[Postfixbuch-users] Spamversand durch 3cat media über kolido

Basti traced at xpear.de
Mi Mai 6 20:52:03 CEST 2009 

Kai Fürstenberg schrieb:
> Basti schrieb:
>> Kai Fürstenberg schrieb:
>>> Basti schrieb:
>>>> und hiermit gibts gleich das richtige "Postfix-Format":
>>>>
>>>> ...
>>>> print KOLIDO "91.184.".$second.".".$first,"\tREJECT \tSorry, this ip 
>>>> was used to send spam! \t \# ",$line,"\n";
>>>> ...
>>>
>>> ... und wenn man die Domains noch durch einen whois-Check schickt und 
>>> in der Ausgabe nach "3Cats" sucht hat man mit Sicherheit eine sehr 
>>> zuverlässige Liste von IP-Adressen, die man vielleicht 1-2mal im 
>>> Monat aktualisieren muss.
>>>
>>
>> Gibts für Whois auch ein Perl-Modul?
> 
> Ja sieht dann so aus:
> #!/usr/bin/perl
> 
> use Net::DNS;
> use Net::Whois::Raw qw( whois );
> 
> # Kolido-Netz: 91.184.48.0/20
> 
> open KOLIDO,"> kolido.net";
> 
> foreach $second (48..63) {
>   foreach $first (1..255) {
>     my $bingo=0;
>     my $bingoline;
>     my $res2;
>     my $hostname;
>     my $reverse;
>     my $res1=new Net::DNS::Resolver;
>     my $res2=new Net::DNS::Packet;
>     my $address="91.184.".$second.".".$first;
>     my $res2=$res1->send($address,"PTR");
>     $hostname=$res2->string;
>     my @result=split("\n",$hostname);
>     $/="\r\n";
>     foreach $line (@result) {
>       chomp $line;
>       if ($line =~ 
> /^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+\.in-addr\.arpa\.[\t]+[0-9]+[\t]+IN+[\t]+PTR[\t]+([a-z0-9]+\.com)\.$/) 
> {
>         $line =~ 
> s/^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+\.in-addr\.arpa\.[\t]+[0-9]+[\t]+IN[\t]+PTR[\t]+([a-z0-9]+\.com)\.$/\1/; 
> 
>         $s=whois($line);
>         if ($s =~ /3Cats/) {
>           print STDOUT "91.184.".$second.".".$first,"\t\t",$line,"\n";
>           print KOLIDO "91.184.".$second.".".$first,"\t\t",$line,"\n";
>         }
>       }
>     }
>   }
> }
> close KOLIDO;
> 
> 
> Hinter den prints vielleicht noch ein kleines sleep einfügen. Manche 
> whois-Server machen bei zu vielen Anfragen dicht. Ist hier aber nicht 
> passiert.
> 
> Vielleicht lass ich das Skript 1x die Woche laufen, und stell den Output 
> auf meine Webseite ;-) Direkt als CIDR-File.
> 
> 

Hey, cool, ging ja fix :)

Interessant:
root at ng:~# diff kolido.net kolido2.net
12,17d11
< 91.184.48.152         apaxmail.com
< 91.184.48.154         mailpink.com
< 91.184.48.156         mailofix.com
< 91.184.48.157         bluelivemail.com
< 91.184.48.159         sausemail.com
< 91.184.48.161         mailyellow.com
19d12
< 91.184.49.37          kornmail.com
44d36
< 91.184.53.82          edsapotheke.com
51d42
< 91.184.53.202         bacaloo.com
57,61d47
< 91.184.54.73          brotobro.com
< 91.184.54.104         proxamail.com
< 91.184.54.106         mailfreedot.com
< 91.184.54.109         firstmailblitz.com
< 91.184.54.152         ultrapornclub.com
76,80d61
< 91.184.55.102         sausemail.com
< 91.184.55.103         mailbravo.com
< 91.184.55.105         toperfun.com
< 91.184.55.107         mailfreedot.com
< 91.184.55.109         butzmar.com

Diese Domains sind jetzt rausgefallen durch den Whois-Check,
allerdings haben alle Stichproben folgendes Merkmal:

owner-contact: P-WRP97
owner-organization: VCN - Whois Protection Service Panama
owner-fname: Whois
owner-lname: Protected
owner-street: Ramon Arias Avenue Maheli Building, Office 12-E
owner-city: Panama City
owner-zip: 00000
owner-country: PA
owner-phone: +507 845 64866839
owner-fax: +507 845 64839948
owner-email: protect at whois-protect.net

Also für mich genausowenig Vertrauenerweckend...

Grüsse,
Basti

Mehr Informationen über die Mailingliste Postfixbuch-users