Dostałem spam z adresu 21proevmalcx@prology.in.ua, 188.40.124.23, drugi Received wskazuje na 185.91.175.145. Spam reklamujący usługi spamowania. W środku jest link do www.kairem.co.ua, który przekierowuje na esop.in.ua a ten dopiero na 21provision.com.pl. Natomiast na domenie esop.in.ua spamer zapomniał umieścić DirectoryIndex, bo wyświetlają się katalogi - po nazwie oraz przekierowaniu jakie robią - sama viagra i kredyty.

mta-all65.info.allegro.pl: Helo command rejected: Host not found

450 4.7.1 Client host rejected: cannot find your reverse hostname (problemy z DNSami odwrotnymi)

Rusków... (nie, żebym się czegoś innego spodziewał) a konkretnie do 31.184.195.247

Spam binbotowy jest rozsyłany z serwerów webowych na których nastapiło włamanie. (dziurawy Wordpress, Joomla etc.)
Skrypt uruchamiający wysyłanie spamu jest wywoływany z adresu IP 31.184.195.247

Link w treści spamu prowadzi do kolejnych serwerów webowych a one przekierowują na stronę bio-options.pl. Ta strona zachęca do rejestarcji na uTrader.com.

bio-options.pl.         120     IN      A       193.230.220.76
bio-options.pl.         7589    IN      NS      ns2.iltivihh3.ru.
bio-options.pl.         7589    IN      NS      ns1.iltivihh3.ru.
ns1.ILTIVIHH3.ru.       758     IN      A       193.230.220.76
ns2.ILTIVIHH3.ru.       758     IN      A       193.230.220.76

76.220.230.193.in-addr.arpa domain name pointer RovalNET-EX-net.iNES.RO.

inetnum:        193.230.220.0 - 193.230.220.255
netname:        IODES-RO
descr:          IODES TRADING SRL
country:        ro
admin-c:        IS115-RIPE
admin-c:        INES-RIPE
tech-c:         INES-RIPE
status:         ASSIGNED PA
mnt-by:         AS3233-MNT
mnt-lower:      AS3233-MNT
mnt-routes:     AS12310-MNT
source:         RIPE # Filtered

role:           iNES Internet NOC
address:        2-6 Virgil Madgearu st.
address:        sector 1
address:        Bucharest / ROMANIA
phone:          +40 31 620 20 20
fax-no:         +40 31 620 20 99
phone:          +40 21 232 21 12
fax-no:         +40 21 232 34 61
admin-c:        INES-RIPE
tech-c:         TU790-RIPE
tech-c:         DC1119-RIPE
tech-c:         BP1868-RIPE
tech-c:         BC2200-RIPE
tech-c:         ARS3376
nic-hdl:        INES-RIPE
remarks:        --------------------------------
remarks:        abuse reports: abuse@ines.ro
remarks:        NOC Phone 24x7: +40 31 620 20 20
remarks:        NOC Phone 24x7: +40 21 232 21 12
remarks:        NOC E-mail: support@ines.ro
remarks:        --------------------------------
mnt-by:         AS12310-MNT
source:         RIPE # Filtered

person:         Iosif SZAVUJ
address:        IODES TRADING SRL
address:        Dr. Djuvara E. Street, 31-33, vila 2, ap 4
address:        sector 6, 77201
address:        Bucharest - Romania
phone:          +40-21-6374552
fax-no:         +40-21-6374552
nic-hdl:        IS115-RIPE
mnt-by:         AS3233-MNT
source:         RIPE # Filtered

inetnum:        31.184.192.0 - 31.184.255.255
netname:        RU-PIN-20110304
descr:          Petersburg Internet Network ltd.
country:        RU
org:            ORG-PINl1-RIPE
admin-c:        PINl1-RIPE
tech-c:         PINl1-RIPE
status:         ALLOCATED PA
mnt-by:         RIPE-NCC-HM-MNT
mnt-lower:      MNT-PIN
mnt-routes:     MNT-PIN
mnt-domains:    MNT-PIN
source:         RIPE # Filtered

organisation:   ORG-PINl1-RIPE
org-name:       Petersburg Internet Network ltd.
org-type:       LIR
address:        Petersburg Internet Network ltd.
address:        Nikolay Metluk
address:        Sedova str, 80
address:        192171
address:        Saint-Petersburg
address:        RUSSIAN FEDERATION
phone:          +78126772525
phone:          +78126772555
fax-no:         +78123093916
abuse-mailbox:  abuse@pinspb.ru
mnt-ref:        RIPE-NCC-HM-MNT
mnt-ref:        MNT-PIN
mnt-by:         RIPE-NCC-HM-MNT
admin-c:        MNV32-RIPE
tech-c:         SEO-RIPE
abuse-c:        PIN44050-RIPE
source:         RIPE # Filtered

role:           PIN ROLE
address:        Russia, SPb, Sedova 80
admin-c:        MNV32-RIPE
tech-c:         PIN44050-RIPE
nic-hdl:        PINl1-RIPE
mnt-by:         MNT-PIN
source:         RIPE # Filtered

Ma forum. W stopce tego forum imponujące liczby:

Liczba tematów: 17 | Liczba postów: 18 | Liczba użytkowników: 247443

Dostałem taki spam na biuro@

Szanowni Państwo !

Każdy sklep internetowy ma obowiązek umieszczenia na swojej stronie regulaminu, a od 25.12.2014 także odpowiednich informacji na stronie WWW.

Ze względu na arbitralne przygotowywanie treści regulaminów przez przedsiębiorców prawo przewiduję kontrolę regulaminów w przypadku zawierania umów na podstawie ich treści,

ale wyłącznie w obrocie pomiędzy przedsiębiorcami a konsumentami (B2C).

13 czerwca 2014 r. wprowadzane są do systemów krajowych państw UE zmiany prawa dot. m.in. dokonywania zakupów online.

Dyrektywa 2011/83/UE, która jest podstawą do wprowadzenia nowych praw i obowiązków przedsiębiorców i konsumentów ma na celu maksymalne ujednolicenie prawa

dot. handlu elektronicznego w całej UE. Zmiany mają ułatwić zawieranie transakcji na odległość pomiędzy przedsiębiorcami a konsumentami na podobnych zasadach na terenie całej UE.

Informujemy w tym miejscu, że Państwa regulamin zawiera rażące błędy i nie zawiera podstawowych informacji które wymagane są zgodnie z Dyrektywą 2011/83/UE.

W związku z powyższym wzywamy do umieszczenia poprawnego regulaminu na Państwa serwisie www w terminie 7 dni od momentu otrzymania niniejszej wiadomości.

 

Jeśli ww. terminie nadal będziecie Państwo naruszali interes konsumenta lub obowiązujące przepisy prawne, będziemy zmuszeni złożyć pozew do Sądu Okręgowego w Warszawie

(zgodnie z art. 479 z indeksem 38 i n. kodeksu postępowania cywilnego) Wydziału XVII Ochrony Konkurencji i Konsumentów Sądu, a to wiąże się z poważnymi konsekwencjami prawnymi,

zwłaszcza finansowymi (nawet parę tysięcy złotych) oraz anty reklamą, gdyż Sąd w Wyroku nakazuje publikację treści regulaminu (oczywiście na koszt pozwanego przedsiębiorcy)

w rejestrze klauzul niedozwolonych prowadzonym przez Prezesa Urzędu ochrony Konkurencji i Konsumentów.

W momencie gdy nie są Państwo w stanie stworzyć poprawny regulamin, nasze Stowarzyszenie rekomenduje serwisy zajmujące się pisaniem poprawnych regulaminów:

http://www.regulaminowo.com

http://www.e-profesjonalnie.com/regulamin-sklepu-p-15.html

Z poważaniem

Przedstawiciel Prawo Dla Konsumenta VERUM

Marzena Gramsz

Coś ostatnio kancelarie adwokackie odkryły możliwości Internetu i zajmują się trollingiem: copyright-trollingiem, cookie-trollingiem i regulamin-trollingiem. Najpierw politycy wpieprzyli się w coś, o czym nie mają pojęcia (ustawa cookie, ustawa dot. zakupów) a teraz prawnicy chcą wykorzystać ich/jej efekty do niegodziwego zarobku. Tak w sumie to nigdy nie sądziłem, że można postawić adwokatów na równi z przestępcami, ale cóż, świat idzie do przodu a Lemat nadal buja w obłokach.

Po pierwsze - dostaję od nich spam - co już kompletnie dyskwalifikuje ich w moich oczach. Spam jest wysyłany z serwerów smtp-power220.com. Zrobiłem nawet próbę wypisania się z newslettera - jak słusznie przewidziałem - nic z tego.

Na stronie kontaktowej można znaleźć informację:

Nazwa: Sky Scope Ltd.
KRS: 150905
Obsługę klienta, logistykę, oraz zarządzanie płatnościami, zapewnia: Bonus Shop Sp. z o.o.
Adres pocztowy: 34 500 Zakopane, ul. Krupówki 20. Skrytka Pocztowa nr. 22.
Telefon: +48 (22) 208 4490
Adres e-mail: info@bonuszshop.net
KRS: 01-09-182518
NIP: 24789932-2-42

Natomiast na węgierskiej stronie kontaktowej:

Név: Bonus Shop Kft.
Székhely és levelezési cím: 1063 Budapest, Szinyei Merse utca 10.
Telefonszáma: +36 30 681 25 99
Email cím: info@bonuszshop.com
Cégjegyzékszám: 01-09-182518
Adószám: 24789932-2-42

Jakby ktoś nie zauważył: (22) to kierunkowy Warszawy. A KRS i NIP nie mogą być identyczne, bo przecież to są 2 różne Państwa. KRS 150905 należy do wydawnictwa z Wrocławia. W tym momencie automatycznie zakładam, że podanie nieprawidłowych danych o przedsiębiorcy służy oszustwom.

To ja teraz się pytam: gdzie są te spamerskie kancelarie prawnicze specjalizujące się w wyłudzeniach zakupu "prawidłowych" regulaminów sklepów internetowych?!

Firma, w której pracuję, zatrudniła nowego handlowca. Handlowca jak się patrzy czyli blondynę przez wielkie DD pisane... Pierwszą rzeczą jaką zrobiła to rozesłanie mailingu do swoich kontaktów z poprzedniej pracy - jakieś 4 tysiące adresów. Bez konsultacji z działem IT. Z mojego punktu widzenia wyglądało to tak: "ledwo tydzień pracuje a już ma wirusa i włamanie na skrzynkę pocztową" - bo mi wyskoczyły 2 alerty nagiosa i fail2bana a skrzynka pocztowa została automatycznie zablokowana.

I pojawiło się kilka problemów: sporo adresów już nie istniało (~400 sztuki), sporo domen już nie istniało (~10 sztuk), sporo domen zmieniło właściciela. A adres IP serwera poczty znalazł się na czarnej liście. Jednak prawdziwym nieszczęściem okazało się, że ta czarna lista jest używana przez serwer pocztowy jednego z naszych większych partnerów biznesowych. Takiego, co to codziennie kursuje kilkanaście/dziesiąt emaili z zamówieniami i szczegółami technicznymi. Takiego, że jeden Prezes stracił możliwość wysłania swoich fotek z wakacji drugiemu Prezesowi. Wszyscy weszli mi na głowę a ja, jak już posprzątałem to dobrałem się do dupy blondyny. I ma zakaz rozsyłania jakichkolwiek emaili poza listą obecnych kontrahentów.

włamał się Rydzykowi na serwer ares.wsksim.edu.pl 77.252.144.19 i rozsyła spam.

header   LEMAT_316      X-PHP-Originating-Script =~ /eval\(\)'d code/
describe LEMAT_316      Spamer opcje binarne

header   LEMAT_317      X-PHP-Script =~ /eval\(\)'d code/
describe LEMAT_317      Spamer opcje binarne

cała konfiguracja spamassassina

A w jej kodzie taki kwiatek:

div id="banner_cookies_bullshit"

- od razu mi się spodobała. Widać, że poseł Sejmowej Komisji Innowacyjności i Nowoczesnych Technologii otacza się fachowcami od IT. I to nie w negatywnym sensie - bo chyba wszyscy fachowcy od IT mają takie zdanie na temat tej unijnej dyrektywy cookiesowej.

Ruscy od opcji binarnych i forexa w obliczu kryzysu poszukują frajerów, którzy wpompują w rynek trochę gotówki.Oczywiście przepływ gotówki będzie dość jednostronny i rzeczywiście np. taki ruski spammer będzie mógł sobie bardzo szybko kupić dom/samochód/nigeryjską księżniczkę o ile znajdzie się wystarczająca ilość frajerów.

Regułki dla spamassassina (lub do header_checks, body_checks)

body   LEMAT_310        /Zdob.{0,8}d.{0,8}prawdziwe.{0,8}pieni.{0,8}dze.{0,8}za.{0,8}darmo/i
header   LEMAT_311      Subject =~ /Zdob.{0,8}d.{0,8}prawdziwe.{0,8}pieni.{0,8}dze.{0,8}za.{0,8}darmo/i
body   LEMAT_312        /Nie przegap swojej szansy|Nie trac czasu, graj i zarabiaj|Dowiedz sie i zacznij zarabiac juz dzis|Program zrobi wszystko sam|Chcesz zarobic\? Spiesz sie|program zarabia na ciebie/i
body   LEMAT_313      /Niemieccy matematycy wymyslili program, ktory sam gra na gieldzie i tym samym zarabia pieniadze/i

score URIBL_DBL_ABUSE_BOTCC             10.0

Spam wychodzi z przejętych z serwerów i linki w treści też wskazują na przejęte serwery. Bardzo dużo tego spamu pochodzi z konta support@.

... i właśnie z jego z serwera leci spam:

reject: header Subject: Zdobadz prawdziwe pieniadze za darmo from s11.zenbox.pl[185.23.21.19]; from=<s...s@optykopatow.pl>

Spamer rejestruje sobie domeny ale za nie nie płaci. Taka domena działa mu 15 dni i przez te 15 dni używa jej do rozsyłania spamu reklamującego jakieś cudowne środki lecznicze lub kosmetyki. Prawdopodobnie postępuje tak samo z hostingiem, bo co chwila ma inne IP.

To ja zaproponuję na niego (i na jemu podobnych) RBLa fresh15.spameatingmonkey.net.

Witam

Któryś raz zgłasza Pan podobny problem. Proszę pisać do właścicieli stron. Nie jest to włamanie na serwer, a wykorzystanie dziur w stronie klienta. I tylko jego strona jest zarażona. Nie ma to wpływu na działanie całego serwera.

Miłosz Oller
CTO/Administrator Systemów IT
zenbox.pl 

Gość obsługuje dział abuse@ i mi fika, żeby mu nie zgłaszać spraw abuzywnych?! Czy straż pożarna fika jak się dzwoni na numer alarmowy i zgłasza pożar? A może zamiast na numer alarmowy trzeba dzwonić do lokatorów płonącego budynku?

trzy tygodnie temu wykryłem włamanie na stronę Posła RP johngodson.pl. Powiadomiłem o tym fakcie biuro poselskie, hosting oraz producenta strony. Strona została przez hosting zablokowana i myślałem, że producent ją zabezpieczy. Tymczasem poseł wymógł na hostingu odblokowanie niezabezpieczonej/niezałatanej strony www! I jak dzisiaj sprawdziłem - nadal strona reklamuje viagrę...

Jestem bardzo ciekaw, czy Pan Poseł wie (no dobra, nie wie, pytanie jest retoryczne), że włamanie na stronę www może otworzyć (na pewno ułatwia) kolejne furtki bezpieczeństwa - i pociągnąć za sobą na przykład włamanie na skrzynki pocztowe. A jeżeli Poseł Godson będzie ze swojej oficjalnej skrzynki rozsyłać wirusy do koleżanek i kolegów z Sejmu RP to znajdźcie mi takiego posła, który nie otworzy załącznika...

Jedna mała dziura w zabezpieczeniach może pociągnąć za sobą kompromitację na dużą skalę...

Swoją drogą gdyby Canadian Pharmacy (korzenie Ukraińsko - Rosyjskie) zamiast bawić się w reklamowanie swojego sklepu z pigułkami sprzedało dostęp do strony www Posła RP jakiemuś wywiadowi (nie będę zbytnio wskazywał palcem na wschód) to mogłoby o wiele więcej zarobić. A może tak zrobiło i tylko powiesili swoją stronę dla niepoznaki? I od tygodni trwa atak na naszą władzę?

PS. ja lubię teorie spiskowe - ale raczej w książkach a nie w realu.
PS2. Poseł Godson jest Przewodniczącym Sejmowej Stałej Podkomisji ds. Rozwoju Technologii Internetowych (chyba właśnie nastąpiło zderzenie teorii z twardą rzeczywistością)

W sieci powstało coś takiego jak strona legalnymailing.pl, na której gość usiłuje przekonać wszystkich, że czarne jest białe. Nie jest. A świadczy o tym poniższy spam:

Oct 22 12:12:23 troll postfix/smtpd[31866]: NOQUEUE: reject: RCPT from v118456.home.net.pl[188.128.158.92]: 554 5.7.1 Service unavailable; Client host [188.128.158.92] blocked using chikor.rbl.tld; spam lexfactory.pl, see http://www.lemat.priv.pl/spam/; from=[info@legalnymailing.pl] to=[biuro@lemat.priv.pl] proto=SMTP helo=[v118456.home.net.pl]
Oct 24 09:33:56 troll postfix/smtpd[20906]: NOQUEUE: reject: RCPT from v118456.home.net.pl[188.128.158.92]: 554 5.7.1 Service unavailable; Client host [188.128.158.92] blocked using chikor.rbl.tld; spam lexfactory.pl, see http://www.lemat.priv.pl/spam/; from=[info@legalnymailing.pl] to=[lemat_hates@lemat.priv.pl] proto=SMTP helo=[v118456.home.net.pl]
Nov 24 18:45:38 troll postfix/smtpd[16956]: NOQUEUE: reject: RCPT from v118456.home.net.pl[188.128.158.92]: 554 5.7.1 Service unavailable; Client host [188.128.158.92] blocked using chikor.rbl.tld; spam lexfactory.pl, see http://www.lemat.priv.pl/spam/; from=[info@legalnymailing.pl] to=[biuro@lemat.priv.pl] proto=SMTP helo=[v118456.home.net.pl]
Nov 27 09:39:09 troll postfix/smtpd[22340]: NOQUEUE: reject: RCPT from v118456.home.net.pl[188.128.158.92]: 554 5.7.1 Service unavailable; Client host [188.128.158.92] blocked using chikor.rbl.tld; spam lexfactory.pl, see http://www.lemat.priv.pl/spam/; from=[info@legalnymailing.pl] to=[lemat_hates@lemat.priv.pl] proto=SMTP helo=[v118456.home.net.pl]
Dec 2 19:05:07 troll postfix/smtpd[12431]: NOQUEUE: reject: RCPT from v118456.home.net.pl[188.128.158.92]: 554 5.7.1 Service unavailable; Client host [188.128.158.92] blocked using chikor.rbl.tld; spam lexfactory.pl, see http://www.lemat.priv.pl/spam/; from=[info@legalnymailing.pl] to=[biuro@lemat.priv.pl] proto=SMTP helo=[v118456.home.net.pl]

(ja jestem osobą prywatną, nie prowadzę firmy, i nie mam biura@, lemat_hates@ jest adresem nieudolnie sharvestowanym z usenetu, gdzie posługiwałem się emailem lemat_hates_spam@)