info
Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Gaestebucheintraege mit Pseudo-IPs
1 view
Skip to first unread message
Sebastian Suchanek
Mar 27, 2016, 5:51:50 AM3/27/16
to
Hallo NG!
Letzte Nacht hat ein Spam-Bot in einem meiner Gästebücher eine
ganze Reihe Einträge nach folgendem Muster abgekippt:
| ywwqadfsadskk3sa
| 1091.159.340.165:47053
| 852.262.158.868:57214
| 416.1055.1085.339:15199
| 435.1001.263.1029:87489
| 806.852.702.742:43224
| 1011.998.351.598:48225
Alle Einträge kamen von 93.170.168.199, im E-Mail-Feld war
{$ZufälligerLocalpart}@weatheruk.ru eingetragen. Die Anzahl der
Zahlengruppen pro Eintrag variierte.
Auf einen flüchtigen Blick sehen die Zahlengruppen wie IPv4-
Adressen mit Portnummern aus, auf den zweiten Blick sieht man
aber leicht, dass da keine einzige gültige IPv4-Adresse dabei
ist.
Hat jemand sowas schon mal gehabt? Könnten das evtl.
"verschlüsselte"[1] IP-Adressen sein, z.B. für Spammer-Seiten,
C&C-Server von Botnetzwerken o.ä.?
Tschüs,
Sebastian
_____
[1] "Verschlüsselt" in dem Sinn, dass man nach einem bestimmten
Muster Ziffern aus der Zeichenkette entfernen muss, um
gültige IP-Adressen zu erhalten.
Letzte Nacht hat ein Spam-Bot in einem meiner Gästebücher eine
ganze Reihe Einträge nach folgendem Muster abgekippt:
| ywwqadfsadskk3sa
| 1091.159.340.165:47053
| 852.262.158.868:57214
| 416.1055.1085.339:15199
| 435.1001.263.1029:87489
| 806.852.702.742:43224
| 1011.998.351.598:48225
Alle Einträge kamen von 93.170.168.199, im E-Mail-Feld war
{$ZufälligerLocalpart}@weatheruk.ru eingetragen. Die Anzahl der
Zahlengruppen pro Eintrag variierte.
Auf einen flüchtigen Blick sehen die Zahlengruppen wie IPv4-
Adressen mit Portnummern aus, auf den zweiten Blick sieht man
aber leicht, dass da keine einzige gültige IPv4-Adresse dabei
ist.
Hat jemand sowas schon mal gehabt? Könnten das evtl.
"verschlüsselte"[1] IP-Adressen sein, z.B. für Spammer-Seiten,
C&C-Server von Botnetzwerken o.ä.?
Tschüs,
Sebastian
_____
[1] "Verschlüsselt" in dem Sinn, dass man nach einem bestimmten
Muster Ziffern aus der Zeichenkette entfernen muss, um
gültige IP-Adressen zu erhalten.
Andreas Kohlbach
Mar 27, 2016, 4:45:32 PM3/27/16
to
Sebastian Suchanek wrote on 27. March 2016:
>
> Letzte Nacht hat ein Spam-Bot in einem meiner Gästebücher eine
> ganze Reihe Einträge nach folgendem Muster abgekippt:
Wie das? Keine Captcha, oder wurde sie gebrochen?
>
> Letzte Nacht hat ein Spam-Bot in einem meiner Gästebücher eine
> ganze Reihe Einträge nach folgendem Muster abgekippt:
Zum Rest fällt mir auch nichts ein. Aber interessant, was das sein könnte.
--
Andreas
I use a Unix based operating system, which means I get laid almost as often
as I have to reboot my computer.
Sebastian Suchanek
Mar 28, 2016, 4:56:43 AM3/28/16
to
Thus spoke Andreas Kohlbach:
Captchas generell nicht /so/ begeistert und so massiv ist das
Spam-Aufkommen dann doch nicht, dass ich nicht mit
gelegentlichem manuellen Aufräumen leben könnte.
Es gibt nur ein paar Filterregeln und insbesondere eine
Blacklist mit IP-Adressen bzw. IP-Bereichen.
> Aber interessant, was das sein könnte.
Daher meine Frage hier. :-)
Tschüs,
Sebastian
> Sebastian Suchanek wrote on 27. March 2016:
>>
>> Letzte Nacht hat ein Spam-Bot in einem meiner Gästebücher
>> eine ganze Reihe Einträge nach folgendem Muster abgekippt:
>
> Wie das? Keine Captcha, oder wurde sie gebrochen?
Nein, in diesem Gästebuch gibt's kein Captcha. Ich bin von
>>
>> Letzte Nacht hat ein Spam-Bot in einem meiner Gästebücher
>> eine ganze Reihe Einträge nach folgendem Muster abgekippt:
>
> Wie das? Keine Captcha, oder wurde sie gebrochen?
Captchas generell nicht /so/ begeistert und so massiv ist das
Spam-Aufkommen dann doch nicht, dass ich nicht mit
gelegentlichem manuellen Aufräumen leben könnte.
Es gibt nur ein paar Filterregeln und insbesondere eine
Blacklist mit IP-Adressen bzw. IP-Bereichen.
> Aber interessant, was das sein könnte.
Tschüs,
Sebastian
0 new messages