Retecool.com,Volkomenkut.com & Bastard-inc.com aanvallen

sparkiii · 25 nov 2003, 07:49

<img src="http://www.userbase.be/forum/images/portal/spam.gif" align="left">Eerst even mijn excuses voor het taalgebruik in de titel, maar ik kan er ook niet aan doen dat dit de namen zijn van 3 blogsites die hun naam niet gestolen hebben. Waarover gaat het dan zul je zeggen? Wel het gaat hier voor de X-duizendste keer tegenwoordig nog maar eens over spam. Maar dit keer gaat het niet over één of andere wet, maar eerder om het 'boontje komt om zijn loontje'-principe. Een van deze sites kreeg namelijk spam en geloof het of niet, maar ze gingen zelf in de tegenaanval en ontketenden hiermee een heuse cyberwar. Je kan je afvragen of dit wel de juiste methode is om van spam af te geraken, maar ik denk dat velen onder jullie wel al eens gedacht zullen hebben: 'Mocht ik de afzenders van deze berichten te pakken kunnen krijgen...'. Wel onze Nederlandse buren gaven het voorbeeld... Klik op de link onder deze post en lees wat er is gebeurd. Let wel: Ik spreek hun gedrag hier niet goed, maar vraag me wel af wat jullie hiervan vinden

Hier is de link : http://www.theregister.co.uk/content/55/34146.html

The Oddity · 25 nov 2003, 09:01

Mja, ik versta de frustratie van een spam-mailbomb en van spam te ontvangen etc etc.....

but the worst countermeasure you can take is to get as low as your opponent....

Maw: als ge u verlaagd naar het niveau van uw tegenstander zijt ge even erg.. zoiets moet ge mijn inziens slimmer aanpakken.. en niet op kinderlijke wijze met DDOS beginnen spelen...

Men zegt wel "boontje komt om zijn loontje" maar dat loontje moet iets volwassener, slimmer zijn dan dat boontje..

Nob · 25 nov 2003, 09:28

Als je er echt machteloos tegenover staat en het hangt je zo de keel uit, dan is dit soms wel nodig vind ik.

"Koekje van eigen deeg"
"Fight fire with fire"

Die uitdrukkingen zijn er niet voor niks, die moeten af en toe is kunnen gebruikt worden.

Ok, je verlaagt je misschien tot hun niveau, maar soms is dat nodig om tot zo'n mensen door te dringen, anders snappen die het gewoon niet. (niet dat het daarmee gaat opgelost zijn, die illusie maak ik mij niet

)

Braaf blijven afwachten totdat het zichzelf oplost of totdat de overheid het voor jou doet, daar bestaat ook zo'n leuke uitdrukking voor: "Wachten op Godot"

Dus als je er zelf actie wil tegen ondernemen is dit bijna de enige "oplossing", hoe laag ook... (moest iedereen hieraan meedoen, 't zou rap gedaan zijn met spammen

)

greetz,

Nob

ubremoved_539 · 25 nov 2003, 09:46

Zillion is de laatste dagen ook niet vies van iemand te spammen... en dan nog wel de intentie geven dat ze in orde zijn met hun http://www.3d69.be/ZILLION/privacy.html Blijkbaar hebben ze nog niet door dat in Belgie er een opt-in regeling bestaat, en geen opt-out.

Het feit dat ze verschillende mails sturen naar onbestaande mailboxen van een domain dat ik beheer (als postmaster krijg ik al die junk) geeft tevens aan dat men er maar op los mailed (duidelijk de intentie te spammen). Ze zijn wel zo slim om te mailen vanaf een server in de US.

Van enige mail aan hun adres vermeld op de privacy pagina trekken ze hun ook niets aan. Enfin, heb hun mailserver al geblacklist, en zal ook eens testen hoe sterk de consument staat met onze nieuwe wet.

25 nov 2003, 11:49

In verband met het Zillion-verhaal: onze aller Frank Verstraeten maakt gebruik van een gaatje in de wet, zijnde dat commerciele mailings naar bedrijven wél ongevraagd mogen worden verstruurd. Aangezien info@-adressen in sé bedrijfs-informatie-adressen gaat gebruikt hij die maar om te spammen.
Op de vraag dat Verstraeten dan toch wel erg hoge signaal/ruis-verhouding had reageerde hij laconiek: "E-mail is zodanig een goedkoop medium om een mailing via te versturen dat, ook al bereiken wij maar 1% van wie er iets aan heeft, het nog altijd beter koop is dan een klassieke mailing of een mailing op een gefilterde database."

Ook wij zitten geplaagd met die leuke berichten, en om jullie een plezier te doen paste ik hier even een voorbeeld van hoe zij het toch zo 'netjes' aanpakken:

Geachte,
omdat U één van onze gewaardeerde contactpersonen bent, willen wij u graag per e-mail op de hoogte blijven houden van onze activiteiten.
Enige tijd geleden hebben wij uw e-mail adres in ons adressenbestand opgenomen. Omwille van recente wetswijzigingen sturen wij u daarom deze herinneringsmail.
Uw informatie wordt alleen intern gebruikt en wordt niet doorgegeven aan andere organisaties voor commerciële doeleinden.
Als u berichten ivm Zillion, Fou69 en 3D69 will blijven ontvangen, hoeft u niets te ondernemen en wordt hiermee uw aanvraag bevestigt.

U kan zich ten alle tijden uitschrijven van onze mailing dit met onmiddellijke ingang. Ons algemeen privacy beleid kan u steeds nalezen <a href="http://www.ecast.protusfax.com/redirector.asp?BID=56226518&EID=8937&URL=http://www.3d69.be/generalprivacy.html" target="_blank">op dit adres</a>.

Met vriendelijke groeten,

Zillion NEWS redactie
www.zillion.be

De link naar de privacy-pagina is dood en om verwijderd te worden uit de database moet je reply'en met "remove". Het adres waar je naar stuurt is ... [email protected] . Lijkt me weinig zinvol om daar naar te reageren. In de headers mankeren vreemd genoeg (haha) bijna alle gegevens die je nodig hebt om een mail te kunnen traceren weggefilterd.

Code: Selecteer alles

Return-path: <[email protected]>
Envelope-to: [email protected]
Delivery-date: Thu, 20 Nov 2003 06:01:36 -0600
Received: from [66.201.221.107] (helo=localhost.localdomain)
   by mail.domain.be with esmtp (Exim 4.24)
   id 1AMnV9-0002eL-EN
   for [email protected]; Thu, 20 Nov 2003 06:01:35 -0600
To: [email protected]
Subject: ZILLION NEWS redactie: LEES DIT AANDACHTIG
CC: 
MIME-Version: 1.0
From: "ZILLION NEWS" <[email protected]>
Content-Type: multipart/alternative; boundary="53342401981_boundary"
Message-ID: [email protected]_EC56226518_EM8937
Priority: bulk
X-EcastId: 56226518
X-EmailId: 8937
X-Mailer: Mabry
Date: Thu, 20 Nov 2003 06:01:35 -0600

Het IP-adres bovenaan komt niet voor in de Ripe-database en resolved als h66-201-221-107.gtconnect.net, een domein zonder website ...
En dan maar beweren dat het geen spam is .... :roll:

Limburg · 25 nov 2003, 12:18

Meon, je mag hem terugmailen ;-)

, er staat een smtp server (en ftp):

220 localhost.localdomain ESMTP Sendmail 8.9.3/8.9.3; Tue, 25 Nov 2003 06:02:28 -0500

Heb het niet geprobeerd maar het kan heel goed een open server zijn.

Het is trouwens een bekend spamadres, hij is zit in de meeste spamdatabases:
66.201.221.107 listed in bl.spamcop.net. ( 127.0.0.2 )

Since SpamCop started counting, this system has been reported about 130 times by about 90 users. It has been sending mail consistently for at least 35.5 days. In the past 565.5 days, it has been listed 156 times for a total of 253.2 days

In the past week, this system has:
Been reported as a source of spam about 60 times
Been detected sending mail to spam traps
Been witnessed sending mail about 290 times
A sample sent sometime during the 24 hours beginning donderdag 20 november 2003 1:00:00 +0100:
Received: from -66-201-221-107.-.net (- -.-) (66.201.221.107)-
by -.-.- with - - Nov 2003 - -
Subject: zillion news - lees -
From: em.. at ..s.net

25 nov 2003, 12:31

Geen open relay:

Code: Selecteer alles

220 localhost.localdomain ESMTP Sendmail 8.9.3/8.9.3; Tue, 25 Nov 2003 06:18:10 -0500
HELO TEST
250 localhost.localdomain Hello domain [ip], pleased to meet you
MAIL FROM: [email protected]
250 [email protected]... Sender ok
RCPT TO: [email protected]
550 [email protected]... Relaying denied

Maar het lijkt me een inbelnetwerk-achtig ip, geen bedrijfs-adres...
Poortscan levert trouwens nog meer op:

Code: Selecteer alles

Port       State       Service
21/tcp     open        ftp
23/tcp     open        telnet
25/tcp     open        smtp
111/tcp    open        sunrpc
389/tcp    filtered    ldap

airzimmy · 25 nov 2003, 13:49

meon schreef:Het IP-adres bovenaan komt niet voor in de Ripe-database en resolved als h66-201-221-107.gtconnect.net, een domein zonder website ...
En dan maar beweren dat het geen spam is .... :roll:

Het komt wel voor in de arin database (US).
Niet vergeten dat de ip's toegekent worden door verschillende organisaties nl arin, ripe, apnic en lacnic welke allen natuurlijk andere regio's beheren.
Welke landen worden door wie beheert? http://www.arin.net/library/internet_in ... tries.html

ubremoved_539 · 25 nov 2003, 13:59

meon schreef:In verband met het Zillion-verhaal: onze aller Frank Verstraeten maakt gebruik van een gaatje in de wet, zijnde dat commerciele mailings naar bedrijven wél ongevraagd mogen worden verstruurd. Aangezien info@-adressen in sé bedrijfs-informatie-adressen gaat gebruikt hij die maar om te spammen.

De commerciele bedrijven moest dat al zo zijn - mijn domain is hoegenaamd geen commerciele firma - moeten dan wel eerst klant zijn van de Zillion... en dat is zeker niet het geval (hij mailed trouwens naar zowel info@ als [email protected])

Zomaar mail sturen naar bedrijven is dus niet toegelaten, en zeer zeker geen gaatje in de wet. Gezien de mail verzonden is vanuit de US kan hij echter nog steeds beweren dat hij van niets weet... of is de wet van toepassing op de plaats waar de firma gevestigd is ?

Alle Belgische domain names vallen trouwens onder de privacy wetgeving... er zijn dus geen officiele lijsten van beschikbaar wat nogmaals aangeeft dat het pure spamming is.

Enfin... heb mijn mailserver aangepast, en zijn servers zijn blacklisted vanaf nu.

ubremoved_539 · 26 nov 2003, 10:36

Mmm... krijg nu ook al Zillion spam op men .org adres. (men spam tool verhuist hem wel rechtstreeks naar de spam folder)

Enkel voor ingewijden kan je weten dat het betreffende .org adres van iemand in Belgie is... Frank koopt dus wel degelijk spam lijsten die goed getarget zijn.

26 nov 2003, 13:05

Hehe, ik vroeg mij al af hoe die van Zillion info@adslboxdomein gevonden hadden

Adslbox is geen bedrijf dus volgens mij zijn ze dus in de fout...

The Oddity · 26 nov 2003, 13:48

Same as info@userbasedomein... wij zijn ook geen bedrijf... enne we krijgen Frank zijn beue mails ook... nuja, van iemand die op louche manieren aan geld moet geraken kunt ge dergelijke trucs wel verwachten eh...

ubremoved_539 · 26 nov 2003, 15:23

The Oddity schreef:Same as info@userbasedomein... wij zijn ook geen bedrijf...

Niks ontvangen op [email protected] ? Daar heb ik ool eentje op gehad.

The Oddity · 26 nov 2003, 16:36

contact@userbase domein bestaat niet bij ons.. en unrouted mail wordt gebounced ;-)

. Maw niet gezien of we eentje gehad hebben

jan28 · 26 nov 2003, 19:45

Ik heb die rotzooi ook al twee keer ontvangen op een [email protected] e-mailadres. Ik heb dat adres twee weken voor de eerste keer gebruikt, enkel 1 mail naar mezelf en ik kreeg daarna spam met hopen, waaronder dat Zillion.

jan

26 nov 2003, 20:09

Da's wel heel raar ... Dat domein, waar staat dat gehost?

jan28 · 26 nov 2003, 20:23

meon schreef:Da's wel heel raar ... Dat domein, waar staat dat gehost?

Dat weet ik niet, zal dat eens navragen.

26 nov 2003, 20:28

Ik vraag dat omdat er bepaalde hostingbedrijven (en 1 in het bijzonder) er om bekend staat om adressen van mailboxen die worden aangemaakt door te verkopen ...

ubremoved_539 · 27 nov 2003, 09:23

The Oddity schreef:unrouted mail wordt gebounced

Ik forward die naar mezelf... altijd leuk om te zien wat men allemaal aan het proberen is.

The Oddity · 27 nov 2003, 15:03

r2504, dat deden wij tot op een bepaald moment ook, naar een catch-all, maar op een bepaald moment kregen we teveel mailer daemon msgs en spam, dat we beslist hebben de unroutable mail te bouncen ;-)

.

Tis een zorg minder ;-)

.

Nog een argument dat we het gedaan hebben, was met het naive gedacht dat bij spam, indien de mail gebounced werd.. het aantal spammails op dat adres drastisch zou verminderen... maar niets is minder waar.. een test op een adres dat 1j niet bestaan heeft.. komt na 1 jaar nog steeds spam toe,indien het opnieuw actief wordt

. (zelf de test gedaan).

ubremoved_539 · 27 nov 2003, 15:11

The Oddity schreef:Nog een argument dat we het gedaan hebben, was met het naive gedacht dat bij spam, indien de mail gebounced werd.. het aantal spammails op dat adres drastisch zou verminderen

Sorry, maar da's inderdaad naief... spam heeft namelijk in 99% van de gevallen een onbestaande afzender.... de vraag is dus maar naar wie je gaat bouncen :lol:

The Oddity · 27 nov 2003, 15:15

Mja, in de begin periode van spam.. hielp dat idd wel.. maar tegenwoordig gewoon niet meer.. vandaar dat ik het erbij gezet heb ;-)

jan28 · 27 nov 2003, 18:42

jan28 schreef:
meon schreef:Da's wel heel raar ... Dat domein, waar staat dat gehost?

Dat weet ik niet, zal dat eens navragen.

Hosting gebeurt door Lunarpages ( http://www.lunarpages.com ), en wij
bezitten het Shuttle hosting plan.

Zegt je dat iets Meon?

27 nov 2003, 20:10

Hm, nee. En het zou me dan ook verbazen dat zij zich verlagen tot dit soort dingen. Maar ik had deze keer een bepaalde erg goedkope hostingbedrijf in België dat er om bekend stond (nieuwsgroepen stonden er toendertijd vol van) om dit soort praktijken ... Ik weet niet of dat draadje er nog is, maar ik heb het uit be.comp.internet.design.

ubremoved_539 · 02 dec 2003, 09:49

De volgende welke mailed op [email protected] ... Hardware Depot welke zich tracht te verschuilen achter http://202.9.156.34/hwd.html (en zijn provider welke geen reverse DNS doet).

Mits de HTML te bekijken is het al snel duidelijk dat het domain www.hardwaredepot.be hierachter zit. In zijn WHOIS informatie staat als contactadres [email protected]

Ook hier geeft men weer de mogelijkheid tot Opt-Out. Het lef van de Belgische spammmers neemt blijkbaar toe.