Archive

Archives pour la catégorie ‘Spam Forum phpBB’

spam forum phpBB

08/07/2008 Auteur de l'article: ScatMan Comments off

Ayant un forum phpbb (un peu laissé à l’abandon) spammé, je me suis décidé à tracer cette racaille.
Le 1er que j’ai pris en flag est 72.9.231.170 spammeur hébergé chez http://gnax.net GNAX Inc. 1100 White St. SW Atlanta, GA 30310

En jetant un coup d’œil sur son serveur Apache :
fichier urls.txt de 62000 urls du type :  http://www.nomduforum.com/viewforum.php?f=2
fichier message.txt de 65000 lignes de mots clefs du type : connelly free jennifer nude video
(j’ai pris une ligne un peu au hasard J)

fichier myposts.txt  de 7100 lignes du type : http://www.velomagazine.fr/phpBB2/viewtopic.php?p=16887
semble être la log des spams réussis.

Le fichier project.txt contient l’adresse du site porno qui sera publié dans le spam, actuellement : http://freepornenjoy.com/

A priori ces forums ont le système de validation par l’utilisateur lui-même, y’a-t-il une faille dans le contrôle visuel de phpbb ?

Si on met la validation par l’Admin on voit cette racaille s’enregistrer mais ils ne peuvent aller plus loin.
Il est intéressant de noter que le site Web indiqué par ces spammeurs est en général soit du type http://bestmedinfoguide.com/map.html soit un domaine parké ou même un site à priori « normal » mais je sent ici une histoire de backlink ou de liens sponsorisés ou de redirection vers un site porno Russe.
A noter aussi de nombreux liens sur blogspot.com.
Attention on tombe aussi sur des sites chinois qui vous balance d’office des trojans Trojan Exploit-ByteVerifyType, ou JS/Downloader-AUD

Mais revenons à notre racaille, celui-ci veux nous faire allez sur http://empubm06.info et pour cause cela balance de suite 00000375.js un Trojan JS/Puper.dldr qui demande de télécharger un faux codec celui-ci génère alors une DLL sur le PC et ouvre ensuite des pages de pubs pour des antiv-virus ou antispyware bidon.

Sur mon forum phpbb j’ai activé la validation par Admin et j’ai mis en place un mouchard pour identifier les robots qui s’enregistrent avant de spammer.

Dans /includes/usercp_register.php rechercher:
‘EMAIL_SIG’ => str_replace(‘<br />’, « \n », « — \n » . $board_config[‘board_email_sig’]),
Ajouter après:
‘USR_IP’ => $_SERVER[‘REMOTE_ADDR’],
Dans /language/lang_french/email/admin_activate.tpl rechercher:
Le compte appartenant à « {USERNAME} »
remplacer par:
Le compte appartenant à « {USERNAME} » {USR_IP}

Vous recevrez alors l’adresse IP du robot. La pêche de se matin à donné 2 adresses: 193.53.87.81 et 195.245.119.76
C’est surtout l’adresse 193.53.87.81 qui est intéressante car on la retrouve souvent et qu’elle correspond à un serveur Windows qui a été piraté.

ACTIONS:

1. Je cherche donc à récupérer les sources qui sont sur le serveur 193.53.87.81, ce qui permettra à la communauté phpBB de comprendre comment les robots bypass le contrôle visuel et activent leur compte.

2. Obtenir les sources du serveur 72.9.231.170 destiné au spam

3. Savoir à qui profite tout ceci, méthodes douteuses de sociétés ou système d’affiliation

Si vous pouvez contribuer, n’hésitez pas c’est pour la bonne cause. Laissez un commentaire.

Liste des spammeurs de forums PHPBB
Bannir ces adresses ou réseaux:
193.53.87.85
193.53.87.81
inetnum:        193.53.87.0 – 193.53.89.255
Infinite Technologies Use in Capgemini/ TeleCity IDC Facility

78.157.143.212
inetnum:        78.157.143.128 – 78.157.143.255
VdHost Ltd. LV

72.9.231.170
NetRange:   72.9.224.0 – 72.9.255.255
GNAXNET

92.112.171.248
inetnum:        92.112.109.0 – 92.113.255.255
Ukrtelecom IP access network

218.26.219.186
inetnum:      218.26.0.0 – 218.26.255.255
China Network Communications Group Corporation

78.157.143.212 VdHost Ltd. abuse@vdhost.biz hostmaster@ultranet.lv admin@vdhost.biz
84.38.140.158 TeraBaits SIA LV info@tab.lv
84.19.188.30 Keyweb AG IP Network abuse@keyweb.de
89.18.166.67 PCextreme BV abuse@pcextreme.nl
92.112.47.142 Ukrtelecom IP access network postmaster@ukrtel.net
92.112.35.219 Ukrtelecom IP access network postmaster@ukrtel.net
92.112.171.248 Ukrtelecom IP access network postmaster@ukrtel.net
92.48.127.90 BlueConnex-infra abuse@blueconnex.net pete.bristow@bluesquaredata.com
193.53.87.85 RIPE NCC Operations abuse@ripe.net
193.53.87.81 RIPE NCC Operations abuse@ripe.net
195.245.119.76 Renome-Service: Joint Multimedia Cable Network Ukraine abuse@odessa.tv
200.24.0.176 Interconexion Electrica S.A. asuarez@ISA.COM.CO
217.107.218.51  « Consult IT » Co. Ltd. abuse@eserver.ru info@eserver.ru noc@eserver.ru
218.26.219.186  

China Network Communications Group Corporation abuse@cnc-noc.net hxh@public.ty.sx.cn78.157.143.212 VdHost Ltd UltraNet Hostmaster
abuse@vdhost.biz hostmaster@ultranet.lv admin@vdhost.biz
inetnum: 78.157.143.128 – 78.157.143.255
 

 

 

 

62.149.67.49  Saudi net infrastructor
abuse@saudi.net.sa registry@saudi.net.sa
inetnum: 62.149.67.48 – 62.149.67.55

92.112.189.240 Ukrtelecom IP access network
postmaster@ukrtel.net
inetnum: 92.112.128.0 – 92.112.191.255

 

61.19.249.223

61.19.240.0 – 61.19.255.255

CAT TELECOM Data Comm. Dept, IDC Office

support@idc.cattelecom.com suchok@cat.net.th suchok@bulbul.cat.net.th admin-thix@cat.net.th

 

211.158.21.152

211.158.0.0 – 211.158.255.255

CHONGQING CNC BROADBAND NETWORKS CO.,LTD

ipas@cnnic.cn frankpeng@hltt.cn ipas@cnnic.net.cn

 

222.183.127.220

222.176.0.0 – 222.183.255.255

CHINANET Chongqing  province network

abuse@cta.cq.cn anti-spam@ns.chinanet.cn.net dingsy@cndata.com

 

84.19.188.30

84.19.176.0 – 84.19.191.255

Keyweb AG Germany

abuse@keyweb.de

 

79.188.180.198

79.188.180.196 – 79.188.180.199

TP S.A. Poland

abuse@telekomunikacja.pl

 

222.76.113.162

222.76.0.0 – 222.79.255.255

CHINANET fujian province network

hostmaster@apnic.net fjnic@fjdcb.fz.fj.cn abuse@fjdcb.fz.fj.cn anti-spam@ns.chinanet.cn.net

 

221.130.185.234

221.130.176.0 – 221.130.207.255

China Mobile Communications Corporation – shanghai

lihaiy@sh.chinamobile.com weichenguang@chinamobile.com

 

200.63.42.85

200.63.42.143 windows terminal server !

200.63.40/22

Panamaserver.com

ABUSE@PANAMASERVER.COM

 

222.244.88.111

222.244.0.0 – 222.244.127.255

CHINANET HuNan Changsha

ipaddress@hntelecom.net.cn spam.hy@2118.com.cn abuse.szx@2118.com.cn

 

59.40.43.57

59.32.0.0 – 59.42.255.255

CHINANET Guangdong province network

anti-spam@ns.chinanet.cn.net hm-changed@apnic.net ipadm@gddc.com.cn dingsy@cndata.com

 

122.234.48.111

122.234.0.0 – 122.234.255.255

CHINANET ZHEJIANG Hangzhou node network

antispam@dcb.hz.zj.cn hjh@dcb.hz.zj.cn master@dcb.hz.zj.cn

 
 

 

 

 

Categories: Spam Forum phpBB Tags: ,
CACAWEB.COM c'est : Que penser d'un site, c'est une escroquerie ?, arnaque ?, escroc ?, comment se desabonner, comment se faire rembourser, prelevement abusif, spams Russe, spam Chinois, spam Ukrainiens , arnaque sites adultes, Casinos en ligne souteux, ebooks et vente de PDF, arnaque type argent facile , telechargement legal ou illegal, warez ou freeware, arnaque abonnement sms, arnaque sur publicite Google Adwords MSN ou Yahoo, site Chinois de contrefacon, Phishing Paypal et eBay, telecharger les logiciels gratuits sans risque, logiciels oem pirates, adware et spyware, cybersquating et typosquating, arnaques devenir riche, spam viagra cialis, risques avec emule, spam casino, numeros surtaxes, spam sms, virus sur msn, arnaques chaines TV, fraude adsense, hacking de sites web, piratage, faux logiciel antivirus ou anti-spyware, liste des spammeurs, arnaque produids pour maigrir, site douteux sur publicite Megaupload, hebergeurs de spammeurs, is scam website etc...
- Mentions légales Flux RSS CacaWeb -
comment se faire desabonner et se faire rembourser comment annuler arreter stopper un prelevement comment se desinscrire comment se desabonner comment stopper un abonnement


.
ec2-54-225-36-143.compute-1.amazonaws.com 11/21/2017 01:52:12 pm