LET OP: Spammers actief via PB

[Jorix]

Goedemorgen allemaal,

Vandaag kreeg ik een hoop klachten over het ontvangen van vage berichten in de PB.
Deze berichten waren allen afkomstig van 'praetor1339' en gingen over een aantal
websites in België

Uiteraard zijn we hier niet gediend van spammers, dus wordt deze spam-actie beloond
met een permanente ban. Mocht je in de toekomst vage PB's ontvangen, stuur deze dan
aan mij door en vertel me van wie je ze gehad hebt. Ik kan dan controleren of dat bericht
deel uitmaakte van een spamrun en de verzender permanent verbannen van ons forum.

Nog wat details:
- Registratiedatum: 8 maart 2005
- E-mailadres pyro@ali.pl (terugspammen mag )
- IP-adres: 205.134.161.78

Met vriendelijke groet,

Jorick Schram
Webmaster SCARB

[kroehlur]

205.134.161.78 = [ pompom.ai.net ]
OrgName: American Information Network
OrgID: AI
Address: 6470 Freetown Road Ste 200-39
City: Columbia
StateProv: MD
PostalCode: 21044
Country: US
NetRange: 205.134.160.0 - 205.134.191.255
CIDR: 205.134.160.0/19
NetName: AINET-BLK
NetHandle: NET-205-134-160-0-1
Parent: NET-205-0-0-0-0
NetType: Direct Allocation
NameServer: DNS9.AI.NET
NameServer: DNS6.AI.NET
NameServer: DNS8.AI.NET
Comment:
RegDate: 1995-04-27
Updated: 1998-09-29
TechHandle: AI-ORG-ARIN
TechName: American Information Network
TechPhone: 1-301-497-9620
TechEmail: nc@ai.net
OrgTechHandle: NETWO142-ARIN
OrgTechName: Network Operations
OrgTechPhone: 1-800-779-6938
OrgTechEmail: noc@ai.net
CustName: AiNET Hosting Operations
Address: 6470 Freetown Road
Address: Suite 200-39
City: Columbia
StateProv: MD
PostalCode: 21044
Country: US
RegDate: 2002-11-27
Updated: 2002-11-27
NetRange: 205.134.161.0 - 205.134.161.255
CIDR: 205.134.161.0/24
NetName: AINETWEB-BLK177
NetHandle: NET-205-134-161-0-1
Parent: NET-205-134-160-0-1
NetType: Reassigned
Comment: Hosting Infrastucture
RegDate: 2002-11-27
Updated: 2002-11-27
TechHandle: AI-ORG-ARIN
TechName: American Information Network
TechPhone: 1-301-497-9620
TechEmail: nc@ai.net
OrgTechHandle: NETWO142-ARIN
OrgTechName: Network Operations
OrgTechPhone: 1-800-779-6938
OrgTechEmail: noc@ai.net
ARIN WHOIS database last updated 2005-03-15 19: 10
Enter ? for additional hints on searching ARIN's WHOIS database.

http://www.ai.net/aup.html

Violations of Acceptable Use Policy: abuse@ai.net

Maakt zo te zien nix uit:

http://groups.google.com/groups?q=ai.ne ... &scoring=d

ali.pl = [ 66.98.178.219 ]
Domain object:
domain: ali.pl
registrant's handle: iws_22291 (INDIVIDUAL)
nservers: ns1.dmns4sale.com
ns2.dmns4sale.com
created: 2003.11.17
last modified: 2004.11.05
registrar: AZ.pl SC Albert Jerka Andrzej Kostrzewa
option: the domain name has not option
Holders Contact object: data restricted
Technical Contact: data restricted
Whois database last updated: 2005.03.16

Weet je zeker dat het een ali.pl address was?

General:

DNS server: 205.214.45.10
Query type: MX
Query: ali.pl



Header section...
Header:

ID: 0x23E4 ID #9188
QR: 1 Response
Opcode: 0 Query
AA: 0 Normal
TC: 0 Whole
RD: 0 No Recursion
RA: 1 Recursion Available
Z: 0 0
RCODE: 0 No Error
QDCount: 1 1 (Question count)
ANCount: 1 1 (Resource count)
NSCount: 2 2 (Nameserver count)
ARCount: 3 3 (Additional resource count)



Question section...
Question 1 of 1:

Name: ali.pl ali.pl
Type: 15 MX
Class: 1 IN



Answer section...
Answer 1 of 1:

Name: ali.pl ali.pl
Type: 15 MX
Class: 1 IN
TTL: 542 9m 2s
RDLength: 9 13
RData: 00 0A 6D 61 69 6C 2E 61 6C 69 2E 70 6C [10] mail.ali.pl



NameServer section...
NameServer 1 of 2:

Name: ali.pl ali.pl
Type: 2 NS
Class: 1 IN
TTL: 542 9m 2s
RDLength: 19 17
RData: 6E 73 32 2E 64 6D 6E 73 34 73 61 6C 65 2E 63 6F 6D ns2.dmns4sale.com


NameServer 2 of 2:

Name: ali.pl ali.pl
Type: 2 NS
Class: 1 IN
TTL: 542 9m 2s
RDLength: 6 17
RData: 6E 73 31 2E 64 6D 6E 73 34 73 61 6C 65 2E 63 6F 6D ns1.dmns4sale.com



Additional section...
Additional 1 of 3:

Name: mail.ali.pl mail.ali.pl
Type: 1 A
Class: 1 IN
TTL: 542 9m 2s
RDLength: 4 4
RData: 43 12 EF B0 67.18.239.176


Additional 2 of 3:

Name: ns1.dmns4sale.com ns1.dmns4sale.com
Type: 1 A
Class: 1 IN
TTL: 10742 2h 59m 2s
RDLength: 4 4
RData: 42 62 B2 DB 66.98.178.219


Additional 3 of 3:

Name: ns2.dmns4sale.com ns2.dmns4sale.com
Type: 1 A
Class: 1 IN
TTL: 10742 2h 59m 2s
RDLength: 4 4
RData: 43 13 A6 AB 67.19.166.171

Aaaah.....

Server Used: [ whois.arin.net ]

67.18.239.176 = [ 176.67-18-239.reverse.theplanet.com ] !!! rwhois.theplanet.com failed to respond *** displaying Referrer's Records (whois.arin.net):
OrgName: ThePlanet.com Internet Services Inc.
OrgID: TPCM
Address: 1333 North Stemmons Freeway
Address: Suite 110
City: Dallas
StateProv: TX
PostalCode: 75207
Country: US

ReferralServer: rwhois: //rwhois.theplanet.com: 4321

NetRange: 67.18.0.0 - 67.19.255.255
CIDR: 67.18.0.0/15
NetName: NETBLK-THEPLANET-BLK-11
NetHandle: NET-67-18-0-0-1
Parent: NET-67-0-0-0-0
NetType: Direct Allocation
NameServer: NS1.THEPLANET.COM
NameServer: NS2.THEPLANET.COM
Comment:
RegDate: 2004-03-15
Updated: 2004-07-29

TechHandle: PP46-ARIN
TechName: Pathos Peter
TechPhone: +1-214-782-7800
TechEmail: abuse@theplanet.com

OrgAbuseHandle: ABUSE271-ARIN
OrgAbuseName: Abuse
OrgAbusePhone: +1-214-782-7802
OrgAbuseEmail: abuse@theplanet.com

OrgNOCHandle: TECHN33-ARIN
OrgNOCName: Technical Support
OrgNOCPhone: +1-214-782-7800
OrgNOCEmail: admins@theplanet.com

OrgTechHandle: TECHN33-ARIN
OrgTechName: Technical Support
OrgTechPhone: +1-214-782-7800
OrgTechEmail: admins@theplanet.com

# ARIN WHOIS database last updated 2005-03-15 19: 10
# Enter ? for additional hints on searching ARIN's WHOIS database.

Zucht.....

The Planet. Spam supporters.

hmmm telnet naar poort 25 op 67.18.239.176 geeft een banner van mail.bumphost.com en hij accepteert ook mail voor ali.pl maar de MX record voor bumphost.com geeft een address van 70.84.129.196 = ook theplanet.com

www.bumphost.com is 403

www.bumphost.com = 67.18.228.112

Nobody expects the Spammish inquisition

[Jorix]

Precies, de spamrun is om de aandacht te vestigen op domeinen die te koop zijn. dmns4sale.com is het domein van de hostende nameserver... dmns4sale = domains for sale. Als je kijkt op de websites die genoemd worden in de verschillende PB's die vannacht verstuurd zijn, dan staan ze allemaal te koop.

Mijn ervaring is dat het tegenwoordig bij dergelijke hosters al geen zin meer heeft om melding te doen op de genoemde abuse mailadressen, plus dat zo'n provider een spamrun van 35 berichten niet als zeer ernstig zal classificeren, dus komt die onderop de stapel, of in de prullenbak.. helaas

[Paliri]

[joost]

klinkt allemaal heel interresant zeg!
maar toch bedankt voor de tip!

[Maxtor]

Internet detectives

[gino]

Lijkt allemaal veel spannender dan dat het is

[psillen]

Lijkt allemaal veel spannender dan dat het is

Of is het spammender

[Yvo]

?

[yuri 75 V6]

Lijkt allemaal veel spannender dan dat het is

Gelukkig maar... als het echt zo spannend is als het eruitziet, nou, dan weet ik niet waarom ze nog achtbanen hebben....

Saluti,

yuri

[kees artc6]

Fijn dat mensen dit snappen
Kill the f*ckers, I hate spam !

[GiuliaCorse]

DDoS aanvallutjuh?????

[1750GTV]

In het meer gooien met een gewicht aan hun voeten, die gasten.

[kroehlur]

In het meer gooien met een gewicht aan hun voeten, die gasten.

Eerst Fondue, dan?

[1750GTV]

Ahhhhh!!!
Ken uw klassiekers!

De stok, de stok!