Także z takich adresów:

[188.246.129.66] lodzka.policja.gov.pl
Subject: Twoja skrzynka pocztowa zostala czasowo zawieszona!!!

Jakby ktoś chciał drugi nagłówek Received z adresem IP:

Received: from [10.153.45.138] (unknown [105.112.8.14])

Received: from [10.153.45.138] (unknown [105.112.8.13])

Received: from [10.153.45.138] (unknown [105.112.8.12])

Received: from [10.153.45.138] (unknown [105.112.8.11])

Received: from [10.153.45.138] (unknown [105.112.8.9])

inetnum:        105.112.0.0 - 105.127.255.255
netname:        Airtel-Nigeria
descr:          Airtel Networks Limited
country:        NG

Zbiera zajebiste żniwo. No bo tak: przychodzi email niby z DHL, napisany w barbarzyńskim języku niemieckim, z linkiem do zipa, którego trzeba pobrać, rozpakować, kliknąć tego exe, co to ma w środku. Firefox mi dzisiaj zablokował pobranie takiego pliku. Antywirusy na pewno wyświetlaja pierdyliard alertów -  a mimo tego znajdą się tacy (i nie mówię tu o pojedynczych przypadkach tylko o tysiącach userów), którzy sobie tego wirusa zainstalują. Ręce opadają.

Bo można się zabrać za zaległą robotę. Na przykład home.pl odpowiedział mi na zgłoszenie włamania na jeden z ich serwerów z dnia 24 lutego 2015 (po dwóch miesiącach). Odpowiedzieli, że obecnie strona nie budzi ich zastrzeżeń - pewnie dlatego, że powiadomiłem też właściciela strony a ten ją poprawił.

Dostałem spam z adresu 21proevmalcx@prology.in.ua, 188.40.124.23, drugi Received wskazuje na 185.91.175.145. Spam reklamujący usługi spamowania. W środku jest link do www.kairem.co.ua, który przekierowuje na esop.in.ua a ten dopiero na 21provision.com.pl. Natomiast na domenie esop.in.ua spamer zapomniał umieścić DirectoryIndex, bo wyświetlają się katalogi - po nazwie oraz przekierowaniu jakie robią - sama viagra i kredyty.

mta-all65.info.allegro.pl: Helo command rejected: Host not found

450 4.7.1 Client host rejected: cannot find your reverse hostname (problemy z DNSami odwrotnymi)

Rusków... (nie, żebym się czegoś innego spodziewał) a konkretnie do 31.184.195.247

Spam binbotowy jest rozsyłany z serwerów webowych na których nastapiło włamanie. (dziurawy Wordpress, Joomla etc.)
Skrypt uruchamiający wysyłanie spamu jest wywoływany z adresu IP 31.184.195.247

Link w treści spamu prowadzi do kolejnych serwerów webowych a one przekierowują na stronę bio-options.pl. Ta strona zachęca do rejestarcji na uTrader.com.

bio-options.pl.         120     IN      A       193.230.220.76
bio-options.pl.         7589    IN      NS      ns2.iltivihh3.ru.
bio-options.pl.         7589    IN      NS      ns1.iltivihh3.ru.
ns1.ILTIVIHH3.ru.       758     IN      A       193.230.220.76
ns2.ILTIVIHH3.ru.       758     IN      A       193.230.220.76

76.220.230.193.in-addr.arpa domain name pointer RovalNET-EX-net.iNES.RO.

inetnum:        193.230.220.0 - 193.230.220.255
netname:        IODES-RO
descr:          IODES TRADING SRL
country:        ro
admin-c:        IS115-RIPE
admin-c:        INES-RIPE
tech-c:         INES-RIPE
status:         ASSIGNED PA
mnt-by:         AS3233-MNT
mnt-lower:      AS3233-MNT
mnt-routes:     AS12310-MNT
source:         RIPE # Filtered

role:           iNES Internet NOC
address:        2-6 Virgil Madgearu st.
address:        sector 1
address:        Bucharest / ROMANIA
phone:          +40 31 620 20 20
fax-no:         +40 31 620 20 99
phone:          +40 21 232 21 12
fax-no:         +40 21 232 34 61
admin-c:        INES-RIPE
tech-c:         TU790-RIPE
tech-c:         DC1119-RIPE
tech-c:         BP1868-RIPE
tech-c:         BC2200-RIPE
tech-c:         ARS3376
nic-hdl:        INES-RIPE
remarks:        --------------------------------
remarks:        abuse reports: abuse@ines.ro
remarks:        NOC Phone 24x7: +40 31 620 20 20
remarks:        NOC Phone 24x7: +40 21 232 21 12
remarks:        NOC E-mail: support@ines.ro
remarks:        --------------------------------
mnt-by:         AS12310-MNT
source:         RIPE # Filtered

person:         Iosif SZAVUJ
address:        IODES TRADING SRL
address:        Dr. Djuvara E. Street, 31-33, vila 2, ap 4
address:        sector 6, 77201
address:        Bucharest - Romania
phone:          +40-21-6374552
fax-no:         +40-21-6374552
nic-hdl:        IS115-RIPE
mnt-by:         AS3233-MNT
source:         RIPE # Filtered

inetnum:        31.184.192.0 - 31.184.255.255
netname:        RU-PIN-20110304
descr:          Petersburg Internet Network ltd.
country:        RU
org:            ORG-PINl1-RIPE
admin-c:        PINl1-RIPE
tech-c:         PINl1-RIPE
status:         ALLOCATED PA
mnt-by:         RIPE-NCC-HM-MNT
mnt-lower:      MNT-PIN
mnt-routes:     MNT-PIN
mnt-domains:    MNT-PIN
source:         RIPE # Filtered

organisation:   ORG-PINl1-RIPE
org-name:       Petersburg Internet Network ltd.
org-type:       LIR
address:        Petersburg Internet Network ltd.
address:        Nikolay Metluk
address:        Sedova str, 80
address:        192171
address:        Saint-Petersburg
address:        RUSSIAN FEDERATION
phone:          +78126772525
phone:          +78126772555
fax-no:         +78123093916
abuse-mailbox:  abuse@pinspb.ru
mnt-ref:        RIPE-NCC-HM-MNT
mnt-ref:        MNT-PIN
mnt-by:         RIPE-NCC-HM-MNT
admin-c:        MNV32-RIPE
tech-c:         SEO-RIPE
abuse-c:        PIN44050-RIPE
source:         RIPE # Filtered

role:           PIN ROLE
address:        Russia, SPb, Sedova 80
admin-c:        MNV32-RIPE
tech-c:         PIN44050-RIPE
nic-hdl:        PINl1-RIPE
mnt-by:         MNT-PIN
source:         RIPE # Filtered

Ma forum. W stopce tego forum imponujące liczby:

Liczba tematów: 17 | Liczba postów: 18 | Liczba użytkowników: 247443

Dostałem taki spam na biuro@

Szanowni Państwo !

Każdy sklep internetowy ma obowiązek umieszczenia na swojej stronie regulaminu, a od 25.12.2014 także odpowiednich informacji na stronie WWW.

Ze względu na arbitralne przygotowywanie treści regulaminów przez przedsiębiorców prawo przewiduję kontrolę regulaminów w przypadku zawierania umów na podstawie ich treści,

ale wyłącznie w obrocie pomiędzy przedsiębiorcami a konsumentami (B2C).

13 czerwca 2014 r. wprowadzane są do systemów krajowych państw UE zmiany prawa dot. m.in. dokonywania zakupów online.

Dyrektywa 2011/83/UE, która jest podstawą do wprowadzenia nowych praw i obowiązków przedsiębiorców i konsumentów ma na celu maksymalne ujednolicenie prawa

dot. handlu elektronicznego w całej UE. Zmiany mają ułatwić zawieranie transakcji na odległość pomiędzy przedsiębiorcami a konsumentami na podobnych zasadach na terenie całej UE.

Informujemy w tym miejscu, że Państwa regulamin zawiera rażące błędy i nie zawiera podstawowych informacji które wymagane są zgodnie z Dyrektywą 2011/83/UE.

W związku z powyższym wzywamy do umieszczenia poprawnego regulaminu na Państwa serwisie www w terminie 7 dni od momentu otrzymania niniejszej wiadomości.

 

Jeśli ww. terminie nadal będziecie Państwo naruszali interes konsumenta lub obowiązujące przepisy prawne, będziemy zmuszeni złożyć pozew do Sądu Okręgowego w Warszawie

(zgodnie z art. 479 z indeksem 38 i n. kodeksu postępowania cywilnego) Wydziału XVII Ochrony Konkurencji i Konsumentów Sądu, a to wiąże się z poważnymi konsekwencjami prawnymi,

zwłaszcza finansowymi (nawet parę tysięcy złotych) oraz anty reklamą, gdyż Sąd w Wyroku nakazuje publikację treści regulaminu (oczywiście na koszt pozwanego przedsiębiorcy)

w rejestrze klauzul niedozwolonych prowadzonym przez Prezesa Urzędu ochrony Konkurencji i Konsumentów.

W momencie gdy nie są Państwo w stanie stworzyć poprawny regulamin, nasze Stowarzyszenie rekomenduje serwisy zajmujące się pisaniem poprawnych regulaminów:

http://www.regulaminowo.com

http://www.e-profesjonalnie.com/regulamin-sklepu-p-15.html

Z poważaniem

Przedstawiciel Prawo Dla Konsumenta VERUM

Marzena Gramsz

Coś ostatnio kancelarie adwokackie odkryły możliwości Internetu i zajmują się trollingiem: copyright-trollingiem, cookie-trollingiem i regulamin-trollingiem. Najpierw politycy wpieprzyli się w coś, o czym nie mają pojęcia (ustawa cookie, ustawa dot. zakupów) a teraz prawnicy chcą wykorzystać ich/jej efekty do niegodziwego zarobku. Tak w sumie to nigdy nie sądziłem, że można postawić adwokatów na równi z przestępcami, ale cóż, świat idzie do przodu a Lemat nadal buja w obłokach.

Po pierwsze - dostaję od nich spam - co już kompletnie dyskwalifikuje ich w moich oczach. Spam jest wysyłany z serwerów smtp-power220.com. Zrobiłem nawet próbę wypisania się z newslettera - jak słusznie przewidziałem - nic z tego.

Na stronie kontaktowej można znaleźć informację:

Nazwa: Sky Scope Ltd.
KRS: 150905
Obsługę klienta, logistykę, oraz zarządzanie płatnościami, zapewnia: Bonus Shop Sp. z o.o.
Adres pocztowy: 34 500 Zakopane, ul. Krupówki 20. Skrytka Pocztowa nr. 22.
Telefon: +48 (22) 208 4490
Adres e-mail: info@bonuszshop.net
KRS: 01-09-182518
NIP: 24789932-2-42

Natomiast na węgierskiej stronie kontaktowej:

Név: Bonus Shop Kft.
Székhely és levelezési cím: 1063 Budapest, Szinyei Merse utca 10.
Telefonszáma: +36 30 681 25 99
Email cím: info@bonuszshop.com
Cégjegyzékszám: 01-09-182518
Adószám: 24789932-2-42

Jakby ktoś nie zauważył: (22) to kierunkowy Warszawy. A KRS i NIP nie mogą być identyczne, bo przecież to są 2 różne Państwa. KRS 150905 należy do wydawnictwa z Wrocławia. W tym momencie automatycznie zakładam, że podanie nieprawidłowych danych o przedsiębiorcy służy oszustwom.

To ja teraz się pytam: gdzie są te spamerskie kancelarie prawnicze specjalizujące się w wyłudzeniach zakupu "prawidłowych" regulaminów sklepów internetowych?!

Firma, w której pracuję, zatrudniła nowego handlowca. Handlowca jak się patrzy czyli blondynę przez wielkie DD pisane... Pierwszą rzeczą jaką zrobiła to rozesłanie mailingu do swoich kontaktów z poprzedniej pracy - jakieś 4 tysiące adresów. Bez konsultacji z działem IT. Z mojego punktu widzenia wyglądało to tak: "ledwo tydzień pracuje a już ma wirusa i włamanie na skrzynkę pocztową" - bo mi wyskoczyły 2 alerty nagiosa i fail2bana a skrzynka pocztowa została automatycznie zablokowana.

I pojawiło się kilka problemów: sporo adresów już nie istniało (~400 sztuki), sporo domen już nie istniało (~10 sztuk), sporo domen zmieniło właściciela. A adres IP serwera poczty znalazł się na czarnej liście. Jednak prawdziwym nieszczęściem okazało się, że ta czarna lista jest używana przez serwer pocztowy jednego z naszych większych partnerów biznesowych. Takiego, co to codziennie kursuje kilkanaście/dziesiąt emaili z zamówieniami i szczegółami technicznymi. Takiego, że jeden Prezes stracił możliwość wysłania swoich fotek z wakacji drugiemu Prezesowi. Wszyscy weszli mi na głowę a ja, jak już posprzątałem to dobrałem się do dupy blondyny. I ma zakaz rozsyłania jakichkolwiek emaili poza listą obecnych kontrahentów.

włamał się Rydzykowi na serwer ares.wsksim.edu.pl 77.252.144.19 i rozsyła spam.

header   LEMAT_316      X-PHP-Originating-Script =~ /eval\(\)'d code/
describe LEMAT_316      Spamer opcje binarne

header   LEMAT_317      X-PHP-Script =~ /eval\(\)'d code/
describe LEMAT_317      Spamer opcje binarne

cała konfiguracja spamassassina

A w jej kodzie taki kwiatek:

div id="banner_cookies_bullshit"

- od razu mi się spodobała. Widać, że poseł Sejmowej Komisji Innowacyjności i Nowoczesnych Technologii otacza się fachowcami od IT. I to nie w negatywnym sensie - bo chyba wszyscy fachowcy od IT mają takie zdanie na temat tej unijnej dyrektywy cookiesowej.

Ruscy od opcji binarnych i forexa w obliczu kryzysu poszukują frajerów, którzy wpompują w rynek trochę gotówki.Oczywiście przepływ gotówki będzie dość jednostronny i rzeczywiście np. taki ruski spammer będzie mógł sobie bardzo szybko kupić dom/samochód/nigeryjską księżniczkę o ile znajdzie się wystarczająca ilość frajerów.

Regułki dla spamassassina (lub do header_checks, body_checks)

body   LEMAT_310        /Zdob.{0,8}d.{0,8}prawdziwe.{0,8}pieni.{0,8}dze.{0,8}za.{0,8}darmo/i
header   LEMAT_311      Subject =~ /Zdob.{0,8}d.{0,8}prawdziwe.{0,8}pieni.{0,8}dze.{0,8}za.{0,8}darmo/i
body   LEMAT_312        /Nie przegap swojej szansy|Nie trac czasu, graj i zarabiaj|Dowiedz sie i zacznij zarabiac juz dzis|Program zrobi wszystko sam|Chcesz zarobic\? Spiesz sie|program zarabia na ciebie/i
body   LEMAT_313      /Niemieccy matematycy wymyslili program, ktory sam gra na gieldzie i tym samym zarabia pieniadze/i

score URIBL_DBL_ABUSE_BOTCC             10.0

Spam wychodzi z przejętych z serwerów i linki w treści też wskazują na przejęte serwery. Bardzo dużo tego spamu pochodzi z konta support@.

... i właśnie z jego z serwera leci spam:

reject: header Subject: Zdobadz prawdziwe pieniadze za darmo from s11.zenbox.pl[185.23.21.19]; from=<s...s@optykopatow.pl>

Spamer rejestruje sobie domeny ale za nie nie płaci. Taka domena działa mu 15 dni i przez te 15 dni używa jej do rozsyłania spamu reklamującego jakieś cudowne środki lecznicze lub kosmetyki. Prawdopodobnie postępuje tak samo z hostingiem, bo co chwila ma inne IP.

To ja zaproponuję na niego (i na jemu podobnych) RBLa fresh15.spameatingmonkey.net.