[Stardialer] Pornohacker Crew wieder aktiv
Wolfgang Kueter
------------8<---------------
Return-Path: <rech...@gust.de>
Received: from gust.de (customer190-213.iplannetworks.net
[200.61.190.213] (may
be forged))
by deep-thought.shconnect.de (8.9.3/8.9.3) with SMTP id
JAA11352;
Wed, 4 Sep 2002 09:09:15 +0200
Reply-To: "Rechtsabteilung" <rech...@gust.de>
Message-ID: <012c73a83e3b$3381a4d1$1ce73ba0@sgvrxr>
From: "Rechtsabteilung" <rech...@gust.de>
To: Webm...@deep-thought.shconnect.de
Subject: Fristlose Kündigung
Date: Wed, 04 Sep 2002 04:43:59 +0200
MiME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: The Bat! (v1.52f) Business
Importance: Normal
Hallo Leute,
wir haben es endlich geschafft !! Einen echten Hardcore-Porno Dialer zu
knacken !!
!! Achtung: Neues Update, Heute Mittwoch den 03.09.2002 !! Um 02:48 Uhr
!!
[...]
verlinkt wird:
href=http://www_netmails_com/members/vun/index.html
------------8<---------------
Wolfgang
--
A foreign body and a foreign mind,
never welcome in the land of the blind.
Peter Gabriel, Not one of us, 1980
Alf Meyer
Ich auch heute frueh aus dem Muell gefischt.
ab...@netmail.com ist raus,
sind die Kanadier für diesen Mist zugaenglich?
Wer waere sonst noch Zielgruppe fuer abuse?
Return-Path: <rech...@gust.de>
Received: from gust.de ([211.91.5.2]) by mailin03.sul.t-online.de
with smtp id 17mNFx-24Q772x; Wed, 4 Sep 2002 01:38:49 +0200
Reply-To: "Rechtsabteilung" <rech...@gust.de>
Message-ID: <015a40d56b0a$5742e6c4$3ac13dc3@usiolt>
From: "Rechtsabteilung" <rech...@gust.de>
To: Webmaster
Subject: Fristlose Kündigung
Date: Wed, 04 Sep 2002 08:33:51 -0900
MiME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 5.50.4133.2400
Importance: Normal
Tschoe
Alf
--
Manche Menschen wollen immer nur glänzen -
obwohl sie keinen Schimmer haben
(Heinz Erhardt)
Andreas Hörstemeier
Mainpean und IBS sind schon raus. Und Fahrzeugbau Gust fand die
Absender-Fälschung überhaupt nicht witzig, auf www.gust.de findet sich:
<Zitat>
Achtung ! Wichtige Mitteilung !
Sollten Sie eine eMail mit dem Absender rech...@gust.de o.ä. bekommen,
löschen Sie diese bitte !
Die eMail wurde nicht von uns erstellt.
Die Behörden sind entsprechend informiert.
Der Vorgang wird von uns verfolgt
Bitte rufen Sie uns nicht an, wir arbeiten fieberhaft daran, dass
Problem zu lösen. Fahrzeughaus Gust
Marcus Gust
</Zitat>
Und tschues,
Andreas
--
Andreas Hoerstemeier
email: an...@scp.de (work)
an...@hoerstemeier.de (home)
www: http://www.hoerstemeier.com
Andreas Hörstemeier
reagieren, zum anderen hat der Spammer ja binner 5 Minuten einen neuen
Account. Aber trotzdem beschweren was das Zeug hält, und
ab...@attcanada.ca (den schlägt Spamcop vor) mit einbeziehen.
> Wer waere sonst noch Zielgruppe fuer abuse?
Ja, die 0190-Provider von IBS-Clearing (DTMS und Telequest). Und ich
schicke diesen Müll auch an den Mainpean-Beschwerde-Verteiler, denn es
ist ja offensichtlich daß IBS nur eine Tarnfirma von Mainpean ist, um
die Spamkunden weiterhin bedienen zu können.
Florian L. Klein
>
> wir haben es endlich geschafft !! Einen echten Hardcore-Porno Dialer zu
> knacken !!
>
> !! Achtung: Neues Update, Heute Mittwoch den 03.09.2002 !! Um 02:48 Uhr
Bei IBS Clearing kann der Stardialer wegen providerseitiger Sperre doch
schon seit über eine Woche nicht mehr gesaugt werden.
Preisfrage: wie ist der Spammer an den Dialer gekommen, um ihn bei
Netmails abzulegen? Oder habe ich etwas übersehen?
/.
DocSnyder.
Benoit Panizzon
<wolf...@shconnect.de> wrote:
>Return-Path: <rech...@gust.de>
Bereits vier Exemplare hier eingetroffen. :-(
-Benoit-
Andreas Hörstemeier
> Bei IBS Clearing kann der Stardialer wegen providerseitiger Sperre doch
> schon seit über eine Woche nicht mehr gesaugt werden.
>
> Preisfrage: wie ist der Spammer an den Dialer gekommen, um ihn bei
> Netmails abzulegen? Oder habe ich etwas übersehen?
Spammer braucht den doch nur einmal zu laden und dann immer wieder bei
netmails in einen neuen Account uploaden.
Aber wer noch einen schönen IBS-Dialer downloaden will, unter
pornodom.5xx.net wird auf eine lycos.it-Adresse weitergeleitet, und der
dortige IBS-Dialer hat noch Versionsnummer 3.5 (spätere IBS-Dialer waren
1.9) und das Icon vom Stardialer, die Bitmap aber von IBS.
Richard Körber
>>Return-Path: <rech...@gust.de>
> Bereits vier Exemplare hier eingetroffen. :-(
Ist bei mir bei einer Mailinglist-Subscribe-Adresse aufgeklatscht.
Ich vermute, die harvesten auch in den Bodies.
Grüße
--
Richard "Shred" Körber -- rkoe...@gmx.de --
Roman Racine
[Stardialer]
Ich biete an dieser Stelle nochmals mein Set "Rechtliche Massnahmen gegen
die Porno Hacker Crew" an. Wer daran interessiert ist, meldet sich bitte
per Mail.
Viele Grüsse
Roman Racine
Sandro Hellbig
news:1035163.3...@news.bluewin.ch:
> Ich biete an dieser Stelle nochmals mein Set "Rechtliche Massnahmen
> gegen die Porno Hacker Crew" an. Wer daran interessiert ist, meldet
> sich bitte per Mail.
Was für ein Set? Kannst Du mal kurz darstellen, um was es da geht?! Danke.
Florian L. Klein
> Florian L. Klein wrote:
>
>> Bei IBS Clearing kann der Stardialer wegen providerseitiger Sperre doch
>> schon seit über eine Woche nicht mehr gesaugt werden.
>
Achso, hätte ich mir denken können...
D. h. die Einwahl funktioniert bestimmt noch. Gemäß Adam Riese kommt man
auf "dialin.ibs-clearing.ch" = 193.159.183.139 heraus.
Wenn Mainpean für diesen Einwahlserver im eigenen Netz nicht
verantwortlich ist, hat AR doch bestimmt nichts dagegen, wenn wir den
Server quasi mal etwas "zur Brust nehmen". Eigentlich ist Mainpean als
Provider sogar gemäß TDG dazu verpflichtet, das Ding bei Missbrauch
abzuklemmen.
/.
DocSnyder.
Florian L. Klein
> "Florian L. Klein" <u_da...@expires-200209.docsnyder.de> wrote:
>>
>> Wenn Mainpean für diesen Einwahlserver im eigenen Netz nicht
>> verantwortlich ist, hat AR doch bestimmt nichts dagegen, wenn wir den
>> Server quasi mal etwas "zur Brust nehmen".
>
http://dialin.ibs-clearing.ch/ - ist aber offenbar kein Site darauf.
/.
DocSnyder.
Roman Racine
> Was für ein Set? Kannst Du mal kurz darstellen, um was es da geht?! Danke.
Es geht darum, die für den IBS-Spam Zuständigen der Strafverfolgung
zuzuführen, soweit dies möglich ist.
Viele Grüsse
Roman Racine
Roman Racine
> Wer waere sonst noch Zielgruppe fuer abuse?
markus.froehli(AT)swisscom.ch weil die Swisscom an Schweizer Opfern 15-20%
Provision an den Gebühren kassiert und die Nummern Sperren sollte.
Gruss
Roman Racine
Sebastian Karkus
> Dito. Beschwerden an die üblichen Stellen inkl. der 0190-Betreiber von
> Mainpean und IBS sind schon raus. Und Fahrzeugbau Gust fand die
> Absender-Fälschung überhaupt nicht witzig, auf www.gust.de findet
> sich:
>
> <Zitat>
> Achtung ! Wichtige Mitteilung !
>
> Sollten Sie eine eMail mit dem Absender rech...@gust.de o.ä.
> bekommen, löschen Sie diese bitte !
> Die eMail wurde nicht von uns erstellt.
> Die Behörden sind entsprechend informiert.
> Der Vorgang wird von uns verfolgt
> Bitte rufen Sie uns nicht an, wir arbeiten fieberhaft daran, dass
> Problem zu lösen. Fahrzeughaus Gust
> Marcus Gust
> </Zitat>
habe es auch gerade gesehen.
Gerade bei solchen Usern wäre eigentlich zu erwarten, dass diese
plötzlich Verdienstausfälle von etlichen tsd EURs hatten und dass
den Vollpatienten von der Porno-Hacker-Crew mal das Handwerk gelegt
werden kann, oder nicht?
Also gestern wollte ich noch bei gust ein Auto kaufen und mich vorab
auf der Seite informieren -leider ist es nun nicht mehr möglich.
Nein mal im Ernst:
was soll denn die Verarschung mit den Pflegefällen der Porno-Hacker-Crew?
So dämlich wie die ihre Betreffs wählen, könnte man schon vermuten,
dass die nächsten
- letzte Warnung
- Kündigung
- Strafanzeige
sein werden. Naja- und dann noch mal logisch vorgehen:
- ein haufen User wird von den Deppen zugemüllt
- diese sitzen in .de
- die "Erlöse" gehen vermutlich auf Konten in .de
wo ist eigentlich das Problem, diese Bettnässer zu fassen?
LG
Sebastian
Rainer Zocholl
>On 04 Sep 2002 17:24:28 +0200, Andreas 'Burner' Kohlbach wrote:
>>> Content-Type: text/html; charset="iso-8859-1"
>>
>>Gut. Sie verschicken immer noch HTML. :-)
>>
>stoß sie noch ein bisschen mehr mit der Nase drauf!
>>> href=http://www_netmails_com/members/vun/index.html
>>
>>Kann sicher nicht schaden, wenn ich auf www_netmails_com im Body
>>filtere.
>kann es sicher nicht, aber dann hast du den Scheiß schon auf dem
>Rechner.
Aber nur 1 Exemplar ;-)
Anscheinend wird das Spammen immer schwerer ;-)
Wenn ich hier richtig sehe, haben sie für jede email einen
einzelnen (offenen) Proxy verwendet.
Sollte man das ganze Zeuge nich an
"Verbrauch...@RegTp.de" weiterleiten?
Hier waren es so ca. 20000 eMails, handgeschätzt.
Alle an RegTP.de und bund.de, bundestag.de umleiten?
Die sind doch wohl für "Telekommunikation" zu ständig
(oder was ist "email"?) und haben diesen Dreck ja zugelassen.
Ist schon seltsam wie deutsche Beamte Krimielle derartig Schutz nehmen
udn nicht die Bürger.
Sehr seltsam...als ob die Beamte nicht von den Bürgern bezahlt werden...
Jost Krieger
> Dito. Beschwerden an die üblichen Stellen inkl. der 0190-Betreiber von
> Mainpean und IBS sind schon raus. Und Fahrzeugbau Gust fand die
> Absender-Fälschung überhaupt nicht witzig, auf www.gust.de findet sich:
> Bitte rufen Sie uns nicht an, wir arbeiten fieberhaft daran, dass
> Problem zu lösen. Fahrzeughaus Gust
Leider haben sie all die Bounces angenommen, sonst hätten wir heute nicht
über 5000 von den Dingern spam-markieren müssen (SA-score=26 oder so).
Einige der Punkte vergebe ich für netmails-URLs.
Gruß Jost |8-))
Dietmar Vill
> Die Behörden sind entsprechend informiert.
Hoffentlich sind die Behörden technisch gut gerüstet.
Im Dialertext steht die URL http://dialin.ibs-clearing.ch/<irgendwas>
und die Kiste mit der IP-Adresse 193.159.183.139 steht direkt neben
dialin.stardialer.de mit der IP-Adresse 193.159.183.138.
Die IBS-Kiste wird hoffentlich sofort zur Beweissicherung
beschlagnahmt, möglichst mit einer Hausdurchsuchung der Örtlichkeiten.
HTH Dietmar Vill
Frank Ellermann
> verlinkt wird:
> href=http://www_netmails_com/members/vun/index.html
.................^........^
Bitte keine ge-munge-ten URLs und komplette header, wir sind
hier doch keine Kleinstkinder. Rest nur zur Information, bye.
Date: Thu, 05 Sep 2002 00:21:01 +0200
To: ab...@boaw.net
To: ab...@netmails.com
To: mmo...@boaw.net
To: ab...@networksolutions.com
CC: ab...@t-online.de
CC: hot...@eco.de
CC: ab...@ivnm.de
CC: hot...@jugendschutz.net
CC: hot...@fsm.de
Subject: SPAMHAUS www.netmails.com (Mainpean Stardialer)
Hello,
customers of www.netmails.com continue to spam addresses found
in de-Usenet with direct or redirected links to dialers hosted
by www.netmails.com. All these incidents have been reported
to ab...@netmails.com, the accounts are then closed after some
time, and immediately set up by a "new" member.
Account examples below <http://www.netmails.com/members/>:
vun ( 3 Sep, still available)
scex (28 Aug, still available)
dry2 ( 9 Aug, TOS violations, closed)
keller (28 Jul, TOS violations, closed)
mobil (22 Jul, TOS violations, closed)
neckone (22 Jul, TOS violations, closed)
koi (14 Jul, TOS violations, closed)
klinob ( 6 Jul, TOS violations, closed)
download (18 Jun, TOS violations, closed)
freekontakt (12 Jun, TOS violations, closed)
etc. (use http://groups.google.com to find more spam accounts).
A detailed report about the activities of SPAMHAUS netmails.com
has been published in news:news.admin.net-abuse.email, see also
<http://groups.google.com/groups?selm=pan.2002.07.28.15...@yahoo.de>
SPAMHAUS netmails.com obviously cooperates with the criminal
organizations behind these spams, i.e. StarDialer and MainPean.
Legal enforcement agencies in Germany are apparently unable to
stop these activities, but the internet and especially Usenet
community will put this to an end. Please consider your steps
against SPAMHAUS netmails.com carefully. Further evidence:
www.netmails.com.whois.rfc-ignorant.org listed since 22 Jun.
35.145.46.66.relays.osirusoft.com (reverse IP) listed.
35.145.46.66.bl.spamcop.net also listed by spamcop.net
35.145.46.66.in-addr.arpa not found
traceroute www.netmails.com => via tor.boaw.net
Kind reagards, Frank Ellermann
Florian L. Klein
> Sandro Hellbig wrote:
>
>> Was für ein Set? Kannst Du mal kurz darstellen, um was es da geht?!
>> Danke.
>
> Es geht darum, die für den IBS-Spam Zuständigen der Strafverfolgung
> zuzuführen, soweit dies möglich ist.
Die werden sich bestimmt freuen, wenn sie erfahren, wie einfach es ist,
den hinter dem Dialerzugang steckenden Site zu finden (haben einige
bestimmt schon wesentlich früher herausgefunden):
http://dialin.ibs-clearing.ch/?title=sexcams&land=de&ver=3.5.3
http://dialin.stardialer.de/?title=sexcams&land=de&ver=3.5.3
Beides (!) funktioniert und zeigt (auch ohne Dialer) gleichermaßen auf
http://new.schnell-sex.de/_members/1897xcb/
Dort natürlich "403 Forbidden"... schade dass der Meanpain-Einwahlserver
nicht rein zufällig einen offenen Proxy beherbergt. ;-)
---
$ whois schnell-sex.de
domain: schnell-sex.de
descr: M & M GmbH
descr: Michael Mettke
descr: Berliner Str. 24
descr: 03046 Cottbus
descr: DE
nserver: ns0.premium-security.com
nserver: ns2.premium-security.com
status: connect
changed: 20011127 025912
source: DENIC
[admin-c][tech-c][zone-c]
Type: PERSON
Name: Michael Mettke
Address: Berliner Str. 24
City: Cottbus
Pcode: 03046
Country: DE
Phone: +49-355756970
Fax: +49-3557560730
Email: in...@logoteam.net
Changed: 20011119 183207
Source: DENIC
---
Dabei interessant:
http://www.logoteam.net/
-> http://www.new-best-content.de/
-> http://www.new-best-content.com/
-> http://www.premium-security.com/
IP-Anbindung:
---
$ host www.schnell-sex.de
new.schnell-sex.de has address 212.40.165.69
$ whois 212.40.165.69
inetnum: 212.40.165.0 - 212.40.165.255
netname: SPEEDLINK
descr: Speedlink ISP
country: DE
admin-c: SH1397-RIPE
tech-c: SH1397-RIPE
status: ASSIGNED PA
mnt-by: SL-MNT
notify: hostm...@speedlink.de
changed: he...@speedlink.de 20020102
source: RIPE
route: 212.40.160.0/19
descr: Speed-Link GmbH
descr: Berlin
origin: AS15891
mnt-by: SL-MNT
changed: regi...@transmedia.de 19990319
changed: he...@speedlink.de 20010220
source: RIPE
person: Steffen Hellwig
address: speedlink ISP GmbH
address: Hardenbergplatz 2
address: D-10623 Berlin
address: DE
phone: +49 30 2800020
fax-no: +49 30 2800022
e-mail: he...@speedlink.de
nic-hdl: SH1397-RIPE
mnt-by: SL-CUS-MNT
changed: guar...@speedlink.de 20010101
source: RIPE
---
BTW: es lohnt sich sehr, den Account "li-11989" (= Dialpartner) zu
checken. Ähnlichkeiten mit Domains von "sexcams" sind bestimmt rein
zufällig und nicht beabsichtigt... ;-)
/.
DocSnyder.
Wolfgang Kueter
> Andreas Hörstemeier <ahoers...@spamcop.net> wrote in message news:<al4gv6$7qj$1...@swifty.westend.com>...
>
>
>>Die Behörden sind entsprechend informiert.
>>
>
> Hoffentlich sind die Behörden technisch gut gerüstet.
Der Wahnsinn weiter, diesmal kriegt tot.de die Bounces ab.
----------8<------------
Return-Path: <rech...@tot.de>
Received: from tot.de ([210.23.237.162])
by deep-thought.shconnect.de (8.9.3/8.9.3) with SMTP id BAA14354
for <wolf...@zaphod.allcon.com>; Thu, 5 Sep 2002 01:28:09 +0200
Reply-To: "Rechtsabteilung" <rech...@tot.de>
Message-ID: <014c57c85e2a$4587c3a6$3ee55ab7@obiwab>
From: "Rechtsabteilung" <rech...@tot.de>
To: Webm...@deep-thought.shconnect.de
Subject: Fristlose Kündigung
Date: Thu, 05 Sep 2002 03:04:10 -0400
MiME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: The Bat! (v1.52f) Business
Importance: Normal
----------8<------------
Netzblock von Mainpean/Stardialer (193.159.183.0/24) abklemmen, jetzt!
Wolfgang
Dietmar Vill
Da auch Politiker den rechtlichen Grundlagen für die
0190-Mehrbetrügereien zustimmen mußten, die davon nicht direkt
profitieren, braucht man Lobbyarbeit und einen sogenannten "Kodex",
der schön unverbindlich ist, aber alles hübsch aussehen läßt.
Eine Regel ist, daß eine 0190-Leitung gekappt wird, wenn der Surfer
keine TCP/IP-Verbindung zum Nutznießer der Einnahmen mehr hat.
Dieser wird dem dialin-Server vermutlich per
http://dialin.xy.de/<script-irgendwas><webmaster-id> mitgeteilt und
der paßt dann auf den netstat des Einwählenden auf.
HTH Dietmar Vill
Dietmar Vill
Ein großer Unbekannter - vermutlich von der bösen Konkurrenz - hatte
gestern was Denkwürdiges in das Zensurforum gestellt. Leider sind
Postings dort sehr flüchtig.
Ich drücke schon reflexartig die Hardcopy-Taste, wenn sie lesenswerter
sind als das übliche Bulkmailer-Getöse.
Wer mal versuchen will, die Grenze zwischen Dichtung und Wahrheit zu
finden:
http://downtown.madcity.de/dvill/wildsau2.jpg
HTH Dietmar Vill
Andreas Hörstemeier
> http://dialin.stardialer.de/?title=sexcams&land=de&ver=3.5.3
>
> Beides (!) funktioniert und zeigt (auch ohne Dialer) gleichermaßen auf
sexcams wäre gesperrt, dies war also definitiv eine Lüge. Genausowenig
wie die anderen angeblich gesperrten warezdealer oder fickdiesau - es
ist also jeweils immer nur der download gesperrt worden, was aber dem
Spammer nicht wehtut, weil er ja den Dialer direkt bei netmails ablegt.
Warum habe ich die nicht schon eher gefunden :-(
Florian L. Klein
> Florian L. Klein wrote:
>
>> http://dialin.stardialer.de/?title=sexcams&land=de&ver=3.5.3
>>
>> Beides (!) funktioniert und zeigt (auch ohne Dialer) gleichermaßen auf
>
> Und widerlegt die Behauptung des Herrn Richter, der Stardialer-Zugang
> sexcams wäre gesperrt, dies war also definitiv eine Lüge.
Ehrlich gesagt hätte es mich stark gewundert, wenn Herr Richter auch nur
einmal die Wahrheit sagen würde...
> Warum habe ich die nicht schon eher gefunden :-(
Da "new.schnell-sex.de" bei Speedlink liegt, habe ich denen heute nacht
ein umfangreiches Complaint geschickt, in der Hoffnung, dass diese so
schnell wie möglich tabula rasa machen. Um dem Ganzen etwas Nachdruck zu
verleihen, halte ich es für sinnvoll, dass jeder von der Porno Hacker
Crew Bespammte sich ebenfalls an Speedlink
{abuse,info,postmaster}@speedlink.de wendet.
Natürlich rate ich ganz stark davon ab, new.schnell-sex.de =
212.40.165.69 per "digitaler Kleinbusaktion" unschädlich zu machen,
insbesondere sollte dessen MySQL-Port 3306/tcp sowie der FTP-Server in
Ruhe gelassen werden... ;-)
/.
DocSnyder.
Ralf 'Garfield' Pysny
Dietmar Vill schrieb:
> http://downtown.madcity.de/dvill/wildsau2.jpg
Wer mißbraucht da mein früheres Pseudonym aus dem ADAC-Forum? ;-)
BTW: Hat schon jemand eine Mail an das Autohaus Gust geschrieben und auf
die Existenz dieses Threads bzw. die Tatsache, daß sich hier jemand mit
der Dialerclique befasst, hingewiesen? (Nein, das ist keine freiwillige
Meldung, ich habe zu wenig damit zu tun.)
Gruß, Garfield
--
/\./\
/ o u \ Ich bin hier nur der Kater...
\<=Y=>/
---oOO-/ " \-OOo---------------------------------------------------
Roman Racine
> Es geht darum, die für den IBS-Spam Zuständigen der Strafverfolgung
> zuzuführen, soweit dies möglich ist.
Genauer gesagt, der *Schweizer* Strafverfolgung. Es besteht die Hoffnung,
dass die Schweizer Strafverfolgungsbehörden etwas über die ominösen
Hinterleute ("Porno Hacker Crew usw.") herausfinden. Einziger brauchbarer
Anhaltspunkt dazu ist die IBS Clearing AG, deren Vertreter sicher gerne
darüber Auskunft geben werden, wer Ihre Dienstleistung so dreist
missbraucht.
Das entsprechende Set sollte deshalb primär für die Schweizer Behörden
gebraucht werden (für diejenigen, die es haben), auch wenn eine Verwendung
bei deutschen Behörden für andere, die Dialer missbräuchlich verwenden,
durchaus denkbar ist.
Viele Grüsse
Roman Racine
Daniel W.
Soeben nen Patch via KaZaA runtergezogen, aber was war drin: ein
Stardialer!
Details zur Datei:
Ghost Recon no CD CRACK.exe
enthält
Go.exe
Readme.txt
In mehreren Sprachen dann dieser dämliche Text:
--
Deutsch:
Ich bin mir sicher, dass Sie ziemlich gelangweilt sind, das Web nach der
gewünschten Software zu durchsuchen.
Ich bin mir sicher, dass es Sie bereits anekelt, das Web nach der
gewünschten Software zu durchsuchen.
Jetzt ist es an der Zeit, ein bisschen Ruhe einkehren zu lassen.
Sie wissen, was zu tun ist, oder?
Für all diejenigen, die es nicht wissen:
- Trennen Sie Ihre Internet-Verbindung
- Starten Sie die "GO.exe"
- Wählen Sie Ihr Land aus (Falls Ihr Land nicht anwählbar ist, bitte ich
um Entschuldigung, daran arbeite ich noch. Hören Sie sofort auf
fortzusetzen!)
- Klicken Sie auf "Ja, weiter"
In ein paar Sekunden bekommen Sie, was jeder braucht.
--
Der Account scheint "Live-Show" zu sein, das Ding wird aber noch mit
DM-Preisen beworben. Ist ja ne ziemliche Verarsche so einen Dreck in ein
P2P zu pumpen....
MfG
Daniel
Holger Lembke
>Ist ja ne ziemliche Verarsche so einen Dreck in ein
>P2P zu pumpen....
Aber auch keine wirkliche Neuigkeit.
--
mit freundlichen Grüßen
Holgi, +49-531-3497854
Wolfgang Kueter
> [...]Ist ja ne ziemliche Verarsche so einen Dreck in ein
> P2P zu pumpen....
Nö, dass derart unsicherere Dienste von bösen Buben gerne zur
Verbreitung von Malware genutzt werden, überrascht allenfalls Naivlinge,
Kenner der Materie hingegen überhaupt nicht. Es gibt viele gute Gründe
jenseits von Trafficvermeidung, derartige Dienste an zentralen Firewalls
zu sperren und arbeitsrechtliche Maßnahmen bis zur Entlassung gegen
Mitarbeiter zu ergreifen, die Verbote zur Benutzung von P2P Kram in
Firmennetzen umgehen.
Wenn Du Dich in Warez Kreisen bewegst, bitte, Deine Sache, nur wundere
Dich nicht über all den Schrott, den Du Dir auf diese Weise einfängst.
Wolfgang
--
A foreign body and a foreign mind,
never welcome in the land of the blind.
Peter Gabriel, Not one of us, 1980
Daniel W.
"Wolfgang Kueter" <wolf...@shconnect.de> schrieb im Newsbeitrag
news:al8cj0$8mc$1...@news.shlink.de...
> Nö, dass derart unsicherere Dienste von bösen Buben gerne zur
> Verbreitung von Malware genutzt werden, überrascht allenfalls
Naivlinge,
> Kenner der Materie hingegen überhaupt nicht.
Ich habe nicht erwartet, dass ich die Bibel als PDF bekomme.... ;-P
> Es gibt viele gute Gründe
> jenseits von Trafficvermeidung, derartige Dienste an zentralen
Firewalls
> zu sperren und arbeitsrechtliche Maßnahmen bis zur Entlassung gegen
> Mitarbeiter zu ergreifen, die Verbote zur Benutzung von P2P Kram in
> Firmennetzen umgehen.
Das war privat und nicht in einem Firmennetzwerk. Dass in Firmennetzen
sowas ebenso wenig zu suchen hat wie Rundmails mit CC an die ganze
Abteilung, welchen nur irgendwelche xx MB großen Blödelprogramme
anhängen, versteht sich von selbst.
> Wenn Du Dich in Warez Kreisen bewegst, bitte, Deine Sache, nur wundere
> Dich nicht über all den Schrott, den Du Dir auf diese Weise einfängst.
Nö, ich lade meist nur sporadisch ein paar MP3 runter und meine Software
ist bis hin zu WinZip lizensiert, also keine Panik ;-)
MfG
Daniel
Roman Racine
> Ein großer Unbekannter - vermutlich von der bösen Konkurrenz - hatte
> gestern was Denkwürdiges in das Zensurforum gestellt. Leider sind
> Postings dort sehr flüchtig.
Ein grosser Bekannter hat nachgelegt. Andreas Richter, Geschäftsführer der
Mainpean GmbH meint im Starweb Forum:
|Sehr geehrter Herr Klein,
|
|Sie stellen uns also ein Ultimatum. Sie behaupten also, das die IBS
|Clearing AG unsere Einwahlrouter zu " betrügerische Zwecken missbraucht ".
|Es wird immer spannender.
|Wir sollen also den Einwahlrouter vom Netzt trennen. Die anderen hunderten
|Kunden der IBS werden sich das bestimmt nicht gefallen lassen.
|Soll ich Ihre Adresse für die auftretenden Schadensersatzklagen angeben?
|Welche Frage. Ich werde es tun.
|Noch etwas: Wir hosten hier nichts von IBS. Ihre Angaben sind gelogen. IBS
|nutzt teilweise unsere Einwahlrouter. Mehr nicht.
|
|Und noch etwas: Ist Ihrem "Arbeitgeber?" bekannt, das Sie über sein Netz
|Unwahrheiten verbreiten? (gw.compart.net). Wenn ja, ist er im Sinne der
|Wettberwerbsrecht ein Mittbewerber. Was das bedeutet, brauch ich hier
|nicht zu posten.
|Wenn nicht, machen Sie sich strafbar.
|
|Ich fasse mal kurz zusammen:
|Sie stellen über das Netz eines Softwareunternehmens an uns ein Ultimatum,
|das auf Unwahrheiten zurückgreift. Sie verlangen, daß wir unsere Verträge
|brechen. Sie verlangen, daß wir viele viele Kunde vom Netz trennen. Sie
|füttern diverse Behörden mit haltlosen Verdächtigungen und binden
|staatliche Mittel und Kräfte mit Ihren Halb- und Unwahrheiten.
|Das ist ein ganz ganz fettes Ding.
|
|Na dann viel Spaß.
|MfG A.Richter
Wie das damit zusammenpasst, dass die Mainpean GmbH die Spammer abgeklemmt
habe, weiss ich nicht, vgl. dazu
http://www.jaginforum.de/showthread.php?s=2300133a4d5983c0f3e91d246c106db8&threadid=19650
Viele Grüsse
Roman Racine
Andreas Bogk
> Da "new.schnell-sex.de" bei Speedlink liegt, habe ich denen heute nacht
> ein umfangreiches Complaint geschickt, in der Hoffnung, dass diese so
> schnell wie möglich tabula rasa machen. Um dem Ganzen etwas Nachdruck zu
Der Admin bei Speedlink hat sich gefreut, seinem Geschäftsführer ein
vernünftiges executive summary unter die Nase halten zu können.
Leider ist das Verkaufen von Bandbreite für Pornserver nicht illegal,
so daß man nicht unbedingt davon ausgehen kann, daß Speedlink da
handeln wird.
Ich habe beim Rumklicken aber einige interessante Dinge
herausgefunden. Die Nameserver für schnell-sex.de werden von der
Premium Security GmbH betrieben, die ihren Sitz ebenso wie die M & M
GmbH (Eigentümer von schnell-sex.de) in Cottbus, Berliner Str. 24
hat. Die Nameserver stehen bei Speedlink.
Wer jetzt in diesem komplizierten Konglomerat tatsächlich der Spammer
ist, ist schwierig zu sagen. Zumal er sich große Mühe beim Verstecken
gibt: ich habe mir mal die als Relay verwendeten Hosts angesehen, da
läuft ausnahmslos eine Software namens AnalogX Proxy
(http://www.analogx.com/contents/download/network/proxy.htm), gesehen
in den Versionen 4.07 und 4.10. Das ist nicht direkt ein offenes
Relay, aber die Software hat eine umfangreiche Geschichte von Buffer
Overflows. Da sitzt möglicherweise jemand, der gar nicht auf den Kopf
gefallen ist, und Exploits schreibt, um unerkannt spammen zu
können. Und Mainpean ist möglicherweise völlig unangreifbar, die
treten ja nur als Dienstleister auf, und haben die Straftat
outgesourced.
Anyways, für Leute mit Spaß an Recherche hier noch ein paar Daten:
Premium Security GmbH:
Premium Security GmbH
Berliner Str. 24
03046 Cottbus
Telefon: 0355-7569745
Bundesland: Brandenburg
Nielsengebiet: 6
Rechtsform: GmbH
Gründungsjahr: 1999
Handelsregister: 17.12.2001, AG 03046 Cottbus, HRB 5788
Betriebswirtschaftl. Kennzahlen:
Kapital: EURO 25.000,--
Beschäftigte: 2 (Stand: 2002)
Eigentümer / Management:
Geschäftsführer: German Levitski, Cottbus
(alleinvertretungsberechtigt)
Gesellschafter: German Levitski, Cottbus EURO 11.250,--
Gesellschafter: Vitali Andrusevich, Minsk City EURO 2.500,--
Gesellschafter: Mario Kubitz, Dresden EURO 11.250,--
Adressen Eigentümer / Management:
Cottbus; PLZ: 03046 - Marktstr. 14
Cottbus; PLZ: 03046 - Marktstr. 14
Minsk City; PLZ: 22024 - Asanalie va St. 32 Flat
Dresden; PLZ: 01277 - Glasewaldtstr. 34
Tätigkeit des Unternehmens:
Produktion von Film- und Fotomaterial, Versandhandel von
Gegenständen aller Art, außer genehmigungs- pflichtiger Vertrieb von
Internetdienstleistungen, Betreibung von telefonischen Diensten und
Dienstleistungen und alle damit in Zusammenhang stehenden Geschäfte.
Die
Entwicklung von Sicherheitssoftware für das Internet.
WZ Code: 92700 Erbringung von sonstigen Dienstleistungen für
Unterhaltung, Erholung und Freizeit
52611 Versandhandel mit Waren ohne ausgeprägten Schwerpunkt
Die M & M Gmbh:
M + M Marketing und Management Unternehmensberatungs GmbH
Berliner Str. 24
03046 Cottbus
Fax: 0355-7569730
Telefon: 0355-756970
Bundesland: Brandenburg
Nielsengebiet: 6
Rechtsform: GmbH
Gründungsjahr: 1995
Handelsregister: 07.01.2002, AG 03046 Cottbus, HRB 3988
Betriebswirtschaftl. Kennzahlen:
Kapital: EURO 26.075,88
Umsatz:
2001: EURO 750.000,-- (bekannt)
2000: EURO 105.000,-- (bekannt)
Umsatzentwicklung (Vorjahr=100) 714.29
Beschäftigte: 10 (Stand: 2002)
Eigentümer / Management:
Gesellschafter: Eckhardt Liebing, Burg EURO 5.867,07
Gesellschafter: Roberto Masnik, Schorbus EURO 11.734,15
Geschäftsführer: Michael Mettke, Cottbus
(alleinvertretungsberechtigt)
Gesellschafter: Michael Mettke, Cottbus EURO 5.867,07
Gesellschafter: Andre Weiß, Cottbus EURO 2.607,59
Adressen Eigentümer / Management:
Burg; PLZ: 03096 - Waldschlößchenstr. 25
Schorbus; PLZ: 03058 - Straße der Jugend 31
Cottbus; PLZ: 03046 - Marktstr. 12
Cottbus; PLZ: 03046 - Marktstr. 12
Cottbus; PLZ: 03055 - Crimnitzer Str. 12
Tätigkeit des Unternehmens:
Vermittlung des Abschlusses und Nachweis der Gelegenheit zum
Abschluss von Verträgen über Grundstücke, grundstücksgleiche Rechte,
Wohnräume, gewerbliche Räume, Darlehen, Vermittlung des Abschlusses
und
Nachweis der Gelegenheit zum Absschluss von Verträgen über den Erwerb
von Anteilscheinen aus einer Kapitalanlagegesellschaft, ausländische
Investmentanteilen, sonstigen öffentlich angebotenen Vermögensanlagen,
die für gemeinsame Rechnung der Anleger verwaltet werden, Vorbereitung
und Durchführung von Bauvorhaben als Bauherr in eigenem Namen für
eigene
und fremde Rechnung unter Verwendung von Vermögenswerten von
Erwerbern,
Mietern, Pächtern, sonstigen Nutzungsrechtigen, von Bewerbern um
Erwerbs- oder Nutzungsrechte, wirtschaftliche Vorbereitung und
Durchführung von Bauvorhaben als Baubetreuuer im fremden Namen für
fremde Rechnung, die wirtschaftliche Beratung anderer Unternehmen bzw.
dritter Personen; der Handel mit Grundstücken und grundstücksgleichen
Rechten; die Verwaltung und Verwertung von Grundbesitz; die
Beteiligung
an
WZ Code: 70310 Vermittlung von Grundstücken, Gebäuden und
Wohnungen
67130 Sonstige mit dem Kreditgewerbe verbundene Tätigkeiten
74502 Gewerbsmäßige Überlassung von Arbeitskräften
72602 Mit der Datenverarbeitung verbundene Tätigkeiten a.n.g.
Mainpean:
Mainpean - GmbH
Scharnweberstr. 69
12587 Berlin
Fax: 030-64093282
Telefon: 030-64093280
Bundesland: Berlin
Nielsengebiet: 5
Rechtsform: GmbH
Gründungsjahr: 2000
Handelsregister: 21.11.2000, AG 14057 Berlin Charlottenburg, HRB
77894
Betriebswirtschaftl. Kennzahlen:
Kapital: EURO 25.000,--
Umsatz:
2002: EURO 6.000.000,-- (Erwartung)
2001: EURO 3.500.000,-- (bekannt)
2000: EURO 193.768,-- (bekannt)
Umsatzentwicklung (Vorjahr=100) 1806.28
Beschäftigte: 5 (Stand: 2001)
Eigentümer / Management:
Gesellschafter: Dr.jur. Peter Krull, Berlin EURO 6.250,--
Gesellschafter: Mario Hauser, Berlin EURO 6.250,--
Gesellschafter: Ingeborg Albert (geb. Richter), Berlin EURO
6.250,--
Geschäftsführer: Andreas Richter, Berlin
(alleinvertretungsberechtigt)
Gesellschafter: Andreas Richter, Berlin EURO 6.250,--
Adressen Eigentümer / Management:
Berlin; PLZ: 10781 - Frankenstr. 1
Berlin; PLZ: 12587 - Bruno-Wille-Str. 12
Berlin; PLZ: 12589 - Eichbergstr. 9
Berlin; PLZ: 12589 - Kanalstr. 16
Berlin; PLZ: 12589 - Kanalstr. 16
Tätigkeit des Unternehmens:
Die Vermarktung innovativer Techniken und Internetdienste sowie
die Entwicklung von Softwareproduktion einschließlich internetfähiger
Zahlungssysteme sowie die Erbringung von weiteren Dienstleistungen auf
diesem Gebiet.
WZ Code: 72202 Softwareentwicklung
Starweb GmbH:
Starweb-Service GmbH
Scharnweberstr. 69
12587 Berlin
Fax: 030-64093282
Telefon: 030-64093280
Bundesland: Berlin
Nielsengebiet: 5
Rechtsform: GmbH
Gründungsjahr: 1999
Handelsregister: 10.03.2000, AG 14057 Berlin Charlottenburg, HRB
74347
Betriebswirtschaftl. Kennzahlen:
Kapital: EURO 25.000,--
Umsatz:
2001: EURO 4.000.000,-- (bekannt)
2000: EURO 1.978.000,-- (bekannt)
Umsatzentwicklung (Vorjahr=100) 202.22
Beschäftigte: 14 (Stand: 2001)
Eigentümer / Management:
Gesellschafter: Dr.jur. Peter Krull, Berlin EURO 6.250,--
Gesellschafter: Mario Hauser, Berlin EURO 6.250,--
Gesellschafter: Ingeborg Albert (geb. Richter), Berlin EURO
6.250,--
Geschäftsführer: Andreas Richter, Berlin
(alleinvertretungsberechtigt)
Gesellschafter: Andreas Richter, Berlin EURO 6.250,--
Adressen Eigentümer / Management:
Berlin; PLZ: 10781 - Frankenstr. 1
Berlin; PLZ: 12587 - Bruno-Wille-Str. 12
Berlin; PLZ: 12589 - Eichbergstr. 9
Berlin; PLZ: 12589 - Kanalstr. 16
Berlin; PLZ: 12589 - Kanalstr. 16
Tätigkeit des Unternehmens:
Der Internet-Service einschließlich des Nachweises von
Einkaufsmöglichkeiten im Internet, Produktion von Life-Video-Chats
sowie
Web-Design einschließlich dessen Promotion sowie Tätigkeit als
Provider.
Gruss Andreas
--
"In my eyes it is never a crime to steal knowledge. It is a good
theft. The pirate of knowledge is a good pirate."
(Michel Serres)
Roman Racine
> Mainpean:
[...]
> Beschäftigte: 5 (Stand: 2001)
Interessant. Vgl. http://www.intexus.de/mainpean.jpg
Viele Grüsse
Roman
Andreas Bogk
>> Mainpean:
> [...]
>> Beschäftigte: 5 (Stand: 2001)
> Interessant. Vgl. http://www.intexus.de/mainpean.jpg
Die Zahlen sind nicht unbedingt zuverlässig...
Andreas Hörstemeier
> Andreas Bogk wrote:
>>Mainpean:
>
> [...]
>
>> Beschäftigte: 5 (Stand: 2001)
>
> Interessant. Vgl. http://www.intexus.de/mainpean.jpg
Heiko Mittelstaedt
> Naja, wir habe ja auch schon längst 2002.
Da zeigt sich, daß sich das Geschäft scheinbar lohnt. :-(
--
*** www.daea.de ***
Offizielle Homepage von de.alt.etc.auktionshaeuser
Roman Racine
> Die Zahlen sind nicht unbedingt zuverlässig...
Richter hat die Daten in seinem Forum übrigens nicht bestritten, sondern
darauf verwiesen, dass schon 2002 sei. Mich wundert, dass der Umsatz sich
"nur" verdoppeln soll, die Mitarbeiterzahl sich aber mehr als vervierfacht.
Dies wird vermutlich tatsächlich daran liegen, dass man mit dieser
Dialermasche praktisch eine Lizenz zum Gelddrucken besitzt.
Was über die IBS Clearing AG verfügbar ist, steht unter
http://www.hrazh.ch/cgi-bin/gratis/fnrGetGratis.cgi?fnr=0203024566&amt=020&lang=1&hrg_opt=1100&per
Gruss
Roman Racine
Holger Lembke
>Mich wundert, dass der Umsatz sich
>"nur" verdoppeln soll, die Mitarbeiterzahl sich aber mehr als vervierfacht.
Das sind die üblichen Bläh-Effekte bei Umsatzsteigerungen.
Roman Racine
[Stardialer Spam]
Dieser Spam war offenbar auch Anlass für den Heise-Verlag tätig zu werden:
http://www.heise.de/newsticker/data/ad-06.09.02-000/
Viele Grüsse
Roman Racine
Sabine 'Frosch' Becker
zu Deinem Artikel vom 04.09.02 muß ich noch was quaken:
>Ist bei mir bei einer Mailinglist-Subscribe-Adresse aufgeklatscht.
>Ich vermute, die harvesten auch in den Bodies.
Die harvesten vor allem im Web. Ich bekomme davon mehr Exemplare auf nur
im WWW genannte Adressen als über meine Hauptadresse, die ich auch im
Usenet benutze.
Ja, kam hier "natürlich" auch an. :-(
Einen schoenen Gruss quakt der |||
|||
http://www.atari-frosch.de/ / | \TARI-FROSCH
Thomas Hochstein
> Subject: OT: Stardialer bei KazaA (war Re: [Stardialer] Pornohacker Crew wieder aktiv)
Wenn Du erkennst, daß ein Posting hier off-topic ist: handle danach
und POSTE ES ERST GAR NICHT, verdammt nochmal.
> Soeben nen Patch via KaZaA runtergezogen, aber was war drin: ein
> Stardialer!
Read it from my lips: Nix Mail. Nix Mail-Abuse. --> Nix
de.admin.net-abuse.mail.
-thh
Roman Racine
> Ich habe beim Rumklicken aber einige interessante Dinge
> herausgefunden. Die Nameserver für schnell-sex.de werden von der
> Premium Security GmbH betrieben, die ihren Sitz ebenso wie die M & M
> GmbH (Eigentümer von schnell-sex.de) in Cottbus, Berliner Str. 24
> hat. Die Nameserver stehen bei Speedlink.
Noch ein interessantes Detail aus dem Heise Forum:
whois sexwebgirl.com
Domain Name: SEXWEBGIRL.COM
Registrar: TUCOWS, INC.
Whois Server: whois.opensrs.net
Referral URL: http://www.opensrs.org
Name Server: NS0.PREMIUM-SECURITY.COM
Name Server: NS1.PREMIUM-SECURITY.COM
Updated Date: 23-nov-2001
Registrant:
none
Krizikova 553
Trutnov, DE 54101
DE
Domain Name: SEXWEBGIRL.COM
Administrative Contact:
Karlikova, Ivana hostm...@premium-security.com
Krizikova 553
Trutnov, DE 54101
DE
355893123
Technical Contact:
Karlikova, Ivana hostm...@premium-security.com
Krizikova 553
Trutnov, DE 54101
DE
355893123
Domain servers in listed order:
NS0.PREMIUM-SECURITY.COM 212.40.165.66
NS1.PREMIUM-SECURITY.COM 62.180.98.23
Wo beschwert man sich über kaputte Registry Einträge? "none" kann wohl kaum
ernsthaft legal Domains registrieren.
Gruss
Roman Racine
Klaus Heckenbach
Andreas Bogk schrieb:
> [...] ich habe mir mal die als Relay verwendeten Hosts angesehen, da
> läuft ausnahmslos eine Software namens AnalogX Proxy
> [...], gesehen
> in den Versionen 4.07 und 4.10. Das ist nicht direkt ein offenes
> Relay, [...]
AnalogXProxy ist in den genannten 4.x Versionen für SMTP (25) _direkt_
ein offenes Relay und ist "auf die schnelle" für ein LAN gedacht.
Daher muss und kann der Zugriff nur mit einer zusätzlich richtig
konfigurierten Firewall auf Zugriffe aus dem LAN beschränkt werden.
Also, entweder sind die verwendeten Hosts Kandidaten für ORBL,
oder, wenn Du über SMTP nicht selber über die Hosts versenden kannst,
existiert eine Firewall. Dann sitzen die Spammer direkt im LAN oder
alternativ wird eine externe IP-Adresse für den Zugriff
authorisiert.
BTW: Dieses Programm legt Logfiles an, wer in Deutschland
Proxyserver/Relays betreibt ist dazu auch verpflichtet.
Nach meiner Erinnerung ist es eine Abweichung von der
Standardkonfiguration, wenn die Funktion deaktiviert wird.
Viele gängige Firewalls legen ebenfalls Logfiles an.
Letztlich sitzt da auch keiner, der Exploits schreiben muss, um
unerkannt zu spammen, weil das Programm für sich gar keine
Sicherheitsschranken für den Zugriff auf die Relayfunktion hat, es
gibt nur die Wahl zwischen Relay ON/OFF.
Der Verweis auf unbekannte Dritte Hacker klingt nach einer unhaltbaren
und nicht nachvollziehbaren Ausrede. Entweder kennen die den Spammer
oder haben (vorsätzlich?) koreanische Zustände -bleiben aber in der
Pflicht.
Gruss
Klaus
Christian Ehmann
> Registrant:
> none
> Krizikova 553
> Trutnov, DE 54101
> DE
> Wo beschwert man sich über kaputte Registry Einträge? "none" kann wohl kaum
> ernsthaft legal Domains registrieren.
Und Trutnov (Trautenau) liegt auch schon länger nicht mehr in
Deutschland... außer in den Herzen einiger Ewiggestriger und
Landsmannschaftler (aka Berufsflüchtlinge).
Gruß
Christian
Roman Racine
> Meldeformular:
> http://www.internic.org/cgi/rpt_whois/rpt.cgi
Sehr schön. Habe ich ausgefüllt und abgeschickt. Mal sehen, was es bringt.
Gruss
Roman Racine
Andreas Bogk
> AnalogXProxy ist in den genannten 4.x Versionen für SMTP (25) _direkt_
> ein offenes Relay und ist "auf die schnelle" für ein LAN gedacht.
> Daher muss und kann der Zugriff nur mit einer zusätzlich richtig
> konfigurierten Firewall auf Zugriffe aus dem LAN beschränkt werden.
Komisch, ich habe mir einige der Systeme, über die der betreffende
Spam verwendet wurde, näher angesehen, und der Proxy hat jeweils
direkt nach dem "Mail From:" die Verbindung terminiert. Offene Relays
sehen anders aus.
Es ist auch extrem merkwürdig, daß *ausschließlich* eine solche
Exotensoftware zum Spamversand verwendet wurde.
> Also, entweder sind die verwendeten Hosts Kandidaten für ORBL,
> oder, wenn Du über SMTP nicht selber über die Hosts versenden kannst,
> existiert eine Firewall. Dann sitzen die Spammer direkt im LAN oder
> alternativ wird eine externe IP-Adresse für den Zugriff
> authorisiert.
Naja, es waren größtenteils DSL-User, aus unterschiedlichsten
Ländern. Daß das alles Außenstellen desselben Spammers sind, glaube
ich einfach nicht.
> BTW: Dieses Programm legt Logfiles an, wer in Deutschland
> Proxyserver/Relays betreibt ist dazu auch verpflichtet.
Das wäre mir neu.
> Letztlich sitzt da auch keiner, der Exploits schreiben muss, um
> unerkannt zu spammen, weil das Programm für sich gar keine
> Sicherheitsschranken für den Zugriff auf die Relayfunktion hat, es
> gibt nur die Wahl zwischen Relay ON/OFF.
Ach, und wieso macht er dann nach dem Mail From die Verbindung zu? Ich
kann das mangels Windows-Installation hier nicht näher untersuchen,
falls das wirklich wie von dir beschrieben ist, sollte man dem Autor
von AnalogX Proxy die Hammelbeine langziehen.
> Der Verweis auf unbekannte Dritte Hacker klingt nach einer unhaltbaren
> und nicht nachvollziehbaren Ausrede.
Es ist eine Theorie, und keine Ausrede. Wenn ich unerkannt massenhaft
Mails verschicken wollte, würde ich das so tun.
> Entweder kennen die den Spammer
Unwahrscheinlich. Eine Liste von Absender-IPs hängt unten.
> oder haben (vorsätzlich?) koreanische Zustände -bleiben aber in der
> Pflicht.
Naja, falsch konfigurierte oder unsichere Software ist die
plausibelste Erklärung.
Gruss Andreas
193.140.167.2
200.171.173.162
200.193.130.142
200.195.2.132
200.204.146.15
200.207.131.21
200.61.186.105
200.61.190.213
200.68.160.246
200.80.137.52
202.65.138.59
203.199.213.3
210.21.31.113
210.22.161.126
210.83.144.141
211.132.181.145
211.184.38.3
211.185.175.193
211.200.118.18
212.234.232.4
213.82.87.98
217.127.52.23
217.16.226.125
217.97.49.105
61.131.47.2
61.180.61.44
61.185.221.50
80.0.194.148
80.17.157.235
80.18.188.196
80.33.130.65
80.33.179.246
80.60.173.109
80.61.36.159
80.61.93.23
80.63.101.23
Frank Ellermann
> Habe ich ausgefüllt und abgeschickt. Mal sehen, was es bringt.
Erfolgsmeldungen bitte hier, ich bin gespannt. Wenn Du noch
genug Wut im Bauch hast, <http://www.rfc-ignorant.org> und da
die Abteilungen whois bzw. ipwhois kennst Du sicher, richtig ?
Im Moment ist sexwebgirl.com da noch nicht gemeldet, Absicht ?
Ich traue den IANA- / ICANN-Verfahren exakt so weit, wie ich
[off topic censored by original author]
Bye, Frank
Daniel W.
"Thomas Hochstein" <t...@inter.net> schrieb im Newsbeitrag
news:danm.020906162...@dragonfly.akallabeth.de...
> Wenn Du erkennst, daß ein Posting hier off-topic ist: handle danach
> und POSTE ES ERST GAR NICHT, verdammt nochmal.
Und wenn Du nix zu sagen hast, halte doch einfach mal die Klappe. Was
meinst Du, warum da OT: davor steht, Du Schlaumeier?
> Soeben nen Patch via KaZaA runtergezogen, aber was war drin: ein
> Stardialer!
>
> Read it from my lips: Nix Mail. Nix Mail-Abuse. --> Nix
> de.admin.net-abuse.mail.
Siehe oben, ansonsten beiß in Deine Tastatur und reg Dich ab....
MfG
Daniel
Frank 'Kelshon' Schmidt
> Was meinst Du, warum da OT: davor steht, Du Schlaumeier?
Damit du dich hier wie ein Idiot aufführen kannst?
*PLONK*
Frank
--
absence of evidence is no evidence of absence
Dietmar Vill
>
> |Wir sollen also den Einwahlrouter vom Netzt trennen. Die anderen hunderten
> |Kunden der IBS werden sich das bestimmt nicht gefallen lassen.
> |Soll ich Ihre Adresse für die auftretenden Schadensersatzklagen angeben?
> |Welche Frage. Ich werde es tun.
> ...
> |MfG A.Richter
>
Das paßt dann ja gut.
Mit dem nicht mehr DNS-aufgelösten Namen dialin.ibs-clearing.ch sind
diese hundert Kunden doch vor weiteren finanziellen Schaden geschützt
(Wenn die nicht so blöd sind, einen lokalen host-Eintrag zu machen).
In jedem Fall scheint der Dialerladen auf freundliche Hinweise
inzwischen gut zu reagieren. Vielsagend war ja schon, daß der
ehrenwerte Herr den Hinweis, daß Erkenntnisse an
Strafverfolgungsbehörden weitergeleitet werden könnten, als
"Ultimatum" verstanden hat. Mit reinem Gewissen wäre das nicht
passiert ...
HTH Dietmar Vill
Töns Büker
>> Da "new.schnell-sex.de" bei Speedlink liegt, habe ich denen heute nacht
>> ein umfangreiches Complaint geschickt, in der Hoffnung, dass diese so
>> schnell wie möglich tabula rasa machen. Um dem Ganzen etwas Nachdruck zu
>
> Der Admin bei Speedlink hat sich gefreut, seinem Geschäftsführer ein
> vernünftiges executive summary unter die Nase halten zu können.
>
> Leider ist das Verkaufen von Bandbreite für Pornserver nicht illegal,
> so daß man nicht unbedingt davon ausgehen kann, daß Speedlink da
> handeln wird.
Speedlink ist seinerzeit auch gegen die
Explorer-Serienabmahnungen vor Gericht gezogen. Eine
passende Grundeinstellung könnte als vorhanden sein ...
Tschö
Töns
--
There is no safe distance.
Thomas Hochstein
> "Thomas Hochstein" <t...@inter.net> schrieb im Newsbeitrag
> news:danm.020906162...@dragonfly.akallabeth.de...
Einleitungszeile, nicht Einleitungsroman. Die Message-ID des
Bezugspostigns steht schon im Header.
Und bitte nächstens ein gesetztes Followup-To beachten.
>> Wenn Du erkennst, daß ein Posting hier off-topic ist: handle danach
>> und POSTE ES ERST GAR NICHT, verdammt nochmal.
>
> Und wenn Du nix zu sagen hast, halte doch einfach mal die Klappe.
Das solltest Du beherzigen, wenn sich Erwachsene in Deiner Gegenwart
unterhalten, ja.
> Was
> meinst Du, warum da OT: davor steht, Du Schlaumeier?
Ach, und wenn man das davorschreibt, ist es plötzlich nicht mehr
off-topic? Oder es ist nicht mehr dreist, es trotzdem dorthin zu
posten, wo es nicht hingehört?
Na, dann ist die Lösung des Spam-Problems ja einfach. Man schreibt
einfach ins Subject "SPAM" rein, und alles ist gut.
> Siehe oben, ansonsten beiß in Deine Tastatur und reg Dich ab....
Welche Ziele verfolgen Du und Deinesgleichen eigentlich mit dem
Versuch, diese Gruppe möglichst unlesbar zu machen? Das wäre mal
wirklich interessant - aber ich glaube, nach Deiner Einlassung, man
müsse Spam und Off-topic-Postings nur als solche kennzeichnen, um das
Problem zu beheben, kann ich mir das nur allzugut denken.
-thh
--
FAQ der Newsgroup: http://home.snafu.de/laura/de.admin.net-abuse.mail.txt
Adreßfälscher-FAQ: http://www.gerlo.de/falsche-email-adressen.html
E-Mail-Header-FAQ: http://www.th-h.de/faq/headerfaq.html
Viren-/Würmer-FAQ: http://www.th-h.de/faq/hybris.html
Gerhard Schromm
> "Thomas Hochstein" <t...@inter.net> schrieb im Newsbeitrag
> news:danm.020906162...@dragonfly.akallabeth.de...
>
>> Wenn Du erkennst, daß ein Posting hier off-topic ist: handle danach
>> und POSTE ES ERST GAR NICHT, verdammt nochmal.
>
> Und wenn Du nix zu sagen hast, halte doch einfach mal die
> Klappe. Was meinst Du, warum da OT: davor steht, Du Schlaumeier?
Obertroll?
--
BOFH excuse #94:
Internet outage
Florian L. Klein
>
> Ein grosser Bekannter hat nachgelegt. Andreas Richter, Geschäftsführer
> der Mainpean GmbH meint im Starweb Forum:
>
> |Sehr geehrter Herr Klein,
Das Posting habe ich bisher nur überflogen. Nachdem ich es noch mal zur
Brust genommen habe, hat AR wieder mal interessante Details verraten:
> Sie stellen uns also ein Ultimatum. Sie behaupten also, das die IBS
> Clearing AG unsere Einwahlrouter zu "betrügerische Zwecken missbraucht".
> Es wird immer spannender.
Ach jetzt ist 193.159.183.139 plötzlich doch eine Mainpean-Maschine, die
von IBS Clearing nur "mitbenutzt" wird?
> Wir sollen also den Einwahlrouter vom Netzt trennen. Die anderen
> hunderten Kunden der IBS werden sich das bestimmt nicht gefallen lassen.
Jetzt ist es doch wieder ein ausschließlich von IBS Clearing genutzter
Einwahlrouter?
> Noch etwas: Wir hosten hier nichts von IBS. Ihre Angaben sind gelogen.
> IBS nutzt teilweise unsere Einwahlrouter. Mehr nicht.
Jetzt isses wieder eine Mainpean-Maschine...
> Sie verlangen, daß wir unsere Verträge brechen.
Im Gegenteil, ich verlange, dass er seine Vertragsbedingungen durchsetzt.
> Sie verlangen, daß wir viele viele Kunde vom Netz trennen.
So viele? Komischerweise sind gemäß Google die einzigen Kunden der IBS
Clearing AG die bekannten Stardialer-Spammer. Oder habe ich etwas
übersehen?
> Sie füttern diverse Behörden mit haltlosen Verdächtigungen und binden
> staatliche Mittel und Kräfte mit Ihren Halb- und Unwahrheiten.
Diese "Halb- und Unwahrheiten" sind nichts anderes als Schlussfolgerungen
aus AR's Aussagen, seinen Spuren im Netz, die Spuren der IBS Clearing AG
sowie der Mainpean GmbH etc.
D. h. AR postet irgendwas, von dem er steif und fest behauptet, dass es
der Wahrheit entspricht. Entweder werden seine Märchen von uns nach Strich
und Faden widerlegt, oder wir nehmen ihm beim Wort, weshalb er später
behauptet, *wir* würden mit dem Bezug auf seine Aussagen die Unwahrheit
sagen.
> Wie das damit zusammenpasst, dass die Mainpean GmbH die Spammer
> abgeklemmt habe, weiss ich nicht
Durch AR's Posting und die anderen inzwischen eruierten Tatsachen komme
ich zu diese Schlussfolgerung:
* 193.159.183.138 und 193.159.183.139 sind ein und dieselbe Maschine, mit
zwei ans Netzwerkinteface gebundenen IP-Adressen. Auf dem WWW-Server hat
193.159.183.138 außer den Dialin-Redirects einen erheblichen Teil der
Mainpean-Internetpräsenzen (über name-based Virtual Hosts zugeordnet).
193.159.183.139 hat über IP-based Virtual Hosts nur Dialin-Redirects, was
erklärt, dass man diese im Gegensatz zu ersterer IP-Adresse auch IP-based
abfragen kann.
Beweis dafür, dass es ein und dieselbe Maschine ist:
[Scan nur auf Port 80, um mit OS-Detection Systemtyp und Uptime
herauszufinden]
---
# nmap -sS -v -O -n -p 80 193.159.183.138
[...]
Remote operating system guess: Linux Kernel 2.4.0 - 2.4.17 (X86)
Uptime 38.892 days (since Wed Jul 31 16:54:29 2002)
[...]
# nmap -sS -v -O -n -p 80 193.159.183.139
Remote operating system guess: Linux Kernel 2.4.0 - 2.4.17 (X86)
Uptime 38.892 days (since Wed Jul 31 16:54:29 2002)
[...]
---
Eine nach ca. sechs Wochen auf die Sekunde gleiche Uptime ist AFAIK
zumindest bei x86-Systemen unmöglich. Die Uptime wird nicht mittels
NTP oder Atomuhren etc. hochgezählt, sondern mit dem Quarz-Oszi auf dem
Mainboard. Deswegen kann man ja auch das Systemdatum zurückstellen, ohne
dass die Uptime negativ wird. :-)
Falls jemand Windoze benutzt und 2 * 1.86 Euro auf den Putz hauen möchte,
sich in beide einwählt und von dort auf sein System zugreift, kommt mit
sehr großer Wahrscheinlichkeit ans Tageslicht, dass die Source-Adresse
die gleiche ist. Deswegen war in Starweb-Supportforen ja immer nur von
der 138 die Rede, nie von der 139.
Die Datensätze zwischen der IBS Clearing AG und denen der Mainpean GmbH
unterscheiden sich aus Sicht des Kunden bzw. des Bespammten gar nicht.
Die Registrierung läuft offenbar nicht über StarPIN, zumindest ist dies
nicht erkennbar. Trotzdem müssen entweder Buchhaltungsdaten von Mainpean
zur IBS Clearing AG fließen (um die Dialergewinne abzurechnen), oder
Mainpean macht dies gleich selbst (was ich persönlich als
wahrscheinlicher erachte).
Das hat Mainpean natürlich geschickt gemacht: mit einmal "alter table
dialers set accounter='ibsclearing' where accountid='$spammer' and
accounter='mainpean'" sind die Spammer umgebucht. Aus Sicht des
Bespammten ändert sich quasi Null, und Mainpean darf behaupten, dass es
keine Mainpean-Accounts mehr sind.
Die Frage ist dann nur: warum belegt man eine zusätzliche IP-Adresse für
die IBS Clearing AG? Alle anderen Dialin-Domains liegen gemäß
Reverse-Resolving auf der 138. Nur IBS Clearing residiert auf der nicht
rückwärts auflösbaren 139.
(an AR's Stelle wäre ich nicht so dumm gewesen, die direkt benachbarte
Adresse zu verwenden - das kann ja nur auffallen. Ich hätte eine Adresse
möglich weit weg von der Dialin-Maschine belegt)
Die andere Frage ist natürlich, wenn einer sich mit dem *Stardialer* der
Porno Hacker Crew vor ca. Mitte August einwählt und auch auf der 138
landet, wer bekommt das Geld? Mainpean oder die IBS Clearing AG?
/.
DocSnyder.
Roman Racine
> In jedem Fall scheint der Dialerladen auf freundliche Hinweise
> inzwischen gut zu reagieren.
Wie man's nimmt. Glaubt man Andreas Richter, spammen ein paar Leute schon
seit Monaten herum und bringen seine Produkte gleich zweifach in
Misskredit:
1. Sie behaupten, dass man einen Stardialer "hacken" kann, was hochgradig
rufschädigend ist.
2. Sie schädigen seriöse Kunden (die eidesstattlich versichert haben, nicht
zu spammen!), indem sie deren Accounts mit Spam bewerben.
Vor diesem Hintergrund finde ich es schon erstaunlich, wieviel man tun muss,
bis überhaupt ein bisschen etwas geschieht.
Andererseits muss man Andreas Richter auch nicht alles glauben ...
Gruss
Roman Racine
Dietmar Vill
weniger Zeit hat, im Geldspeicher die Münzen zu zählen und auf äußeren
Druck reagiert.
Einige 0190-Nummervermieter müssen ihm schon die neue TKV erklärt
haben und er gibt das neu erworbene Wissen an seine Helfershelfer
weiter. Einige maulen schon im Zensurforum, daß sie dies den
"Anschwärzungen" der "Nörgler" zu verdanken hätten und nun an einer
kürzeren Leine laufen müßten. Die Halbwertszeit solcher Postings ist 2
Minuten, aber es zeigt, das die richtige Botschaft dort ankommt, wo
sie hin muß.
Die Justiz in Cottbus wird auch aktiv. Das Autohaus Gust hat das BSI
eingeschaltet. Sowohl die als auch das BKA beschäftigen sich gezielt
mit Dialer-Kriminalität. Da liegt wohl wirklich mal eine
Ortsbesichtigung in der Luft.
Die Abkopplung der hundert IBS-Kunden könnte auch mit vorsorglicher
Spurenbeseitigung zu tun haben.
HTH Dietmar Vill
PS: Ich wüßte zu gerne, wer nun die "auftretenden
Schadensersatzklagen" bekommt.
Rainer Zocholl
>Dietmar Vill wrote:
>> In jedem Fall scheint der Dialerladen auf freundliche Hinweise
>> inzwischen gut zu reagieren.
>Wie man's nimmt. Glaubt man Andreas Richter, spammen ein paar Leute
>schon seit Monaten herum und bringen seine Produkte gleich zweifach in
>Misskredit:
>1. Sie behaupten, dass man einen Stardialer "hacken" kann, was
>hochgradig rufschädigend ist.
Emm, sorry. die Leute, die den Stardialer "kaufen" WISSEN
das ein "Hacken" (gemeint ist wohl "cracken") der 0190
Einwahl dank Telekom unmöglich ist. Das ist doch nur Dummenfang.
Andersherum fragt man sich, wenn eine Rufschädigung der Stardialer-
Software vorliegt, warum stellt Firma Mainpean keine Anzeige, sondern
läst es sich seit Monaten(!) tatenlos gefallen in Millionen eMails
so dargestellt zu werden?
>2. Sie schädigen seriöse Kunden (die eidesstattlich versichert haben,
>nicht zu spammen!), indem sie deren Accounts mit Spam bewerben.
Hat wer diese Versicherungen gesehen?
Gibt es Strafanzeigen "gegen Unbekannt" dieser Kunden?
Dietmar Vill
> ... Glaubt man Andreas Richter, ...
Bitte??? Das geht wirklich zu weit!
Der ehrenwerte Geschäftsmann hat sich schon treffsicher das richtige
Pseudonym gewählt: Würgeschlange.
Die Doppelzüngigkeit bei Schlangen ist sprichwörtlich, die Schlange im
biblischen Paradies hat die Lüge erfunden und war gattungsmäßig
vermutlich eine Python.
HTH Dietmar Vill
PS: http://www.aquarium-berlin.de/Kids/Artikel/Schlangen/schlangen.htm
Roman Racine
> Emm, sorry. die Leute, die den Stardialer "kaufen" WISSEN
> das ein "Hacken" (gemeint ist wohl "cracken") der 0190
> Einwahl dank Telekom unmöglich ist. Das ist doch nur Dummenfang.
Das ist mir schon klar. Die Porno Hacker Crew heisst übrigens nun mal so
(und nicht Porno Cracker Crew). Trotzdem ist es doch enorm rufschädigend,
wenn irgendjemand in Millionen von Mails das Gegenteil erzählt. Was tun
wohl normale Kunden, die den Stardialer wissentlich benutzen, wenn ihnen
täglich jemand erzählen will, dass er das Ding gecrackt hat? Ich würde von
jeder Firma erwarten, dass sie darauf reagiert (z.B. mindestens mit
Pressemitteilungen, dass aus technischen Gründen ein solches Cracken gar
nicht möglich ist, etc.)? Was passiert stattdessen? Nichts, das Thema wird
totgeschwiegen/ -zensiert. Dies lässt für mich nur einen Schluss zu: Es ist
für die beteiligten Firmen finanziell interessanter, wenn die Porno Hacker
Crew und Co. weiter herumspammen, die dadurch entstehende Rufschädigung
nimmt man offenbar in Kauf.
Niemand soll mir jetzt erzählen, dass jeder wisse, dass ein solches Cracken
nicht möglich sei. Schaut euch den nächstbesten Krimi an und schaut euch
mal an, wie die einen Anruf "zurückverfolgen".
> Hat wer diese Versicherungen gesehen?
Die Firma Mainpean GmbH (bzw. deren Mitarbeiter Uwe Kops) hat mir per E-Mail
nach einer Beschwerde zugesichert, dass solche eidesstattliche
Versicherungen vorlägen. Ob dies vertrauenswürdig ist, ist eine andere
Frage.
Gruss
Roman Racine
Roman Racine
> Im Moment ist sexwebgirl.com da noch nicht gemeldet, Absicht ?
Doch doch, ist nun gelistet. Europesexcams.com übrigens auch gerade noch.
:-)
Gruss
Roman Racine