") zu identifizieren. Oder aber der
Website-Betreiber spammt selber, ein Eindruck, den man hier durchaus
bekommen kann...
MfG
Thomas
Harald Kipp
> 3D aus dem zweiten Beispiel streichen. ID ist bei beiden "ommni"...
> Just a hint...
Ja, Du hast Recht. Zumindest habe ich hier entdeckt, dass
ausschließlich Generic Viagra beworben wird. Die Links zu
den Shops sind unter unterschiedlichen Domains.
Diese sind meist in China registriert, aber auch
rackspace.com (UK und Texas). Siehe
https://www.secure-order-processing.bz/order.htm?ID
Harald Kipp
Guido Jurock
> ich habe heute schon die dritte "Undelivered Mail Returned to Sender"
> Nachrichten bekommen. Offenbar benutzt jmd. meinen Domainnamen
> glorybox.de, um Adressen zu generieren und in derem Namen Spam zu
> verschicken.
Ach schon die dritte heute? Ich habe heute Bounces im oberen
zweistelligen Bereich bekommen. Herzlichen Dank.
Welcher Mafiakil^Wselbständige Unternehmer hat noch Termine frei?
guido
--
»Immer, wenn uns ein irrsinniger Quatsch begegnet, entsteht das Dilemma, daß
wenn wir uns mit diesem gewissenhaft beschäftigen, es erscheint, als würden wir
ihn ernst nehmen; und wenn wir uns nicht darum kümmern, besteht die Gefahr:
er wird von anderen ernst genommen.« ~ Peter Esterhazy ~
Harald Kipp
https://www.secure-order-processing.bz/order.htm?ID
Die tun ahnungslos. Mal sehen, wie lange noch.
Gabriele Neukam
> Also benutzt jemand eine umfangreiche Liste offener Relais. Alte
> Bekannte hatte ich schon entdeckt (China, Korea, die üblichen halt),
> aber auch unbekannte z.B. eine aus Schweden.
Wehe, es ist 62.13.25.232; dann schicke bitte dem schwedischen
Postmeister abuse (at) utfors.se meine Grüße, er soll die Kiste
abklemmen, weil der Besitzer offensichtlich
http://www.lurhq.com/sobig-f.html
nicht gelesen hat, und den Lala-Trojaner nicht gleich mit entfernt.
Gabriele Neukam
--
Ca. 80% der Infektionen passieren ueber Email. Deshalb wurde schon
gelegentlich das Ende dieses ab 1970 aeltesten Internet-Dienstes
prophezeit.
(Johannes Sackmann in microsoft.public.de.security.heimanwender)
Rathner
Namen im Absender ...
Mein Sohn (10 Jahre) verwendet seine E-Mail-Adresse gelegentlich in
Online-Foren (Spiele-Seiten wie z. B. Toggo.de oder ähnliche). "Natürlich"
wird er jetzt auch regelmäßig mit Viagra-Angeboten zugemailt, und auch hier
ist oft der Absender gefälscht (heute: Chinesisches Viagra mit gefälschtem
Absender bei "aikido-hessen.de"). Noch schlimmer finde ich Spam-Mails zum
Themenkreis Sodomie, die er ebenfalls gelegentlich (mit entsprechenden nicht
jugendfreien Bildchen in der HTML-Mail) erhält.
Spam mit gefälschtem Absenderangaben sollte m. E. weltweit strafrechtlich
verfolgt werden. Ich sehe darin keinen Unterschied zu einem herkömmlichen,
per Post zugestellten Brief, bei dem die Absenderangabe gefälscht ist.
MfG
Thomas
Harald Kipp
ChoicePoint Unique Identifier
Domain Name: www.secure-order-processing.bz
Country: BZ
State: Burrell Boom Cutoff
Locality: Ladyville
Organization: Generic Limited
Organization Unit: Generic Limited
Die tauchen u.a. bei der US Food and Drug Administration auf:
Belize
Jose Sosa
Ladyville , BZ
65PCA02 Generic sildenafil citrate
Das Zeug wurde wohl illegal in den USA hergestellt. Siehe auch
http://www.amandala.bz/archives/archives2003/july%20_6_2003.html#4
Pfitzer ist die Sache nicht unbekannt.
Jean Pierre Wenzel
> Offenbar benutzt jmd. meinen Domainnamen
> glorybox.de, um Adressen zu generieren und in derem Namen Spam zu
> verschicken.
[x] Here too... Localparts bestehen immer aus n Buchstaben, einem
Unterstrich und zwei Buchstaben.
Habe im Moment ca. 10 Bounces pro Stunde, die hier aufschlagen...
Viele Grüße
Jean Pierre
Nico Haase
*Rathner* hinterließ uns:
> Spam mit gefälschtem Absenderangaben sollte m. E. weltweit strafrechtlich
> verfolgt werden. Ich sehe darin keinen Unterschied zu einem herkömmlichen,
> per Post zugestellten Brief, bei dem die Absenderangabe gefälscht ist.
Mit welcher Begründung? Es ist afaik nicht verboten, dass ich dir nen Brief
schreibe und als Absender Helmut Kohl, Oggersheim angebe.
mfg
Nico
--
www.Buchtips.net - Rezensionen online
ICQ 128421002
Harald Kipp
Bei
http://www.completewhois.com/hijacked/files/203.30.26.0.txt
wird ein Fall von IP Hijacking beschrieben, in dem, oh Wunder,
folgende Verbindung auftaucht:
Michele Young
13.5 miles Northern Highway
Ladyville, Burrell Boom Cutoff n/a
Belize
Phone:+(501)-225-4165
Registrar Name....: BelizeNIC registrar
Registrar Whois...: whois.belize.bz
Registrar Homepage: http://www.belizenic.bz
Domain Name: genericviagra.bz
Created on.............: 2001-10-29 11:57:37
Expires on.............: 2003-10-29 12:01:34
Record last updated on..: 2002-09-25 12:18:57
Technical Contact:
Generic Limited
Michele Young
13.5 miles Northern Highway
Ladyville, Burrell Boom Cutoff n/a
Belize
Phone: +(501)-225-4165
Email: ad...@planetpharmacy.bz
Billing Contact:
Generic Limited
Michele Young
13.5 miles Northern Highway
Ladyville, Burrell Boom Cutoff n/a
Belize
Phone: +(501)-225-4165
Email: ad...@planetpharmacy.bz
Domain servers in listed order:
pixie.ucb.edu.bz 63.245.31.221
umweb.belizenet.bz 63.245.31.217
Noch irgendwelche Fragen?
Eberhard Zastrau
> "Harald Kipp" <nhoasr...@egnite.de> schrieb im Newsbeitrag
> news:bjskti$7ul$00$1...@news.t-online.com...
>
> > > Sieht übrigens nach der gleichen Quelle aus:
> >
> > Ich kann da nix gleiches entdecken.
>
> Ich sehe schon ein ähnliches Muster:
> Immer gleich sind "ID=3Domni" oder "ID=omni" sowie "gv1.gif". Wäre schon
> großer Zufall, wenn heute bei verschiedenen Quellen stets diese
> Übereinstimmung da wäre.
Ich erhielt sieben "Rückläufer". Als "HELO" waren zumeist deutsche
Domains angegeben (eine englische und eine schwedische). Eine
Einlieferung kam über t-ipnet.de (verified). Die einzelnen IPs habe ich
nicht nachgesehen.
Die Absenderangaben folgten dem Muster "fiktiver Name" mit einer
e-mail-Adresse, die den fiktiven Namen (z.T. gekürzt) wiedergibt,
ergänzt um _xy (Unterstrich plus zwei Buchstaben), @meine domain.tld.
Beworbene URLS sind
| "http://www. refer34. com/ host/ default.asp? ID=omni"
| <img src="http:// vanline2. com/ pics/ gv1.gif"
| "http://www. donat43. com/ host/ default.asp? ID=omni"
| <img src="http:// purchasese. com/ pics/ gv1.gif"
| "http://www. remarkhere. com/ host/ default.asp? ID=omni"
| <img src="http:// visithere3. com/ pics/ gv1.gif"
| "http://www. eibs3. com/ host/ default.asp? ID=omni"
| <img src="http:// vanline2. com/ pics/ gv1.gif"
| "http://www. coolfee1. com/ host/ default.asp? ID=omni"
| <img src="http:// vanline2. com/ pics/ gv1.gif"
| "http://www. coolfee1. com/ host/ default.asp? ID=omni"
| <img src="http://purchasese.com/pics/gv1.gif"
Und noch einmal diese URL, jedoch ohne Bildchen.
Die angeblich verwendeten Mail-Clients differieren zwischen allen Mails.
Die in GMT angegebene Systemzeit des versendenden Rechners ist der
jeweiligen Zeit des annehmenden Rechners um ca. 10 Sekunden voraus, bei
einigen gegen Mittag (GMT) versandten Mails jedoch bis zu 7 Minuten.
Versandzeiten sind von ca. 7:30 GMT bis ca. 13:30 GMT.
Freundlichst
--
grüßt
Eberhard
Andreas Banze
<paul_...@crazyweb.de> wrote:
> Tröste Dich, bei mir schreibt diese nette Dame immer an
> error[at]<meinedomain>.de (Auf meiner error404-Seite ist
> eine Mailangabe - gedacht für Fehlerhinweise). Und Mails
> dieser Dame sind doch eindeutig ein Fehler? ...
Ich werde auch nie verstehen warum ich Seiten auf denen "Placeholder" steht
in Suchmaschinen eintragen lassen soll...
MfG
Andreas
Thorsten Späth
alle, die in regexp nicht so fit und angenervt sind... sollte bei procmail
etc. auch funktionieren - leider alles Linux :-)) ):
if ( /.*gv1\.gif.*/:b )
{
to "/dev/null"
}
Aber keine Gewähr für fehlerfreie funktion :-)
Gruß,
Thorsten
Tino Korth
es hat mich auch erwischt (Domain f1ndex.de). :(
Habe erst einmal eine Hinweisseite auf meiner Website geschaltet ...
http://www.f1ndex.de/redesign/de/spam.php
Mal sehen, was da kommt ........
Gruss
Tino
--
www.f1ndex.de - das Formel 1-Verzeichnis
Thomas Rathner
"Nico Haase" <weihnac...@despammed.com> schrieb im Newsbeitrag
news:120903.2008...@news.buchtips.net...
> Hallo Rathner oder wie du heißt,
> *Rathner* hinterließ uns:
> > Spam mit gefälschtem Absenderangaben sollte m. E. weltweit
strafrechtlich
> > verfolgt werden. Ich sehe darin keinen Unterschied zu einem
herkömmlichen,
> > per Post zugestellten Brief, bei dem die Absenderangabe gefälscht ist.
>
> Mit welcher Begründung? Es ist afaik nicht verboten, dass ich dir nen
Brief
> schreibe und als Absender Helmut Kohl, Oggersheim angebe.
> mfg
> Nico
Versuch doch mal, Massenwerbemails (per Post) mit dem Absender "Helmut Kohl,
Oggersheim" zu versenden, in denen für ein in Deutschland nicht zugelassenes
Generikum eines ansonsten (als Original) rezeptpflichtigen Medikamentes
(Viagra) geworben wird.
Ich bin zwar kein Jurist, dennoch bin ich mir sicher, dass dieser Versuch
auf jeden Fall strafrechtliche Konsequenzen nach sich ziehen würde!
MfG
Thomas
Stefan Gsinn
> ich habe heute schon die dritte "Undelivered Mail Returned to Sender"
> Nachrichten bekommen. Offenbar benutzt jmd. meinen Domainnamen
> glorybox.de, um Adressen zu generieren und in derem Namen Spam zu
> verschicken.
Auch bei mir schlagen sie mittlerweile massenhaft ein. Betroffen bei mir
ist bodenpersonal_de.
Wenn jemand interesse an den Mails hat (z.B. im Sinne einer
statistischen Auswertung o.ä.) bitte einfach per PM an mich wenden.
LG Stefan
--
PS: Kann leider zur Zeit nicht mitlesen (Examensstress), darum nur über
PM erreichbar
Gregor Skrzeczynski
>
>>geht mir (erstmalig) auch grad so, gleich zwei unserer Domains
>>sind betroffen.
>
>
> Dito hier, gerade eben #3, allerdings nicht auf dieser Domain.
>
Also, bei mir sind's in den letzten 2 Stunden 20 Mails auf der Domain $mein Nachnameง.de gewesen ... hab erstmal meine catchall- Umleitung geschlossen und einen Hinweis auf meine Homepage gestellt :-/
Robert Giebel
Mich hats auch erwischt.
Ich hab auf mehrere Domains ein catchall laufen, erhalte dadurch pro
Stunde gut 20 Mails.
Zählt wer mit, wie viele sich hier schon gemeldet haben?
Robert.
Markus Knapp
Auch meine Domain (siehe From:) ist betroffen.
Bekomme hier jede Menge Bounces.
Gruß,
Markus
--
* Markus * neu---> http://www.markus-knapp.de <---neu * KH-Fan *
"So gut wie alles, was du heute tust, wird über kurz oder lang
bedeutungslos sein. Trotzdem mußt Du es unbedingt tun."
Eberhard Zastrau
> Ich erhielt sieben "Rückläufer".
Inzwischen sinds 29. Elf hatten sich in meinen GMX-Filtern verfangen,
elf weitere kamen nach meinem Posting herein.
> Die in GMT angegebene Systemzeit des versendenden Rechners ist der
> jeweiligen Zeit des annehmenden Rechners um ca. 10 Sekunden voraus, bei
> einigen gegen Mittag (GMT) versandten Mails jedoch bis zu 7 Minuten.
Dieser Eindruck besteht auch bei den neuen "Rückläufern".
> Versandzeiten sind von ca. 7:30 GMT bis ca. 13:30 GMT.
hat sich bis gegen 19:00 Uhr GMT verlängert. :-(
Freundlichst
--
grüßt
Eberhard
Björn Schreiber
> ich hab mir extra vorhin mal nen Filter eingebaut, weil das Geraffel in der
> Inbox doch etwas zu nervig war. Zumindst wird in der HMTL-Mail bei 30% der
> Fälle ein Bild von
Auch ich habe heute einige Bounces erhalten - bislang ca. 15 Stück.
Die Domain selbst liegt bei Strato - ich weiß: eigene Schuld.
Die Emails verwalte ich durche eine Weiterleitung nach GMX. Ich würde ja
auch liebend gerne meine Filter anpassen. Im Moment bleibt aber (zum
Glück) alles im SPAM-Filter hängen, und die eigenen Filter greifen
deswegen nicht. Gibt es bei GMX nicht die Möglichkeit, Filter zu
definieren, die vor dem SPAM-Filter abgearbeitet werden?
Gruß,
Björn
--
Björn Schreiber
ne...@hotrs.de
Put NOSPAM in subject to reach me by email.
NOSPAM in den Betreff aufnehmen, um mich per Email zu erreichen.
Wolfgang Schmidhuber
>Man müsste bounces irgendwie automatisch löschen wenn man nicht vorher
>an diese Adresse an diesen "Empfänger" eine Mail gesendet hat.
Besser: wenn der localpart unbekannt ist. (Done)
--
Freundliche Grüße - Wolfgang Schmidhuber - www.wschmidhuber.de
Zum Thema OutlookExpress: http://www.wschmidhuber.de/oeprob/
Timo Humpert
http://forum.freecity.de/
--
Immer auf dem aktuellen Stand mit den Newsgroups von freenet.de:
http://newsgroups.freenet.de
Carsten Krueger
>Besser: wenn der localpart unbekannt ist. (Done)
ROTFL.
Bei Catch all gibt es keinen unbekantnen Localpart.
Ich baue jetzt nen eigenen X-Header ein und wenn der im Bounce fehlt,
dann geht der Bounce ungesehen in die Tonne.
Gruß Carsten
--
http://learn.to/quote - richtig zitieren
http://www.realname-diskussion.info - Realnames sind keine Pflicht
http://oe-faq.de/ - http://www.oe-tools.de.vu/ - OE im Usenet
http://www.spamgourmet.com/ - Emailadresse(n) gegen Spam
Hauke Lampe
> Die Domain selbst liegt bei Strato - ich weiß: eigene Schuld.
Ja, eine meiner Domains liegt auch dort und die Bouncewelle scheint Strato
ziemlich zu schaffen zu machen.
Vorhin gegen 18 Uhr hat mailin.webmailer.de häufig Verbindungen abgewiesen
und eingehende Mail wurde nicht geforwardet. Pings, die ich an meine Domain
schickte, kamen später gegen 2 Uhr endlich durch. Mail per POP3 abzuholen
funktionierte jedoch.
Ausgerechnet heute, wo ich die Domain in Bewerbungen benutzt habe, weil mir
das sicherer erschien als eine der Domains zu nehmen, die direkt an meinem
Mailer hinter ADSL eingeliefert werden. Weil das ja keinen guten Eindruck
machen würde wenn mein pppd wieder wegklappt und die Mail nicht zugestellt
werden kann... ;)
Hauke.
Tino 'Trips' Schuettpelz
> Hallo,
>
> ich habe heute schon die dritte "Undelivered Mail Returned to
> Sender" Nachrichten bekommen. Offenbar benutzt jmd. meinen
> Domainnamen glorybox.de, um Adressen zu generieren und in derem
> Namen Spam zu verschicken.
Ja, selbes Problem hier. Etwa 300 Bounces seit 23 Uhr gestern.
Trips
Ingmar Greil
> Die Absenderangaben folgten dem Muster "fiktiver Name" mit einer
> e-mail-Adresse, die den fiktiven Namen (z.T. gekürzt) wiedergibt,
> ergänzt um _xy (Unterstrich plus zwei Buchstaben), @meine domain.tld.
Same here, mit .at Domain.
Ingmar
Anselm Rapp
bin auch betroffen. Gibt's da keine FAQ oder eine Website, denen man
entnehmen kann, ob und was sich in solchen Fällen tun lässt?
Danke für Tipps,
Anselm
Uli Bernt
>es hat mich auch erwischt (Domain f1ndex.de). :(
>
>Habe erst einmal eine Hinweisseite auf meiner Website geschaltet ...
>http://www.f1ndex.de/redesign/de/spam.php
>
>Mal sehen, was da kommt ........
bist Du des Wahnsinns...??. :-(((
Du schreibst
"Wenn auch Sie eine SPAM-eMail von f1ndex.de erhalten haben, senden
Sie mir bitte die komplette SPAM-eMail (am besten als Dateianhang) an
folgende Adresse: ab...@f1ndex.de. "
Willst Du so die Folgen des Spams verdoppeln??
Was bringt das, wenn Du weisst, dass Deine Domain noch ein paar
hundert mal mehr missbraucht wurde?
Die Bespammten denken, dann das sie bei Deinem abuse eine Lösung des
PRoblems erhalten....aber das geht wohl kaum.
Ich habe selber 50-100 Bounces bekommen und lege keinen Wert drauf,
von den Tausenden anderen Bespamten noch nen Hinweis zu bekommen....
uli
Jose Rodriguez
Bis jetzt schon über 100 Mails eingegangen.
Soviel habe ich jetzt festgestellt:
Gewoben wird für einige Webseiten mit dem Accountnamen omni.
Die Webseiten für die geworben werden, gehören alle der gleichen Person aus
China.
Die Bilder werden auch von unterschiedlichen Domains aus geladen, welche
aber auch alle einer Person gehören.
Die meisten domains wurden beim selben Registrar registriert, auch aus
China.
So wie es aussieht, scheint es mir, als würden die beiden, sprich Spammer
und Viagrabetreiber zusammengehören.
Mit freundlichem Gruß,
Jose Rodriguez
"Töns Büker" <toens....@gmx.net> schrieb im Newsbeitrag
news:slrnbm30pa.3k...@kobalt.neuroserve.org...
> Kai Weber <usenet...@glorybox.de> meinte:
>
> > ich habe heute schon die dritte "Undelivered Mail Returned to Sender"
> > Nachrichten bekommen. Offenbar benutzt jmd. meinen Domainnamen
> > glorybox.de, um Adressen zu generieren und in derem Namen Spam zu
> > verschicken.
>
> Freu' Dich, dass es nur drei sind. Bei mir sind es
> zwischen 2 und 3 _pro Minute_.
>
> Tschö
> Töns
> --
> There is no safe distance.
Berthold Bronisz
"Uli Bernt" schrieb im Newsbeitrag
> bist Du des Wahnsinns...??. :-(((
>
> Du schreibst
> "Wenn auch Sie eine SPAM-eMail von f1ndex.de erhalten haben, senden
> Sie mir bitte die komplette SPAM-eMail (am besten als Dateianhang) an
> folgende Adresse: ab...@f1ndex.de. "
>
> Willst Du so die Folgen des Spams verdoppeln??
Tja, wer keine "Arbeit" hat, der macht sich welche ;-)
Aber ganz im Ernst. Den Hinweis mit der kompletten Spammail würde ich mir
auch ersparen. Es reicht, wenn auf der Seite darauf hingewiesen wird, dass
es sich bei den Spam-eMails um Fälschungen handelt und man sich als realer
Inhaber der betroffenen Domain davon ausdrücklich distanziert. So habe ich
es auch gehandhabt.
Gruß
Bert
Magnus Titho
mich hat's leider auch getroffen. Einige dutzend gestern und seitdem nochmal
rund 60 Rückläufer, wobei die Tendenz eher steigend zu sein scheint... :-(
Magnus
Eberhard Zastrau
> Inzwischen sinds 29. Elf hatten sich in meinen GMX-Filtern verfangen,
> elf weitere kamen nach meinem Posting herein.
Inzwischen sinds über 60.
Soweit die Rückläufer einen Rückschluss auf die Einlieferungs-IP
zulassen, sind nicht zwei der bei mir als Bounce aufgelaufenen Spams
über dieselbe IP verschickt worden. Bei einer Zeitspanne der
Einlieferung von inzwischen über 24 Stunden ist auch nicht zu erwarten,
dass alle die gleiche IP aufweisen. Aber dass ich nur unterschiedliche
IPs feststellen kann, heißt doch wohl, dass aus jedem Spamrun (zumindest
bei mir) nur max. ein Bounce aufgelaufen ist.
Zwei weitere Kuriosa habe ich inzwischen festgestellt:
Ich erhielt einen spanischen Yahoo-Newsletter an eine fiktive Adresse
dieser meiner Domain, bei dem die Adresse nach dem gleichen Muster
gebildet wurde wie die anderen.
Und ich erhielt eine möglicherweise "echte" "Antwort": Da schrieb jemand
mit dem Localpart "advertising" doch glatt ein "Thank you".
Freundlichst
--
grüßt
Eberhard
Stephan Wertens
Pro Stunde bouncen etwa 5 Mails.
Hat eigentlich schon jemand eine Beschwerde von
einer tatsächlich zugestellten Spam-Mail bekommen?
> Wenn jemand interesse an den Mails hat (z.B. im Sinne einer
> statistischen Auswertung o.ä.) bitte einfach per PM an mich wenden.
dito...
grüße,
Steve
Thomas Rathner
Ich denke, man sollte mal Herrn "Gui Zhou" (chinesischer Admin der diversen
beworbenen Generic Viagra-Seiten) seine eigenen Produkte ordern lassen.
Nicht nur einmal, besser einige 10.000-mal.
=> Gibt es Programme, die das automatisch erledigen können (nachdem man
einmal die entsprechenden Formular-Daten per Hand eingetragen hat)?
MfG
Thomas
Thomas Rathner
diversen
> beworbenen Generic Viagra-Seiten) seine eigenen Produkte ordern lassen.
> Nicht nur einmal, besser einige 10.000-mal.
> => Gibt es Programme, die das automatisch erledigen können (nachdem man
> einmal die entsprechenden Formular-Daten per Hand eingetragen hat)?
>
Macht das evtl. schon jemand? Inzwischen kommt nämlich folgende Meldung:
"The server is experiencing problems. Please try again later."
MfG
Thomas
Andreas Banze
> Hat eigentlich schon jemand eine Beschwerde von
> einer tatsächlich zugestellten Spam-Mail bekommen?
Ja, eine - inkl. Drohung mit Klage, CC an ISP (wenn auch dem falschen) und
allem drum und dran - seufz...
> > Wenn jemand interesse an den Mails hat (z.B. im Sinne einer
> > statistischen Auswertung o.ä.) bitte einfach per PM an mich wenden.
> dito...
Ich haette hier den Originalspam aktuell in 7facher Ausfuehrung - wer mag
kann sich ja melden. Bounces habe ich auch massig da...
MfG
Andreas
Ilan Neidhardt
news:bjs4dj$nja$1...@news.rz.uni-karlsruhe.de...
> *auch Fingerstreck*
> Naive Frage: Kann man irgendwas dagegen tun?
> Sammelt beispielsweise zufälligerweise jemand solche E-Mail-Headers,
um
> dann den Urheber dessen ausfindig zu machen?
Dito: am ersten Tag kappe 90 Mails heute beginnt der zweite mit 30 :-((
Ich sammel die alle in einem eigenen Ordner (automatisch).
Das Logfile habe ich von meinem Provider sichern lassen und ihn in
Kenntnis gesetzt, so dass er nochmals seinen Mailserver überprüft hat,
ob er sicher ist.
Ich denke - mehr kann man nicht machen ohne juristischen Aufwand. Und
wenn was kommen sollte, dann habe ich ja die Mails und die Logfiles.
Ilan Neidhardt
news:slrnbm5o4i...@banze.net...
> On 13 Sep 2003 01:47:06 -0700, Stephan Wertens <v-s...@wertens.de>
wrote:
> > Hat eigentlich schon jemand eine Beschwerde von
> > einer tatsächlich zugestellten Spam-Mail bekommen?
>
> Ja, eine - inkl. Drohung mit Klage, CC an ISP (wenn auch dem falschen)
und
> allem drum und dran - seufz...
Wie sieht so was aus? Nur damit ich weiß was da auch auf mich zurollen
kann :-(
Tino Korth
> Gewoben wird für einige Webseiten mit dem Accountnamen omni.
wenn man bei Google nach omni sucht, gelangt man fast automatisch auf
folgende Website:
OMNI: The UK's Gateway to High Quality Internet Resources in Health and
Medicine
http://omni.ac.uk/
Na wenn das nicht zusammenpasst? ;)
Gruss
Tino
Holger Lembke
>Wie sieht so was aus? Nur damit ich weiß was da auch auf mich zurollen
>kann :-(
Vergiss' es. Jeder Admin halbwegs klar bei Verstand weiss mittlerweile, was
da abläuft.
Beim Rest hilft keine Vorbereitung, du musst beliebige merkbefreite
Reaktionen befürchten. Da dürfte dann ein KK das einfachste sein. :-)
--
mit freundlichen Grüßen BUllSHit
Holgi, +49-531-3497854
Steve
> allem drum und dran - seufz...
Hier ist noch nichts angekommen, aber das wird sich Montag sicherlich
ändern.
Zumindest Strato scheint sich des Problems ja schon bewußt zu sein.
Interessant wäre zu Wissen wie j?hoch die Fehlerrate ist, bzw wieviele
Spam-Mails tatsächlich zugestellt wurden.
-Steve
Tino Korth
> bist Du des Wahnsinns...??. :-(((
>
> Du schreibst
> "Wenn auch Sie eine SPAM-eMail von f1ndex.de erhalten haben, senden
> Sie mir bitte die komplette SPAM-eMail (am besten als Dateianhang) an
> folgende Adresse: abuse*f1ndex*de. "
>
> Willst Du so die Folgen des Spams verdoppeln??
> Was bringt das, wenn Du weisst, dass Deine Domain noch ein paar
> hundert mal mehr missbraucht wurde?
jaaaa, ich bin wahnsinnig. 8=]
Nein, nein.
Aber danke fuer die Erwaehnung der eMailadresse in der NG.
Jetzt kann ich mir sicher sein, dass ich bald auf die Addy SPAM bekomme.
Ich lasse alle meine eMails wie folgt an mich weiterleiten:
alles(**)f1ndex*de -> GMX (dort SPAM-Filter) -> Arcor (dort SPAM-Filter)
Dadurch kommt fast keine SPAM-Mail mehr durch.
Ist zwar nicht die Loesung durch Beseitigung der Ursache, aber soweit ich
das mitbekommen habe, nutzen die ja schon gar nicht mehr nur eMailadressen,
die auf Websites stehen, sondern bauen sich welche zusammen.
Habe jetzt regelmaessig SPAM-Mails an sales(**)f1ndex*de bekommen, obwohl
die Adresse nicht existiert ...
Gruss
Tino
Tino Korth
> Aber ganz im Ernst. Den Hinweis mit der kompletten Spammail würde ich mir
> auch ersparen. Es reicht, wenn auf der Seite darauf hingewiesen wird, dass
> es sich bei den Spam-eMails um Fälschungen handelt und man sich als realer
> Inhaber der betroffenen Domain davon ausdrücklich distanziert. So habe ich
> es auch gehandhabt.
ich fand den Screenshot ganz schick. ;)
Ich verschicke selbst mehrere Newsletter und weiss, wie dusselig sich einige
anstellen.
Da dachte ich mir, dass man gleich mal zeigt, was ich ueberhaupt meine.
Es wundert mich im Uebrigen, dass sich noch keiner rechtlich bei mir
beschwert hat ... sind die ganzen SPAM-Filter denn inzwischen so gut, oder
nimmt man das Problem gar nicht wahr?
Gruss
Tino
Michael
seit einigen Tagen wird mein Domainname von der selben Adresse
mißbraucht. Ständig kommen emails unzustellbar an mich zurück.
Irgendeine Idee, wie man den Herrn - die Frau zur Räson bringt? Hat
jemand Kontakte in der Chinesischen Botschaft?
Hat jemand mal die Telefonnummer ausprobiert? Ich habe nur kein
Anschluss unter dieser Nummer.
Viele Grüsse,
Michael Gassner
Der Spammer ist offenkundig :
Technical Contact:
gui zhou
guang zhou
1799 huang pu rd
guangzhou Guangdong 510735
China
tel: 86 020 82061321
fax: 86 020 82061321
liuqi...@yahoo.com.cn
"Rathner" <TheCh...@rathner.de> wrote in message news:<bjsrmc$tuh$07$1...@news.t-online.com>...
> "Harald Kipp" <nhoasr...@egnite.de> schrieb im Newsbeitrag
> news:bjskti$7ul$00$1...@news.t-online.com...
>
> > > Sieht übrigens nach der gleichen Quelle aus:
> >
> > Ich kann da nix gleiches entdecken.
>
> Ich sehe schon ein ähnliches Muster:
> Immer gleich sind "ID=3Domni" oder "ID=omni" sowie "gv1.gif". Wäre schon
> großer Zufall, wenn heute bei verschiedenen Quellen stets diese
> Übereinstimmung da wäre.
>
> Hier die Beispiele aus meinen Bounces:
> 1. Beispiel:
> <html><body>
> <center><!--5i3al4cbm6hw--><a href=3D"http://www.coolfee1.com/host/defaul=
> t.asp?ID=3Domni"><img src=3D"http://discountrate2.com/pics/gv1.gif" heigh=
> t=3D"270" width=3D"405"></a></center>
> </html></body>
>
> 2. Beispiel:
> <html><body>
> <center><!--hlhy5k2gyu4u--><a
> href="http://www.copyrighte.com/host/default.asp?ID=omni"><img
> src="http://visithere3.com/pics/gv1.gif" height="270"
> width="405"></a></center>
> </html></body>
>
> 3. Beispiel:
> <html><body>
> <center><!--by61mngk8w2d1q--><a
> href="http://www.remarkhere.com/host/default.asp?ID=omni"><img
> src="http://discountrate2.com/pics/gv1.gif" height="270"
> width="405"></a></center>
> </html></body>
>
> 4. Beispiel:
> <html><body>
> <center><!--r7em89ls9y75--><a
> href="http://www.region365.com/host/default.asp?ID=omni"><img
> src="http://vanline2.com/pics/gv1.gif" height="270"
> width="405"></a></center>
> </html></body>
>
> ... ließe sich beliebig fortsetzen!
>
>
> Größte Gemeinsamkeit: In allen Fällen steckt hinter den "beworbenen"
> Websites der gleiche Administrator:
> Administrative Contact: gui zhou, guang zhou, 1799 huang pu rd, guangzhou
> Guangdong 510735, China, tel: 86 020 82061321, fax: 86 020 82061321,
> liuqi...@yahoo.com.cn.
>
>
> > > Der Verursacher dieser Spam-Mails sollte sich schon mal warm anziehen.
> > > Inzwischen sammel ich alle Spuren und lösche die Mails nicht mehr, so
> dass
> > > ich bei einer ggf. fälligen Strafanzeige Beweise beisteuern kann.
> >
> > Sammeln tu ich auch, aber Strafanzeige kannst'e sicher vergessen.
> > Wird aus irgend so einer Spammernation kommen, die nicht rafft, dass
> > das nervt und daher eh nix tut. Anarchistische Selbstjustiz ist das
> > einzige Mittel.
> >
> > Harald
>
> Vermutlich sind die Chancen z. Zt. noch gering, einen anonymen Spammer
> 1. zu identifizieren und
> 2. strafrechtlich zu belangen.
>
> Andererseits muss sich für diese Typen das Spammen in irgendeiner Weise
> finanziell lohnen:
> z. B. durch Prämien für die Klicks auf die entsprechenden Websites. Die
> Betreiber der per Spam beworbenen Websites müßten auf jeden Fall in der Lage
> sein, den Prämienempfänger ("ID=omni") zu identifizieren. Oder aber der
> Website-Betreiber spammt selber, ein Eindruck, den man hier durchaus
> bekommen kann...
>
> MfG
> Thomas
Timo Hüntler
> Daher mein Tipp an
> diejenigen, die sich ebenfalls eine Umleitung bei Freecity eingerichtet
> haben, den "Catchall" zu deaktivieren. Das kann man dort unter
> Domain/E-Mailpflege, in dem man unter:
>
> "E-Mail Catch-All"
>
> Sollen alle E-Mail-Adressen Ihrer Domain, die Sie nicht angegeben haben,
> standardmäßig auf die in Ihrem FreeCity Profil angegebene Adresse
> na...@provider.de umgeleitet werden?
>
> Nein angibt.
>
> Damit sollte das Problem zumindest bei Freecity.de gelöst sein.
Hab ich gemacht, aber es treffen immer noch regelmäßig Bounces hier ein.
Brauchen die was länger um den Catchall zu deaktivieren?
>
> Gruß
> Bert
Timo
Harald Kipp
>
> Technical Contact:
> gui zhou
> guang zhou
> 1799 huang pu rd
> guangzhou Guangdong 510735
> China
> tel: 86 020 82061321
> fax: 86 020 82061321
> liuqi...@yahoo.com.cn
Aus Deutschland 0086-20-...
Ist eh bloß ein Strohmann, falls der überhaupt existiert. Ich halte
mich lieber and den echten Betreiber der beworbenen Seite. Der sitzt
übrigens in der Karibik.
Harald
--
For spam do not remove n_o_s_p_a_m from email address
Thomas Rathner
> jemand Kontakte in der Chinesischen Botschaft?
>
> Hat jemand mal die Telefonnummer ausprobiert? Ich habe nur kein
> Anschluss unter dieser Nummer.
>
> Viele Grüsse,
>
> Michael Gassner
Ich glaube kaum, dass man mit der richtigen Nummer wirklich weiter kommt (z.
B. beherrsche ich nicht die chinesische Sprache, und ob der Admin englisch
beherrscht, ist durchaus nicht sicher). Hast Du beachtet, dass es sich um
eine Nummer in China handelt? D. h., vor der 86 .... sind noch zwei Nullen
voran zu stellen (wird sicher nicht ganz billig ...)
Grüße
Thomas
Rainer Zocholl
>Langsam reichen mir die Bounces auch.
>Ich denke, man sollte mal Herrn "Gui Zhou" (chinesischer Admin der
>diversen beworbenen Generic Viagra-Seiten) seine eigenen Produkte
>ordern lassen. Nicht nur einmal, besser einige 10.000-mal.
=>> Gibt es Programme, die das automatisch erledigen können (nachdem
=>> man einmal die entsprechenden Formular-Daten per Hand eingetragen hat)?
tcpsendexpect?
perl libwww?
ncat?
Wolfgang Schmidhuber
>Wolfgang Schmidhuber <wsne...@gmx.de> wrote:
>
>>Besser: wenn der localpart unbekannt ist. (Done)
>
>ROTFL.
>Bei Catch all gibt es keinen unbekantnen Localpart.
Du hast nicht verstanden:
Ich nutze den CatchAll-Account seit je her aktiv, indem ich z.B. bei
Internet-Bestellungen individualisierte Mailadressen verwende, nach dem
Muster firm...@meinedomain.de - Eingehende Mails landen im CatchAll und
können dann automatisch sortiert werden. Und wenn Firma xyz meine
Adresse weitergibt, fällt das auf.
Mein lokales Mailprogramm (theBat!) schreibt sich Adressen, die ich als
Absender verwende, automatisch in ein besonderes Verzeichnis. Darauf
lasse ich beim Abholen filtern: Steht der LocalPart nicht in diesem
Adressbuch, wird die Mail nicht geholt, sondern nur auf dem Server
gelöscht.
--
Freundliche Grüße - Wolfgang Schmidhuber - www.wschmidhuber.de
Zum Thema OutlookExpress: http://www.wschmidhuber.de/oeprob/
Berthold Bronisz
"Timo Hüntler" schrieb im Newsbeitrag
> Hab ich gemacht, aber es treffen immer noch regelmäßig Bounces hier ein.
> Brauchen die was länger um den Catchall zu deaktivieren?
Eigentlich sollte es sofort funktionieren. Nachdem ich den Catchall
deaktiviert habe, kamen zwar noch 3 Bounces an, aber dann war Ruhe. Die 3
Bounces waren da wohl noch unterwegs bzw. "Nachzügler", die, warum auch
immer, ein wenig länger von Freecity unterwegs waren.
Schau doch nochmal nach, ob Dein Catchall tatsächlich deaktiviert ist.
Gruß
Bert
Berthold Bronisz
"Tino Korth" schrieb im Newsbeitrag
> Es wundert mich im Uebrigen, dass sich noch keiner rechtlich bei mir
> beschwert hat ... sind die ganzen SPAM-Filter denn inzwischen so gut, oder
> nimmt man das Problem gar nicht wahr?
Hi Tino,
ich denke, dass, gehe ich mal von meinem Filter aus, die Spamfilter bei
entsprechender Konfiguration in der Tat inzwischen sehr gut sind. Ich
verwende z.B. den Mailwasher 2.0.28b, der zum einen kostenlos ist und zum
anderen so gute Filtereinstellungen ermöglicht, dass ich behaupten möchte,
dass er fast 99% des Mülls herausfiltert. Dabei muss man den Prull auch
nicht erst auf den eigenen Rechner runterladen, sondern kann den Mist
bereits schon auf dem Server entsorgen. Und wenn man sich unsicher sein
sollte, so kann man mit >>preview<< nötigenfalls den Müll auch auf dem
Server lesen.
Wahrgenommen wird das Problem schon noch, insbesondere, meine ich,
vielleicht sogar von den vielen Neulingen, die ja tagtäglich zum Internet
hinzukommen. "Alte Hasen" hingegen werden sich wohl durch entsprechende
Filter zu schützen wissen.
> Gruss
>
> Tino
Gruß
Bert
Sonja Schneider
Eberhard Zastrau wrote:
> Ich erhielt einen spanischen Yahoo-Newsletter an eine fiktive Adresse
> dieser meiner Domain, bei dem die Adresse nach dem gleichen Muster
> gebildet wurde wie die anderen.
Ich habe auch einen Newsletter mit dem Muster bekommen. Allerdings nicht
von Yahoo, sondern von 'Infosphere'.
Viele Grüße,
Sonja
Markus Gonaus
>
> Soviel habe ich jetzt festgestellt:
> Gewoben wird für einige Webseiten mit dem Accountnamen omni. Die
> Webseiten für die geworben werden, gehören alle der gleichen Person aus
> China.
> Die Bilder werden auch von unterschiedlichen Domains aus geladen, welche
> aber auch alle einer Person gehören.
Und alles steht auf 219.153.0.215 Wenn diesen Server jemand vom Netz
nehmen könnte ... .
nmap 219.153.0.215
Starting nmap V. 3.00 ( www.insecure.org/nmap/ )
Interesting ports on (219.153.0.215):
(The 1021 ports scanned but not shown below are in state: filtered)
Port State Service
21/tcp open ftp
80/tcp open http
113/tcp closed auth
1024/tcp closed kdm
1025/tcp open NFS-or-IIS
1026/tcp open LSA-or-nterm
1027/tcp open IIS
1029/tcp open ms-lsa
1030/tcp closed iad1
1031/tcp closed iad2
1032/tcp closed iad3
1033/tcp closed netinfo
1050/tcp open java-or-OTGfileshare
1058/tcp closed nim
1059/tcp closed nimreg
1067/tcp closed instl_boots
1068/tcp closed instl_bootc
1080/tcp closed socks
1083/tcp closed ansoft-lm-1
1084/tcp closed ansoft-lm-2
1103/tcp closed xaudio
1109/tcp closed kpop
1110/tcp closed nfsd-status
1112/tcp closed msql
1127/tcp closed supfiledbg
1139/tcp closed cce3x
1155/tcp closed nfa
1178/tcp closed skkserv
1212/tcp closed lupa
1222/tcp closed nerv
1234/tcp closed hotline
1241/tcp closed msg
1248/tcp closed hermes
1346/tcp closed alta-ana-lm
1347/tcp closed bbn-mmc
1348/tcp closed bbn-mmx
1349/tcp closed sbook
1350/tcp closed editbench
1351/tcp closed equationbuilder
1352/tcp closed lotusnotes
1353/tcp closed relief
1354/tcp closed rightbrain
1355/tcp closed intuitive-edge
1356/tcp closed cuillamartin
1357/tcp closed pegboard
1358/tcp closed connlcli
1359/tcp closed ftsrv
1360/tcp closed mimer
1361/tcp closed linx
1362/tcp closed timeflies
1363/tcp closed ndm-requester
1364/tcp closed ndm-server
1365/tcp closed adapt-sna
1366/tcp closed netware-csp
1367/tcp closed dcs
1368/tcp closed screencast
1369/tcp closed gv-us
1370/tcp closed us-gv
1371/tcp closed fc-cli
1372/tcp closed fc-ser
1373/tcp closed chromagrafx
1374/tcp closed molly
1375/tcp closed bytex
1376/tcp closed ibm-pps
1377/tcp closed cichlid
1378/tcp closed elan
1379/tcp closed dbreporter
1380/tcp closed telesis-licman
1381/tcp closed apple-licman
1383/tcp closed gwha
1384/tcp closed os-licman
1385/tcp closed atex_elmd
1386/tcp closed checksum
1387/tcp closed cadsi-lm
1388/tcp closed objective-dbc
1389/tcp closed iclpv-dm
1390/tcp closed iclpv-sc
1391/tcp closed iclpv-sas
1392/tcp closed iclpv-pm
1393/tcp closed iclpv-nls
1394/tcp closed iclpv-nlc
1395/tcp closed iclpv-wsm
1396/tcp closed dvl-activemail
1397/tcp closed audio-activmail
1398/tcp closed video-activmail
1399/tcp closed cadkey-licman
1400/tcp closed cadkey-tablet
1401/tcp closed goldleaf-licman
1402/tcp closed prm-sm-np
1403/tcp closed prm-nm-np
1404/tcp closed igi-lm
1405/tcp closed ibm-res
1406/tcp closed netlabs-lm
1407/tcp closed dbsa-lm
1408/tcp closed sophia-lm
1409/tcp closed here-lm
1410/tcp closed hiq
1411/tcp closed af
1412/tcp closed innosys
1413/tcp closed innosys-acl
1414/tcp closed ibm-mqseries
1415/tcp closed dbstar
1416/tcp closed novell-lu6.2
1417/tcp closed timbuktu-srv1
1418/tcp closed timbuktu-srv2
1419/tcp closed timbuktu-srv3
1420/tcp closed timbuktu-srv4
1421/tcp closed gandalf-lm
1422/tcp closed autodesk-lm
1423/tcp closed essbase
1424/tcp closed hybrid
1425/tcp closed zion-lm
1426/tcp closed sas-1
1427/tcp closed mloadd
1428/tcp closed informatik-lm
1429/tcp closed nms
1430/tcp closed tpdu
1431/tcp closed rgtp
1432/tcp closed blueberry-lm
1433/tcp closed ms-sql-s
1434/tcp closed ms-sql-m
1435/tcp closed ibm-cics
1436/tcp closed sas-2
1437/tcp closed tabula
1438/tcp closed eicon-server
1439/tcp closed eicon-x25
1440/tcp closed eicon-slp
1441/tcp closed cadis-1
1442/tcp closed cadis-2
1443/tcp closed ies-lm
1444/tcp closed marcam-lm
1445/tcp closed proxima-lm
1446/tcp closed ora-lm
1447/tcp closed apri-lm
1448/tcp closed oc-lm
1449/tcp closed peport
1450/tcp closed dwf
1451/tcp closed infoman
1452/tcp closed gtegsc-lm
1453/tcp closed genie-lm
1454/tcp closed interhdl_elmd
1455/tcp closed esl-lm
1456/tcp closed dca
1457/tcp closed valisys-lm
1458/tcp closed nrcabq-lm
1459/tcp closed proshare1
1460/tcp closed proshare2
1461/tcp closed ibm_wrless_lan
1462/tcp closed world-lm
1463/tcp closed nucleus
1464/tcp closed msl_lmd
1465/tcp closed pipes
1466/tcp closed oceansoft-lm
1467/tcp closed csdmbase
1468/tcp closed csdm
1469/tcp closed aal-lm
1470/tcp closed uaiact
1471/tcp closed csdmbase
1472/tcp closed csdm
1473/tcp closed openmath
1474/tcp closed telefinder
1475/tcp closed taligent-lm
1476/tcp closed clvm-cfg
1477/tcp closed ms-sna-server
1478/tcp closed ms-sna-base
1479/tcp closed dberegister
1480/tcp closed pacerforum
1481/tcp closed airs
1482/tcp closed miteksys-lm
1483/tcp closed afs
1484/tcp closed confluent
1485/tcp closed lansource
1486/tcp closed nms_topo_serv
1487/tcp closed localinfosrvr
1488/tcp closed docstor
1489/tcp closed dmdocbroker
1490/tcp closed insitu-conf
1491/tcp closed anynetgateway
1492/tcp closed stone-design-1
1493/tcp closed netmap_lm
1494/tcp closed citrix-ica
1495/tcp closed cvc
1496/tcp closed liberty-lm
1497/tcp closed rfx-lm
1498/tcp closed watcom-sql
1499/tcp closed fhc
1500/tcp closed vlsi-lm
1501/tcp closed sas-3
1502/tcp closed shivadiscovery
1503/tcp closed imtc-mcs
1504/tcp closed evb-elm
1505/tcp closed funkproxy
1506/tcp closed utcd
1507/tcp closed symplex
1508/tcp closed diagmond
1509/tcp closed robcad-lm
1510/tcp closed mvx-lm
1511/tcp closed 3l-l1
1512/tcp closed wins
1513/tcp closed fujitsu-dtc
1514/tcp closed fujitsu-dtcns
1515/tcp closed ifor-protocol
1516/tcp closed vpad
1517/tcp closed vpac
1518/tcp closed vpvd
1519/tcp closed vpvc
1520/tcp closed atm-zip-office
1521/tcp closed oracle
1522/tcp closed rna-lm
1523/tcp closed cichild-lm
1524/tcp closed ingreslock
1525/tcp closed orasrv
1526/tcp closed pdap-np
1527/tcp closed tlisrv
1528/tcp closed mciautoreg
1529/tcp closed support
1530/tcp closed rap-service
1531/tcp closed rap-listen
1532/tcp closed miroconnect
1533/tcp closed virtual-places
1534/tcp closed micromuse-lm
1535/tcp closed ampr-info
1536/tcp closed ampr-inter
1537/tcp closed sdsc-lm
1538/tcp closed 3ds-lm
1539/tcp closed intellistor-lm
1540/tcp closed rds
1541/tcp closed rds2
1542/tcp closed gridgen-elmd
1543/tcp closed simba-cs
1544/tcp closed aspeclmd
1545/tcp closed vistium-share
1546/tcp closed abbaccuray
1547/tcp closed laplink
1548/tcp closed axon-lm
1549/tcp closed shivahose
1550/tcp closed 3m-image-lm
1551/tcp closed hecmtl-db
1552/tcp closed pciarray
1600/tcp closed issd
1650/tcp closed nkd
1651/tcp closed shiva_confsrvr
1652/tcp closed xnmp
1661/tcp closed netview-aix-1
1662/tcp closed netview-aix-2
1663/tcp closed netview-aix-3
1664/tcp closed netview-aix-4
1665/tcp closed netview-aix-5
1666/tcp closed netview-aix-6
1667/tcp closed netview-aix-7
1668/tcp closed netview-aix-8
1669/tcp closed netview-aix-9
1670/tcp closed netview-aix-10
1671/tcp closed netview-aix-11
1672/tcp closed netview-aix-12
1680/tcp closed CarbonCopy
1720/tcp closed H.323/Q.931
1723/tcp closed pptp
1827/tcp closed pcm
1900/tcp closed UPnP
1986/tcp closed licensedaemon
1987/tcp closed tr-rsrb-p1
1988/tcp closed tr-rsrb-p2
1989/tcp closed tr-rsrb-p3
1990/tcp closed stun-p1
1991/tcp closed stun-p2
1992/tcp closed stun-p3
1993/tcp closed snmp-tcp-port
1994/tcp closed stun-port
1995/tcp closed perf-port
1996/tcp closed tr-rsrb-port
1997/tcp closed gdp-port
1998/tcp closed x25-svc-port
1999/tcp closed tcp-id-port
2000/tcp closed callbook
2001/tcp closed dc
2002/tcp closed globe
2003/tcp closed cfingerd
2004/tcp closed mailbox
2005/tcp closed deslogin
2006/tcp closed invokator
2007/tcp closed dectalk
2008/tcp closed conf
2009/tcp closed news
2010/tcp closed search
2011/tcp closed raid-cc
2012/tcp closed ttyinfo
2013/tcp closed raid-am
2014/tcp closed troff
2015/tcp closed cypress
2016/tcp closed bootserver
2017/tcp closed cypress-stat
2018/tcp closed terminaldb
2019/tcp closed whosockami
2020/tcp closed xinupageserver
2021/tcp closed servexec
2022/tcp closed down
2023/tcp closed xinuexpansion3
2024/tcp closed xinuexpansion4
2025/tcp closed ellpack
2026/tcp closed scrabble
2027/tcp closed shadowserver
2028/tcp closed submitserver
2030/tcp closed device2
2032/tcp closed blackboard
2033/tcp closed glogger
2034/tcp closed scoremgr
2035/tcp closed imsldoc
2038/tcp closed objectmanager
2040/tcp closed lam
2041/tcp closed interbase
2042/tcp closed isis
2043/tcp closed isis-bcast
2044/tcp closed rimsl
2045/tcp closed cdfunc
2046/tcp closed sdfunc
2047/tcp closed dls
2048/tcp closed dls-monitor
2049/tcp closed nfs
2053/tcp closed knetd
2064/tcp closed distrib-net-losers
2065/tcp closed dlsrpn
2067/tcp closed dlswpn
2105/tcp closed eklogin
2106/tcp closed ekshell
2108/tcp closed rkinit
2111/tcp closed kx
2112/tcp closed kip
2120/tcp closed kauth
2201/tcp closed ats
2232/tcp closed ivs-video
2241/tcp closed ivsd
2301/tcp closed compaqdiag
2307/tcp closed pehelp
2401/tcp closed cvspserver
2430/tcp closed venus
2431/tcp closed venus-se
2432/tcp closed codasrv
2433/tcp closed codasrv-se
2500/tcp closed rtsserv
2501/tcp closed rtsclient
2564/tcp closed hp-3000-telnet
2600/tcp closed zebrasrv
2601/tcp closed zebra
2602/tcp closed ripd
2603/tcp closed ripngd
2604/tcp closed ospfd
2605/tcp closed bgpd
2627/tcp closed webster
2638/tcp closed sybase
2766/tcp closed listen
2784/tcp closed www-dev
2998/tcp closed iss-realsec
3000/tcp closed ppp
3001/tcp closed nessusd
3005/tcp closed deslogin
3006/tcp closed deslogind
3049/tcp closed cfs
3052/tcp closed PowerChute
3064/tcp closed distrib-net-proxy
3086/tcp closed sj3
3128/tcp closed squid-http
3141/tcp closed vmodem
3264/tcp closed ccmail
3268/tcp closed globalcatLDAP
3269/tcp closed globalcatLDAPssl
3306/tcp closed mysql
3333/tcp closed dec-notes
3372/tcp open msdtc
3389/tcp open ms-term-serv
3421/tcp closed bmap
3455/tcp closed prsvp
3456/tcp closed vat
3457/tcp closed vat-control
3462/tcp closed track
3900/tcp closed udt_os
3984/tcp closed mapper-nodemgr
3985/tcp closed mapper-mapethd
3986/tcp closed mapper-ws_ethd
3999/tcp closed remoteanything
4000/tcp closed remoteanything
4008/tcp closed netcheque
4045/tcp closed lockd
4132/tcp closed nuts_dem
4133/tcp closed nuts_bootp
4144/tcp closed wincim
4321/tcp closed rwhois
4333/tcp closed msql
4343/tcp closed unicall
4480/tcp closed proxy-plus
4500/tcp closed sae-urn
4557/tcp closed fax
4559/tcp closed hylafax
4672/tcp closed rfa
4987/tcp closed maybeveritas
4998/tcp closed maybeveritas
5000/tcp closed UPnP
5001/tcp closed commplex-link
5002/tcp closed rfe
5010/tcp closed telelpathstart
5011/tcp closed telelpathattack
5050/tcp closed mmcc
5145/tcp closed rmonitor_secure
5190/tcp closed aol
5191/tcp closed aol-1
5192/tcp closed aol-2
5193/tcp closed aol-3
5232/tcp closed sgi-dgl
5236/tcp closed padl2sim
5300/tcp closed hacl-hb
5301/tcp closed hacl-gs
5302/tcp closed hacl-cfg
5303/tcp closed hacl-probe
5304/tcp closed hacl-local
5305/tcp closed hacl-test
5308/tcp closed cfengine
5400/tcp closed pcduo-old
5405/tcp closed pcduo
5432/tcp closed postgres
5510/tcp closed secureidprop
5520/tcp closed sdlog
5530/tcp closed sdserv
5540/tcp closed sdreport
5550/tcp closed sdadmind
5555/tcp closed freeciv
5631/tcp closed pcanywheredata
5632/tcp closed pcanywherestat
5680/tcp closed canna
5713/tcp closed proshareaudio
5714/tcp closed prosharevideo
5715/tcp closed prosharedata
5716/tcp closed prosharerequest
5717/tcp closed prosharenotify
5800/tcp closed vnc-http
5801/tcp closed vnc-http-1
5802/tcp closed vnc-http-2
5803/tcp closed vnc-http-3
5900/tcp closed vnc
5901/tcp closed vnc-1
5902/tcp closed vnc-2
5903/tcp closed vnc-3
5977/tcp closed ncd-pref-tcp
5978/tcp closed ncd-diag-tcp
5979/tcp closed ncd-conf-tcp
5997/tcp closed ncd-pref
5998/tcp closed ncd-diag
5999/tcp closed ncd-conf
6000/tcp closed X11
6001/tcp closed X11:1
6002/tcp closed X11:2
6003/tcp closed X11:3
6004/tcp closed X11:4
6005/tcp closed X11:5
6006/tcp closed X11:6
6007/tcp closed X11:7
6008/tcp closed X11:8
6009/tcp closed X11:9
6050/tcp closed arcserve
6101/tcp closed VeritasBackupExec
6103/tcp closed RETS-or-BackupExec
6105/tcp closed isdninfo
6106/tcp closed isdninfo
6110/tcp closed softcm
6111/tcp closed spc
6112/tcp closed dtspc
6141/tcp closed meta-corp
6142/tcp closed aspentec-lm
6143/tcp closed watershed-lm
6144/tcp closed statsci1-lm
6145/tcp closed statsci2-lm
6146/tcp closed lonewolf-lm
6147/tcp closed montage-lm
6148/tcp closed ricardo-lm
6346/tcp closed gnutella
6502/tcp closed netop-rc
6547/tcp closed PowerChutePLUS
6548/tcp closed PowerChutePLUS
6558/tcp closed xdsxdm
6588/tcp closed analogx
6666/tcp closed irc-serv
6667/tcp closed irc
6668/tcp closed irc
6699/tcp closed napster
6969/tcp closed acmsoda
7000/tcp closed afs3-fileserver
7001/tcp closed afs3-callback
7002/tcp closed afs3-prserver
7003/tcp closed afs3-vlserver
7004/tcp closed afs3-kaserver
7005/tcp closed afs3-volser
7006/tcp closed afs3-errors
7007/tcp closed afs3-bos
7008/tcp closed afs3-update
7009/tcp closed afs3-rmtsys
7010/tcp closed ups-onlinet
7070/tcp closed realserver
7100/tcp closed font-service
7200/tcp closed fodms
7201/tcp closed dlip
7326/tcp closed icb
7597/tcp closed qaz
8007/tcp closed ajp12
8009/tcp closed ajp13
8080/tcp closed http-proxy
8081/tcp closed blackice-icecap
8082/tcp closed blackice-alerts
8888/tcp closed sun-answerbook
8892/tcp closed seosload
9090/tcp closed zeus-admin
9100/tcp closed jetdirect
9111/tcp closed DragonIDSConsole
9152/tcp closed ms-sql2000
9535/tcp closed man
9876/tcp closed sd
9991/tcp closed issa
9992/tcp closed issc
10000/tcp closed snet-sensor-mgmt
10005/tcp closed stel
10082/tcp closed amandaidx
10083/tcp closed amidxtape
11371/tcp closed pksd
12000/tcp closed cce4x
12345/tcp closed NetBus
12346/tcp closed NetBus
13701/tcp closed VeritasNetbackup
13702/tcp closed VeritasNetbackup
13705/tcp closed VeritasNetbackup
13706/tcp closed VeritasNetbackup
13708/tcp closed VeritasNetbackup
13709/tcp closed VeritasNetbackup
13710/tcp closed VeritasNetbackup
13711/tcp closed VeritasNetbackup
13712/tcp closed VeritasNetbackup
13713/tcp closed VeritasNetbackup
13714/tcp closed VeritasNetbackup
13715/tcp closed VeritasNetbackup
13716/tcp closed VeritasNetbackup
13717/tcp closed VeritasNetbackup
13718/tcp closed VeritasNetbackup
13720/tcp closed VeritasNetbackup
13721/tcp closed VeritasNetbackup
13722/tcp closed VeritasNetbackup
13782/tcp closed VeritasNetbackup
13783/tcp closed VeritasNetbackup
16959/tcp closed subseven
17007/tcp closed isode-dua
18000/tcp closed biimenu
20005/tcp closed btx
22273/tcp closed wnn6
22289/tcp closed wnn6_Cn
22305/tcp closed wnn6_Kr
22321/tcp closed wnn6_Tw
22370/tcp closed hpnpd
26208/tcp closed wnn6_DS
27374/tcp closed subseven
27665/tcp closed Trinoo_Master
31337/tcp closed Elite
32770/tcp closed sometimes-rpc3
32771/tcp closed sometimes-rpc5
32772/tcp closed sometimes-rpc7
32773/tcp closed sometimes-rpc9
32774/tcp closed sometimes-rpc11
32775/tcp closed sometimes-rpc13
32776/tcp closed sometimes-rpc15
32777/tcp closed sometimes-rpc17
32778/tcp closed sometimes-rpc19
32779/tcp closed sometimes-rpc21
32780/tcp closed sometimes-rpc23
32786/tcp closed sometimes-rpc25
32787/tcp closed sometimes-rpc27
43188/tcp closed reachout
44442/tcp closed coldfusion-auth
44443/tcp closed coldfusion-auth
47557/tcp closed dbbrowse
49400/tcp closed compaqdiag
54320/tcp closed bo2k
61439/tcp closed netprowler-manager
61440/tcp closed netprowler-manager2
61441/tcp closed netprowler-sensor
65301/tcp closed pcanywhere
Nmap run completed -- 1 IP address (1 host up) scanned in 1054 seconds
Thomas Kluge
>Langsam reichen mir die Bounces auch.
wem sagst du das ... ich hab mittlerweile bounce nummer 304 bekommen
;((
>Ich denke, man sollte mal Herrn "Gui Zhou" (chinesischer Admin der diversen
>beworbenen Generic Viagra-Seiten) seine eigenen Produkte ordern lassen.
Ich glaube eher Herr Gui Zhou ist irgend ein chinesischer Reisbauer
der nicht mal weiß das es das Internet überhaupt gibt.
Das quasi DOSsen der beworbenen Rechner scheint mir zwar eine nette
Idee zu sein , jedoch kann ich mich damit nicht wirklich anfreunden,
da die "sinnlose Netzlast" damit auch nur in die Höhe getrieben wird
und niemand wirklichen nutzen hat. Die Angabe des ID=omni in der
beworbenen URL läßt imho auf eine Art Partnerprogramm des
Pillenversenders schließen.
Nunja .. allen geplagten noch ein fröhliches weiterlöschen der
bounces.
Thomas
Harald Kipp
> Das quasi DOSsen der beworbenen Rechner scheint mir zwar eine nette
> Idee zu sein , jedoch kann ich mich damit nicht wirklich anfreunden,
> da die "sinnlose Netzlast" damit auch nur in die Höhe getrieben wird
> und niemand wirklichen nutzen hat. Die Angabe des ID=omni in der
> beworbenen URL läßt imho auf eine Art Partnerprogramm des
> Pillenversenders schließen.
>
Wer die Routen zu Spammern und die beworbene Sites nicht abklemmt,
muß mit erhöhter Netzlast rechnen.
Timo Hüntler
Hat sich mittlerweile erledigt, jetzt treffen keine Bounces mehr ein,
waren wohl nur ein paar Nachzügler.
> Gruß
> Bert
Timo
Markus Gonaus
>
> Tja, uns hats erstmalig auch getroffen. Ich hab mal probeweise in einen
> der Bounces genauer reingeschaut, wurde über einen Windows NT Rechner
> eingeliefert. Der hat Port 139 und Port 80 offen. Auf solchen Maschinen
> existiert meist ein Benutzer namens Administrator. Da auch. Hat kein
> Passwort. Ich war kurz davor, rm -rf * einzutippen, habs aber sein
Stimmt, habe das jetzt auch bei drei solcher Versender probiert, mich mit
smbclient -L zu verbinden. Hat immer geklappt.
Weißt du zufällig wie man unter Linux solche Nachrichtendienstmessages
versendet? Wäre nämlich eine Möglichkeit den Besitzern dieser Kisten
mitzuteilen, dass sie ein Problem verursachen.
Markus