Discussion:
Jak czytać nagłówki spamu?
(Wiadomość utworzona zbyt dawno temu. Odpowiedź niemożliwa.)
Irokez
2015-03-07 13:38:32 UTC
Permalink
Na majla coraz więcej syfu przychodzi i tak zaczynam analizować kto to
ścierwo wysyła.
I teraz jak przeanalizować taki przykładowy syf co mi teraz wskoczył na
majla?
Niby jest link na dole do wypisania się, ale za diabła nie wiem co on
właściwie zrobi po wpisaniu tam mojego majla
(http://highletter.com/1/unsub.do?e=***@op.pl&m=141010)

Skąd to faktycznie przylazło i co z tym można zrobić?

From - Sat Mar 07 14:16:33 2015
X-Account-Key: account3
X-UIDL: ef7844b7c4ca11e48cceb8ca3a64064c
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Received: from mx.poczta.onet.pl (unresolved [10.174.34.83]:60863)
by ps9.m5r2.onet (Ota) with LMTP id BDF7498DEA26A
for <***@op.pl>; Sat, 7 Mar 2015 14:07:40 +0100 (CET)
Received: from host16.highletter.com (host16.highletter.com [23.227.115.216])
by mx.poczta.onet.pl (Onet) with SMTP id 3kzmM028Gxz1v
for <***@op.pl>; Sat, 7 Mar 2015 14:07:40 +0100 (CET)
DKIM-Signature: a=rsa-sha1; c=relaxed/relaxed; d=highletter.com;
s=s512; l=1671; x=1426338468; h=From:To:Subject:Content-Type:
Date:Message-ID; b=j1HEPn1P8pozzSRZhKfWBIobcExpk6G3+FpFDscAyeuLx
+L25yBTRaDCehxUsB5rp7bel3+r0e/KOTNwGOZU8Q==
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed;
d=highletter.com; s=s512; l=1671; x=1426338468; h=From:To:
Subject:Content-Type:Date:Message-ID; bh=FWgd4ThJ6Qx9R4qM3+EFb06
mZHs=; b=PXZ8By/OF06jhpDa37nZ3abj0jNxt21cykspu4w4Pue6aPmc3bhKJkw
a01zdtZtStvBql+KAPbthGhlyvalI8w==
DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws;
s=s512; d=highletter.com;
b=wns4od86PAPJLzv9LQoJKEdnhbnVAzDPAWMZKGOvFnnPSeVIniVKXlF8QRzzCg1TKJLsw1sNnP8l+m3+lsPB3w==;
Received: from host16.highletter.com [23.227.115.216] by host16.highletter.com [23.227.115.216];
Sat, 7 Mar 2015 07:34:07 -0500
MIME-Version: 1.0
From: red. nacz. Kasia Nowak <***@highletter.com>
To: ***@op.pl
Reply-To: red. nacz. Kasia Nowak <***@highletter.com>
Subject: =?utf-8?q?Je=C5=9Bli_nie_sp=C5=82acasz_kredytu,,_spr=C3=B3buj_pomno=C5=BCy=C4=87_PLNy?=
Content-Type: multipart/alternative;
boundary="-=977395e3533bd0dc10a06c43134924b8";
Date: Sat, 7 Mar 2015 07:34:07 -0500
Message-ID: <1-141010-***@host16.highletter.com>
X-Mailer: 4.2.8-134 [Aug 22 2012, 22:57:59]
X-ONET_PL-MDA-Version: 1.0.25
X-ONET_PL-MDA-Info: 009 10445 BDF7498DEA26A 0.500000
X-ONET_PL-MDA-From: ***@host16.highletter.com
X-ONET_PL-MDA-Spam: NO
--
Irokez
...:::WISKOLER:::...
2015-03-07 14:02:37 UTC
Permalink
Na grupie pl.comp.os.ms-windows.winnt, osobnik mieniący się nazwą Irokez
Post by Irokez
Na majla coraz więcej syfu przychodzi i tak zaczynam analizować kto to
ścierwo wysyła.
I teraz jak przeanalizować taki przykładowy syf co mi teraz wskoczył na
majla?
Niby jest link na dole do wypisania się, ale za diabła nie wiem co on
właściwie zrobi po wpisaniu tam mojego majla
Skąd to faktycznie przylazło i co z tym można zrobić?
From - Sat Mar 07 14:16:33 2015
X-Account-Key: account3
X-UIDL: ef7844b7c4ca11e48cceb8ca3a64064c
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Received: from mx.poczta.onet.pl (unresolved [10.174.34.83]:60863)
by ps9.m5r2.onet (Ota) with LMTP id BDF7498DEA26A
Received: from host16.highletter.com (host16.highletter.com [23.227.115.216])
by mx.poczta.onet.pl (Onet) with SMTP id 3kzmM028Gxz1v
DKIM-Signature: a=rsa-sha1; c=relaxed/relaxed; d=highletter.com;
Date:Message-ID; b=j1HEPn1P8pozzSRZhKfWBIobcExpk6G3+FpFDscAyeuLx
+L25yBTRaDCehxUsB5rp7bel3+r0e/KOTNwGOZU8Q==
DKIM-Signature: v=1; a=rsa-sha1; c=relaxed/relaxed;
Subject:Content-Type:Date:Message-ID; bh=FWgd4ThJ6Qx9R4qM3+EFb06
mZHs=; b=PXZ8By/OF06jhpDa37nZ3abj0jNxt21cykspu4w4Pue6aPmc3bhKJkw
a01zdtZtStvBql+KAPbthGhlyvalI8w==
DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws;
s=s512; d=highletter.com;
b=wns4od86PAPJLzv9LQoJKEdnhbnVAzDPAWMZKGOvFnnPSeVIniVKXlF8QRzzCg1TKJLsw1sNnP8l+m3+lsPB3w==;
Received: from host16.highletter.com [23.227.115.216] by host16.highletter.com [23.227.115.216];
Sat, 7 Mar 2015 07:34:07 -0500
MIME-Version: 1.0
Subject: =?utf-8?q?Je=C5=9Bli_nie_sp=C5=82acasz_kredytu,,_spr=C3=B3buj_pomno=C5=BCy=C4=87_PLNy?=
Content-Type: multipart/alternative;
boundary="-=977395e3533bd0dc10a06c43134924b8";
Date: Sat, 7 Mar 2015 07:34:07 -0500
X-Mailer: 4.2.8-134 [Aug 22 2012, 22:57:59]
X-ONET_PL-MDA-Version: 1.0.25
X-ONET_PL-MDA-Info: 009 10445 BDF7498DEA26A 0.500000
X-ONET_PL-MDA-Spam: NO
Bardziej mi to na reklame wygląda niz spam.
Zakładając konto na portalu podpisałeś zgode na otrzymywanie reklamy w
zamian za bezpłatne konto, dotyczy to równiez wysyłki poczty z doczepina
stopka reklamową w każdym twoim mailu do innych.
--
...::: WISKOLER :::...
Nowy Rok 1945. Prezydent Roosevelt wysyła telegram do Stalina "Obyśmy w
tym roku wypieprzyli Niemców!". Stalin odpisał "Nasz berliński agent już
zaliczył Evę Braun."
Irokez
2015-03-07 14:21:14 UTC
Permalink
Post by ...:::WISKOLER:::...
Bardziej mi to na reklame wygląda niz spam.
Zakładając konto na portalu podpisałeś zgode na otrzymywanie reklamy w
zamian za bezpłatne konto, dotyczy to równiez wysyłki poczty z doczepina
stopka reklamową w każdym twoim mailu do innych.
Reklamy z poczty onet przychodzą sygnowane odpowiednim wpisem w treści,
nagłówku itp.
Jeżeli ktoś chce zapytać, czy może mi wysłać oferty, to też to robi w majlu.
A ja dostałem takie coś (poukrywane linki powycinałem):

"
Temat: Jeśli nie spłacasz kredytu,, spróbuj pomnożyć PLNy

Jedyne co trzeba zrobić, to dokonać rejestracji na stronie kasyna
internetowego,
następnie po potwierdzeniu swojego konta drogą e-mail,
zostaniesz przeniesiony na stronę kasyna
Odbierz tutaj:
http://royalpremia.com
Zagraj i wygrywaj tak jak wielu innych Polaków, którzy potrafili wygrać
Okres ważności: 3 dni robocze
http://royalpremia.com
Push here to unsubscribe.
"

W ogóle to co się dzieje... kiedyś to spamy z zagranicy były z
powiększaniem penisa były a teraz...
Oferty programu który gra za mnie, majle pięknie po polsku, w treści
jakaś "Agnieszka Woźniak" pisze "Miałem przyjacielu marzenie..."
Obojniak jakiś? Nadane chyba z:

Received: from hosting.merlin.net.ua (boeing.merlin.net.ua [127.0.0.1])
by hosting.merlin.net.ua (8.14.2/8.14.2) with ESMTP id t27BPqeV064729


Następny Temat: "WAZNE OSTRZEZENIE PRZED ZBRODNIA I PLATFORMA"
"Masz mieszkanie do wynajęcia czy sprzedania? Dom? Działkę? Nie idź z
tym na
Policję, jak radzą MEDIA - za tę chciwość możesz nawet pójść do
więzienia, ..."

nadane chyba z:

Received: from serwer.dabrowa-gornicza.pl (serwer.dabrowa-gornicza.pl [188.117.143.210])
by biznes.ignorelist.com (Postfix) with ESMTPS id 37EC39A05BCF
--
Irokez
Irokez
2015-03-07 14:24:37 UTC
Permalink
Wybaczcie, nie wiem jak to Thunderbird zrobił że linków nie pokazywał a
po wysłaniu są
Strasznie nieobliczalny ten klient poczty

:(
Mark
2015-03-07 16:53:03 UTC
Permalink
Post by Irokez
Received: from hosting.merlin.net.ua (boeing.merlin.net.ua
[127.0.0.1]) by hosting.merlin.net.ua (8.14.2/8.14.2) with ESMTP id
t27BPqeV064729
Równie dobrze może to być fałszywy wpis wstawiony w celu utrudnienia
dojścia do adresu z którego zostało wysłane.
--
Mark
***@pnet.pl
***@onet.pl
ACMM-033
2015-03-12 13:51:46 UTC
Permalink
Post by ...:::WISKOLER:::...
Bardziej mi to na reklame wygląda niz spam.
Zakładając konto na portalu podpisałeś zgode na otrzymywanie reklamy w
zamian za bezpłatne konto, dotyczy to równiez wysyłki poczty z doczepina
stopka reklamową w każdym twoim mailu do innych.
... To dlaczego, mimo, że w portalu mam 3 konta, to gówno mi przychodzi
tylko na jedno?
To nie są reklamy od operatora skrzynki! Rzeczywiście, predzej od jakiegoś
podejrzanego portalu, z którego nawet nie idzie wypisać sie (np.
www.wpiszsie.pl - maile do admina skutkują zwrotką o nieistniejącym
adresie), który w dupie ma polityke prywatności.
Z tego, co zdążyłem się zorientować, zachodzi tu ordynarny handel adresami
email, co ponoć jest dozwolone w przypadku firm, czego jednak jakaś tam
firma nie sprawdza i srają równo po prywatnych. Klikać na link "wypisz" nie
ma sensu, bo to conajmniej nieczego nie da, a tylko może pogorszyć. Mnie się
już nawet czarna lista zapełniła u operatora.
Zastanawiam się czasem, czy nie odpisywać im uwag typu "chuj ci w dupę", czy
"spierdalaj pizdo", ale nie mam pewności na 100%, czy adres nadawcy,
korelujący zresztą z treścią, nie znalazł się tu na zasadzie, że oferent
pchnął to firmie spamerskiej, a ta rozesłała po ludziach, czy wysłał to
bezpośrednio z zakupionej listy adresów.
Jedynie co robię, to regularnie karmię antyspam.
Przypuszczam, że ktoś cwany znalazł dziurę w przepisach i rzyga ludziom po
skrzynkach. Bo to jest całkiem umyślne działanie.
--
Biorę udział w projekcie SamKnows, jeśli masz szybkie łacze i chcesz
dołączyć, kliknij obok... I participate in the SamKnows project, if you
have a fast link and want to join, click beside... https://www.samknows.eu
Mark
2015-03-07 16:45:34 UTC
Permalink
Post by Irokez
Na majla coraz więcej syfu przychodzi i tak zaczynam analizować kto
to ścierwo wysyła.
I teraz jak przeanalizować taki przykładowy syf co mi teraz wskoczył
na majla?
Niby jest link na dole do wypisania się, ale za diabła nie wiem co on
właściwie zrobi po wpisaniu tam mojego majla
Po prostu potwierdzi że konto jest aktywne i uważnie czytasz listy a co
za tym idzie warto wysłać ci jeszcze więcej spamu. :>
Post by Irokez
Skąd to faktycznie przylazło i co z tym można zrobić?
Received: from host16.highletter.com (host16.highletter.com
[23.227.115.216]) by mx.poczta.onet.pl (Onet) with SMTP id
+0100 (CET)
Przylazło z (host16.highletter.com [23.227.115.216]) praqwdopodobnie
przez jakiś dziurawy formularz PHP.
Jeśli chcesz możesz zgłosić ten spam na któryś z tych adresów
***@kvchosting.com lub ***@kvchosting.com
--
Mark
***@pnet.pl
***@onet.pl
1634Racine
2015-03-08 00:46:46 UTC
Permalink
[.........]
Jeśli chcesz możesz zgłosić ten spam na któryś z tych adresów
skad pomysl na kvchosting.com? a nie, w ostatecznosci: ***@highletter.com
Mark
2015-03-08 04:23:41 UTC
Permalink
[.........]
Jeśli chcesz możesz zgłosić ten spam na któryś z tych adresów
Po adresie IP: 23.227.115.216
Po odpytaniu whois.arin.net wskazuje na firmę kvchosting.com której
został przydzielony ten zakreś IP 23.227.96.0 - 23.227.127.255
Następnie pytamu whois.abuse.net i mamy adres ***@kvchosting.com
zaś adres ***@kvchosting.com dodałem na wszelki wypadek.
Zaś adres który ty proponujesz ***@highletter.com albo nie będzie
istniał, albo też potwierdzisz tylko spamerowi że adres istnieje.
--
Mark
***@pnet.pl
***@onet.pl
1634Racine
2015-03-08 16:44:58 UTC
Permalink
Mark in news:mdgit2$m8r$***@node1.news.atman.pl
[.............]
Po odpytaniu whois.arin.net wskazuje na firmę kvchosting.com której został
przydzielony ten zakreś IP 23.227.96.0 - 23.227.127.255
ok, w porzadku, to jasne, ale to jest tak, jakby zdobyc wiedze, że adres
nalezy do puli, ktora - mowiac obrazowo - nalezy do jakiejs "tpsa", albo
"orange", albo jakis telekomunikacyjny orlen, itp itd. (duzo raczej tych
adresow). A ci z kolei porozdawali zakresy adresowe jakims pod-podmiotom i
co wowczas ichniej "tpsa"/"orange"/"orlen"/[...] do tego, co konkretny
adres z rozdanej/przydzielonej pod-puli wyczynia.... No, chyba, ze te
zaleznosci w sprawie odpowiedzialnosci (prawnej) tak wygladają, to ok. Tak
wygladają?
istniał, albo też potwierdzisz tylko spamerowi że adres istnieje.
"abuse"... - to byla jeno orientacyjna podpowiedz, rownie dobrze moze byc
"webmaster"... moze praktyka podpowiada jeszcze cos innego przed "@".
Niewatpliwie to "highletter.com" rozsyla spam i teraz pytanie: albo im sie
omsknęło cos, albo celowo. Jesli to pierwsze - to abuse/webmaster/[...] moze
i dobre zaalarmowanie, a jesli to drugie - to co moze zrobic owa "tpsa"
highletter-owi...

Ja w ogole sądzę, że slanie jakichkolwiek i gdziekolwiek protestow
abuse/webmaster/[...] - to tylko potwierdzenie odbioru spamu.
Mark
2015-03-08 18:40:02 UTC
Permalink
Post by 1634Racine
[.............]
Post by Mark
Po odpytaniu whois.arin.net wskazuje na firmę kvchosting.com
której został przydzielony ten zakreś IP 23.227.96.0 -
23.227.127.255
Następnie pytamu whois.abuse.net i mamy adres
ok, w porzadku, to jasne, ale to jest tak, jakby zdobyc wiedze, że
adres nalezy do puli, ktora - mowiac obrazowo - nalezy do jakiejs
"tpsa", albo "orange", albo jakis telekomunikacyjny orlen, itp
itd. (duzo raczej tych adresow). A ci z kolei porozdawali zakresy
adresowe jakims pod-podmiotom i co wowczas ichniej
"tpsa"/"orange"/"orlen"/[...] do tego, co konkretny adres z
rozdanej/przydzielonej pod-puli wyczynia.... No, chyba, ze te
zaleznosci w sprawie odpowiedzialnosci (prawnej) tak wygladają, to ok.
Tak wygladają?
Informacja o tym że część puli IP przekazano innej firmie musi się
znaleźć w bazie whois.
Oto przykład:

C:\Users\Marek>whois -h whois.ripe.net 46.242.145.92
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '46.242.144.0 - 46.242.148.255'

% Abuse contact for '46.242.144.0 - 46.242.148.255' is '***@home.pl'

inetnum: 46.242.144.0 - 46.242.148.255
netname: AZPL
descr: AZ.pl Sp. z o.o.
descr: Al. Papieza Jana Pawla II 19/2
descr: 70-453 Szczecin
country: PL
admin-c: ANA59-RIPE
tech-c: ANA59-RIPE
status: ASSIGNED PA
mnt-by: AZPL-ADMINS-MNT
source: RIPE # Filtered

role: az.pl Network Administrators
address: Al. Papieza Jana Pawla II 19/2,
address: 70-453 Szczecin
address: Poland
nic-hdl: ANA59-RIPE
mnt-by: AZPL-ADMINS-MNT
source: RIPE # Filtered
abuse-mailbox: ***@az.pl

% Information related to '46.242.128.0/17AS12824'

route: 46.242.128.0/17
descr: home.pl network
origin: AS12824
mnt-by: HOMENET-MNT
source: RIPE # Filtered

% This query was served by the RIPE Database Query Service version 1.78
(DB-4)
Post by 1634Racine
Post by Mark
istniał, albo też potwierdzisz tylko spamerowi że adres istnieje.
"abuse"... - to byla jeno orientacyjna podpowiedz, rownie dobrze
moze byc "webmaster"... moze praktyka podpowiada jeszcze cos innego
pytanie: albo im sie omsknęło cos, albo celowo. Jesli to pierwsze -
to abuse/webmaster/[...] moze i dobre zaalarmowanie, a jesli to
drugie - to co moze zrobic owa "tpsa" highletter-owi...
Po sprawdzeniu okazuje się że to drugie. Po wpisaniu w przeglądarce
adresu: http://www.highletter.com/ pojawia się strona z informacją:

'Enter your email address below to unsubscribe:'

oraz polem na wpisanie adresu e-mail.

Co może zrobić operator temu highletter-owi?
Może zerwać z nimi umowę o p0rowadzenie konta.
Post by 1634Racine
Ja w ogole sądzę, że slanie jakichkolwiek i gdziekolwiek protestow
abuse/webmaster/[...] - to tylko potwierdzenie odbioru spamu.
Jeśli dobrze poślesz informację na prawdziwy adres to prawdopodbieństwo
że w ten sposób potwierdzisz spam jest małe.
--
Mark
***@pnet.pl
***@onet.pl
1634Racine
2015-03-08 21:19:54 UTC
Permalink
Mark in news:mdi52q$cb4$***@node1.news.atman.pl
[........]
Informacja o tym że część puli IP przekazano innej firmie musi się znaleźć
w bazie whois.
wiec: (pewnie) masz racje, ze to "kvchosting.com", bo wychodzi mi na to, ze
jednak na nikogo nie scedowali czesci puli adresowej i sami spamuja.
...:::WISKOLER:::...
2015-03-09 17:13:22 UTC
Permalink
Na grupie pl.comp.os.ms-windows.winnt, osobnik mieniący się nazwą
Post by 1634Racine
[........]
Informacja o tym że część puli IP przekazano innej firmie musi się znaleźć
w bazie whois.
wiec: (pewnie) masz racje, ze to "kvchosting.com", bo wychodzi mi na to, ze
jednak na nikogo nie scedowali czesci puli adresowej i sami spamuja.
A co panowie powiedzą na taki nagłówek?

Received: from fmx28.pf.interia.pl (fmx28.pf.interia.pl [127.0.0.1])

by fmx28.pf.interia.pl (INTERIA.PL) with ESMTP id 0CF773E60389

for <***********@interia.pl>; Mon, 9 Mar 2015 17:57:23 +0100 (CET)

X-Envelope-From: <<>>

Received: from 177.131.8.60 (177-131-8-60.netfacil.net.br [177.131.8.60])

by fmx28.pf.interia.pl (INTERIA.PL) with SMTP

for< ************@interia.pl>; Mon, 9 Mar 2015 17:57:21 +0100 (CET)

Received: from unknown (HELO localhost)
(***@e-technik.uni-***@108.218.110.153)

by 177.131.8.60 with ESMTPA; Mon, 9 Mar 2015 13:59:57 -0300

X-Originating-IP: 108.218.110.153

From: ***@e-technik.uni-rostock.de

To: ***********@interia.pl

Subject: Achieve tips to increase your bedroom life

X-Interia-Antivirus: OK

Message-Id: <***@fmx28.pf.interia.pl>

Date: Mon, 9 Mar 2015 17:57:23 +0100 (CET)

X-IPL-SAS-ZERO: -0

X-IPL-SAS-SPAS: 1.8

X-IPL-SAS-UREP: -1

X-IPL-SAS-LINKS: 0

X-IPL-Envelope-To:*********@interia.pl

X-IPL-SAS-UREP-PRIV: 0

X-IPL-SAS: 0.8

X-RegEx-Score: 269.8

X-RegEx: [110.9] FROM_NUMERIC_HELO sender helo'd with an IP address

X-RegEx: [59.6] FROM_AND_RECEIVED_DO_NOT_MATCH FQDN in From and Received
header do not match

X-RegEx: [99.3] NO_REAL_NAME From: does not include a real name/disabled
for AOL sender

X-SpamPal: PASS

http://guiltily.yourmedicalpurchase.ru/ Do not fail in bed today

Przyłazi od jakiegoś czasu z jedną linią tekstu i linkiem.
Nie klikam, wywalam od razu, odfiltrowac tego gówna na spampalu nie
potrafię bo się adresy zmieniają. No i filtrowanie po treści lub temacie
tez mi nie idzie bo to są zmieniane ciągi. Jka w takim razie sie obronić
przed tego rodzaju spamem?

I tak przy okazji, jak można odkryc , na co zwracać uwagę w nagłówkach że
nie mail nie pochodzi z adresu który jest jawnie widoczny w polu OD:?
--
...:::WISKOLER:::...
Stirlitz budzi się z okropnym bólem głowy. Mętnym wzrokiem spogląda wokół:
na stole bateria pustych butelek, obok naga posiniaczona kobieta, poza tym
potworny bałagan, połamane meble...
Uśmiecha się radośnie. W tym dniu, dniu Armii Czerwonej, zachował się jak
prawdziwy radziecki oficer.
...:::WISKOLER:::...
2015-03-09 17:14:42 UTC
Permalink
Na grupie pl.comp.os.ms-windows.winnt, osobnik mieniący się nazwą
...:::WISKOLER:::... naskrobał(a):

[ciach]
Wygwiazdkowałem tylko swój adres e-mail.
--
...::: WISKOLER :::...
Nowy Rok 1945. Prezydent Roosevelt wysyła telegram do Stalina "Obyśmy w
tym roku wypieprzyli Niemców!". Stalin odpisał "Nasz berliński agent już
zaliczył Evę Braun."
ACMM-033
2015-03-12 14:24:57 UTC
Permalink
Post by Mark
Co może zrobić operator temu highletter-owi?
Może zerwać z nimi umowę o p0rowadzenie konta.
Tylko, że takich "highletterów" jest cała masa i chyba tylko pozostaje
jakiegoś Bayesa nakarmić... Bo szukać za każdym razem od nowa, kto kogo
gdzie z kim poco i dlaczego, to zesrać się można. Ale, jak się nie będzie
ubijać, to będą srać...
Jakiś niezbyt dawny czas temu przychodziły mi dziwne śmieci z jednegoi z IP
Vectry, wskazującego na ich klienta. Kilkukrotne zgłoszenie poszło na
Berdyczów... A spamy ustały same po jakimkś czasie... Już bez dodatkowego
"molestowania" Vectry.

... A tak sobie pomyslałem... a może każdemu podsyłać ten link?
http://spamerom.gourl.org, zrobiłem ten alias 7-8 lat temu i nadal działa...
--
Biorę udział w projekcie SamKnows, jeśli masz szybkie łacze i chcesz
dołączyć, kliknij obok... I participate in the SamKnows project, if you
have a fast link and want to join, click beside... https://www.samknows.eu
ACMM-033
2015-03-12 14:05:19 UTC
Permalink
Post by Irokez
Niby jest link na dole do wypisania się, ale za diabła nie wiem co on
właściwie zrobi po wpisaniu tam mojego majla
Po prostu potwierdzi że konto jest aktywne i uważnie czytasz listy a co za
tym idzie warto wysłać ci jeszcze więcej spamu. :>
W rzeczy samej. Stąd jeśli już, to macam takie adresy jedynie wtedy, gdy
mogę w tamte miejsca powstawiać np. adres spamera jakiegoś, zamiast swój...
np. pewnej Wiktorii z Kijowa, wiecie o którą mi chodzi? :) Tak samo dość
chętnie łapię maile typu "zaloguj się na konto w banku i podaj pin, oraz
CVV", etc. Nie muszę dodawać, że karmię takie stronki wyłącznie fałszywymi
danymi? :)
Jeśli chcesz możesz zgłosić ten spam na któryś z tych adresów
Jest pewność, że to "ten adres co trzeba", a nie kolejny harvester?
Kiedyś (ojoj, z 10 lat będzie, jeśli nie bardziej...), FW zameldował mi
mass-flooding, czy jak to się nazywa, na różne porty w systemie. W ciągu pół
godziny chyba coś koło 12 tysięcy prób pakietem SYN bodajże. Wyśledziłem
adres, znalazłem w RIPE kto jest adminem, napisałem, to odpowiedź była (ceni
się, że nie przemilczał), sieć chyba ICPNet, admin chyba p. Cezary nazwiska
nie pomnę, mentalnie w stylu chuj ci w dupę, mam to gdzieś, mass-flooding to
przecież nic takiego, każdemu wolno. Dobrze, ze FW mi tego nie puścił, bo
mogłem mieć nieciekawie. A tak, to jedynie lampka SDI leciutko pomrygiwała
kilka(naście) razy na sekundę, a ja mogłem normalnie korzystać z sieci.
Zestaw - NT4 i KPF2.1.5.
Zapamiętałem to sobie i jak mi zaproponują zakup łącza, czy innych usług, to
uzależnię to od wytłumaczenia się z braku właściwej reakcji na zgłoszenie.
--
Biorę udział w projekcie SamKnows, jeśli masz szybkie łacze i chcesz
dołączyć, kliknij obok... I participate in the SamKnows project, if you
have a fast link and want to join, click beside... https://www.samknows.eu
PiteR
2015-03-07 17:56:54 UTC
Permalink
Post by Irokez
Na majla coraz więcej syfu przychodzi i tak zaczynam analizować
kto to ścierwo wysyła.
po co ci kto? chcesz go odwiedzić z AK47 :)
Post by Irokez
I teraz jak przeanalizować taki przykładowy syf co mi teraz
wskoczył na majla?
Niby jest link na dole do wypisania się, ale za diabła nie wiem co
on właściwie zrobi po wpisaniu tam mojego majla
na pewno nie wypisuje :)


Nie pamiętam już jakie Thunderbird ma filtry, czy obsługuje regex
i przeszukuje body listu bo używam teraz w zamian Sylpheeda który to ma.




tworzysz sobie regułki kasowania

From {***@mail.pl|***@mail.pl|***@mail.pl}
Subject {viagra|pharmacy|zarabia|kredyt|po.yczka|odchudza}
Body {we considered|rozpatrywalismy wasze cv|2000euro|godziny dziennie}
Body {odchudzanie|I guarantee that|niemieccy (matematycy|uczeni)|zarabia|zarobi|matematyk|zabronion}
Body {BinBot|kuponów o wartości|24 letnia dziewczyna}
Body {kasyno|facebook|sephora|niegrzeczn|za\sdarmo|inwestor}


itp itd
--
Piter
PiteR
2015-03-07 18:13:08 UTC
Permalink
PiteR pisze tak:

Jak to czytam to mi ziemniaki szybciej gniją w piwnicy :)
Nie zamykaj pospiesznie tej wiadomosci - ona zupelnie odmieni
twoje zycie.
sam sobie odmienię jak zechce :)
Zdolni niemieccy matematycy wymyslili program
zapewne nie jeden
Jesli tym programem zaczna poslugiwac sie miliony osob - zostanie
zabronione jego uzywanie w obawie przed zburzeniem calego systemu
finansowego.
Mam dla ciebie prace przynoszaca od 10000 euro dochodu miesiecznie
za mało, chcę 10001 euro miesięcznie
Pragne, aby kazdy zwykly czlowiek byl w stanie w prosty sposob
zarobic pieniadze.
buhahahah

a ja pragnę żeby nie polowano na wieloryby, żeby dziura ozonowa się
zmniejszyła i żeby przylecieli obcy i zabrali wołodzię.

:)
--
Piter
Irokez
2015-03-07 18:46:09 UTC
Permalink
Post by PiteR
Jak to czytam to mi ziemniaki szybciej gniją w piwnicy :)
Nie zamykaj pospiesznie tej wiadomosci - ona zupelnie odmieni
twoje zycie.
O widzę dostajemy to samo :)

Received: from vurl.net ([188.226.147.36])
(envelope-sender <***@bulgarian-brokers.vurl.net>)
Subject: Wiem, ze jestes mi potrzebny


Z tym paintballem to niezły pomysł, tylko farba jednokolorowa ;)
--
Irokez
Irokez
2015-03-09 19:15:00 UTC
Permalink
Dostałem też majla niby z poczty polskiej:

From - Mon Mar 09 20:05:39 2015
X-Account-Key: account6
X-UIDL: 1425652708.UUQXXU.11,S=4040
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <***@mail.gug.co.th>
Delivered-To: ***@wp.pl
Received: (wp-smtpd mx.wp.pl 16901 invoked from network); 6 Mar 2015 15:38:28 +0100
Received: from unknown (HELO mail.gug.co.th) ([61.19.248.164])
(envelope-sender <***@mail.gug.co.th>)
by mx.wp.pl (WP-SMTPD) with DHE-RSA-AES256-SHA encrypted SMTP
for <***@wp.pl>; 6 Mar 2015 15:38:28 +0100
Received: (qmail 17658 invoked by uid 501); 6 Mar 2015 14:32:25 -0000
Date: 6 Mar 2015 14:32:25 -0000
Message-ID: <***@mail.gug.co.th>
To: ***@wp.pl
Subject: Powiadomienie przesyłki
From: Poczta Polska <***@poczta-polska.pl>


"Szanowny kliencie,
Pakiet został wysłany przez Amazon Inc dniu 06.03.2015 i płatności dla
tej przesyłki jest zakończona.
Faktura została stworzona dla tej płatności, w tym podatków i opłat
przewozowych.
Musisz oprogramowania PDF do przeglądania fakturę.
Proszę zobaczyć _faktury płatności tutaj_.
Poczta Polska
*** To jest email został wygenerowany automatycznie. Nie odpowiadaj na
ten e-mail ponieważ poczta nie jest monitorowany ***"

Wcześniej był majl z inną fakturą ale w linku obu jest skrót
_http://www.red1.ecmeng.c_o_m/_
który prowadzi do:
_http://www.jbp.dekalog.pl/guppy/pages/Faktura.p_d_f.e_x_e_, stronka
"Jednoci Braci Polskich z Wrocławia"

hmm.. ciekawe :)

Wysłałem im majla że ktoś chyba włam im zrobił,
Odpowiedzi od soboty zero, strona widzę leży :) pewnie sprzątają.


Pozdrawiam.
--
Irokez
Jacek Skowroński
2015-03-09 19:27:16 UTC
Permalink
Post by Irokez
Na majla coraz więcej syfu przychodzi i tak zaczynam analizować kto to
ścierwo wysyła.
I teraz jak przeanalizować taki przykładowy syf co mi teraz wskoczył na
majla?
Informacji poszukaj w archiwum grupy pl.internet.mordplik.
--
Jacek Skowroński
Loading...