[Postfixbuch-users] Spamversand durch 3cat media über kolido
Basti
traced at xpear.de
Mi Mai 6 20:52:03 CEST 2009
Kai Fürstenberg schrieb:
> Basti schrieb:
>> Kai Fürstenberg schrieb:
>>> Basti schrieb:
>>>> und hiermit gibts gleich das richtige "Postfix-Format":
>>>>
>>>> ...
>>>> print KOLIDO "91.184.".$second.".".$first,"\tREJECT \tSorry, this ip
>>>> was used to send spam! \t \# ",$line,"\n";
>>>> ...
>>>
>>> ... und wenn man die Domains noch durch einen whois-Check schickt und
>>> in der Ausgabe nach "3Cats" sucht hat man mit Sicherheit eine sehr
>>> zuverlässige Liste von IP-Adressen, die man vielleicht 1-2mal im
>>> Monat aktualisieren muss.
>>>
>>
>> Gibts für Whois auch ein Perl-Modul?
>
> Ja sieht dann so aus:
> #!/usr/bin/perl
>
> use Net::DNS;
> use Net::Whois::Raw qw( whois );
>
> # Kolido-Netz: 91.184.48.0/20
>
> open KOLIDO,"> kolido.net";
>
> foreach $second (48..63) {
> foreach $first (1..255) {
> my $bingo=0;
> my $bingoline;
> my $res2;
> my $hostname;
> my $reverse;
> my $res1=new Net::DNS::Resolver;
> my $res2=new Net::DNS::Packet;
> my $address="91.184.".$second.".".$first;
> my $res2=$res1->send($address,"PTR");
> $hostname=$res2->string;
> my @result=split("\n",$hostname);
> $/="\r\n";
> foreach $line (@result) {
> chomp $line;
> if ($line =~
> /^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+\.in-addr\.arpa\.[\t]+[0-9]+[\t]+IN+[\t]+PTR[\t]+([a-z0-9]+\.com)\.$/)
> {
> $line =~
> s/^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+\.in-addr\.arpa\.[\t]+[0-9]+[\t]+IN[\t]+PTR[\t]+([a-z0-9]+\.com)\.$/\1/;
>
> $s=whois($line);
> if ($s =~ /3Cats/) {
> print STDOUT "91.184.".$second.".".$first,"\t\t",$line,"\n";
> print KOLIDO "91.184.".$second.".".$first,"\t\t",$line,"\n";
> }
> }
> }
> }
> }
> close KOLIDO;
>
>
> Hinter den prints vielleicht noch ein kleines sleep einfügen. Manche
> whois-Server machen bei zu vielen Anfragen dicht. Ist hier aber nicht
> passiert.
>
> Vielleicht lass ich das Skript 1x die Woche laufen, und stell den Output
> auf meine Webseite ;-) Direkt als CIDR-File.
>
>
Hey, cool, ging ja fix :)
Interessant:
root at ng:~# diff kolido.net kolido2.net
12,17d11
< 91.184.48.152 apaxmail.com
< 91.184.48.154 mailpink.com
< 91.184.48.156 mailofix.com
< 91.184.48.157 bluelivemail.com
< 91.184.48.159 sausemail.com
< 91.184.48.161 mailyellow.com
19d12
< 91.184.49.37 kornmail.com
44d36
< 91.184.53.82 edsapotheke.com
51d42
< 91.184.53.202 bacaloo.com
57,61d47
< 91.184.54.73 brotobro.com
< 91.184.54.104 proxamail.com
< 91.184.54.106 mailfreedot.com
< 91.184.54.109 firstmailblitz.com
< 91.184.54.152 ultrapornclub.com
76,80d61
< 91.184.55.102 sausemail.com
< 91.184.55.103 mailbravo.com
< 91.184.55.105 toperfun.com
< 91.184.55.107 mailfreedot.com
< 91.184.55.109 butzmar.com
Diese Domains sind jetzt rausgefallen durch den Whois-Check,
allerdings haben alle Stichproben folgendes Merkmal:
owner-contact: P-WRP97
owner-organization: VCN - Whois Protection Service Panama
owner-fname: Whois
owner-lname: Protected
owner-street: Ramon Arias Avenue Maheli Building, Office 12-E
owner-city: Panama City
owner-zip: 00000
owner-country: PA
owner-phone: +507 845 64866839
owner-fax: +507 845 64839948
owner-email: protect at whois-protect.net
Also für mich genausowenig Vertrauenerweckend...
Grüsse,
Basti
Mehr Informationen über die Mailingliste Postfixbuch-users