Страница 2 из 6
Добавлено: Пн май 12, 2008 9:48 pm
MBell
molsp писал(а):не хочу тебя разочаровывать, но я тоже уже второй раз $400 заработал Smile
В один день? В течение нескольких минут?
Каждый день по 8 сотен бы!
Только бы нас здесь и видели!
Добавлено: Вт май 13, 2008 10:50 am
McFlooder
MBell писал(а):Ну, от тебя не ожидала! Ты то исходный код письма смотреть умеешь?
А что, ты на осле зареган?
Я это письмо даже не читал, а сразу отправил в биореактор
На осле был зареган, но потом аккаунт дропнул. А тут через полгода моего непоявления на осломыле приходит мне такая бяка
Не во всех программах есть Просмотр исходного кода. В некоторых бывает галочка в меню Показывать все заголовки, что практически одно и тоже. В любом случае можно из меню Файл сохранить сообщение куда нибудь и открыть его блокнотом.
MBell писал(а):Интересно, какая у них спамилка, чтоб такую массу писем разослать?
Или впрямь завирусовывают компы и идет саморазмножение от ничего не подозревающих юзеров?
Нет, здесь ни какого заражения пользователей (письмо отсылалось локальным вызовом sendmail с хостинга), все гораздо проще. Они покупают хостинг, заливают туда скрипт для рассылки сообщений, базу адресов и собственно текст сообщения. Хостинг стоит 2.49$ в месяц, по истечении месяца они переезжают на другой.
Добавлено: Вт май 13, 2008 2:49 pm
MBell
McFlooder
Мои слова имели основание - твое высказывание:
McFlooder писал(а):Осломыл решить поправить свое положение занимаясь лохотронщиной
Удивило, что ты мог это даже предположить!
Да, кстати, известный факт. У осла инактивный аккаунт может сохраняться иногда годами. Потому там и 200000 мемберов!
Ну. а второе - вызванно бесконечными разговорами, что все наши компы заражены спамерскими вирусами. Т.е. тут больше иронии, чем предположенения.
А с хостингом? Вот это именно мне и показалось забавным.
Посмотри данные в 1-м моем письме и данные ослика по хостингу и IP - сам, поймешь. Хостинг один, только сервера разные.
Второе уже было с другого.
И немного иначе оформленное. Но пришло почти одновременно. Вот ссылки я уже не сопоставляла. Ну его!
А в прошлый раз письма были и впрямь со всего мира.
Добавлено: Вт май 13, 2008 10:16 pm
McFlooder
Хех...Всетаки любопытство перебороло во мне лень. Решил я заглянуть на свой старый ящик, с которым регистрировался у ослика, в надежде что он еще жив. Ящик оказался жив и среди кучи спама я нашел таки письмецо от 10 мая. Точно такое же.
Итак, что я имею вам сказать. Письмо было отправлено с порнушного сайта. Прошу обратить внимание на поле
Код: Выделить всё
X-PHP-Script: webcamwhore.co.uk/forum/cache/.bs/t79.php for 63.247.84.58
оно показывает на скрипт который вызвал функцию mail() и IPшник того, кто инициировал эту функцию.
Идем дальше. Вот как выглядит ссылка после urldecode()
Код: Выделить всё
http://www.donkeymails.com.l-pages.l-prize_center.php.l-id.5b.x7.pq.lr.v7.b1.lang.in/whois.php?action=lookup&account=www.donkeymails.com</title><frameset><frame src=http://jq.is2u.de/></frame><noframes>%
Cсылка которую давал Rosland в старом топике:
Код: Выделить всё
http://www.donkeymails.com.l-pages.l-prize_center.php.l-id.8d.5k.nq.tq.rv.s3.mydn.biz/whois.php?action=lookup&account=www.donkeymails.com</title><frameset><frame src=http://lq.de.gs/></frame><noframes>%
То есть, тут мы видим грамотную реализацию инъекции HTML кода в чужой сайт и открытие там в фрейме своего.
Лично у меня открылся обычный HTML код по этой ссылке, можт эта байда оптимизирована под IE?
Добавлено: Ср май 14, 2008 12:49 am
Victor_K
McFlooder писал(а):То есть, тут мы видим грамотную реализацию инъекции HTML кода в чужой сайт и открытие там в фрейме своего.
Больше похоже на накрутку какой-то поисковой системы -http://searchportal.information.com/?epl=
Добавлено: Ср май 14, 2008 7:56 am
McFlooder
Незнаю, где ты узрел эту ссылку. Я такой не нашел
Добавлено: Ср май 14, 2008 1:39 pm
diletant
Я тоже получил такое письмо. Отослал копию администрации сайта. Выразил сожаление по поводу того, что наши личные данные попали в третьи руки.
Добавлено: Ср май 14, 2008 2:14 pm
Victor_K
searchportal.information.com - это то, что открывается во фрейме вместо фишинг-сайта
donkeymai1s.com, который, в свою очередь, должен был открываться во фрейме lq.de.gs
Походу, это всего лишь значит что домен заблокирован
Добавлено: Ср май 14, 2008 2:17 pm
MBell
McFlooder писал(а):Итак, что я имею вам сказать. Письмо было отправлено с порнушного сайта. Прошу обратить внимание на поле
Код:
X-PHP-Script: webcamwhore.co.uk/forum/cache/.bs/t79.php for 63.247.84.58
Этого у меня нет.
Victor_K писал(а):Больше похоже на накрутку какой-то поисковой системы -http://searchportal.information.com/?epl=
McFlooder писал(а):Незнаю, где ты узрел эту ссылку. Я такой не нашел Smile
McFlooder
Видишь ли, это все только подтверждает, что рассылки делаются с разных адресов, ip и даже сам html код основного письма иной.
Даже в плане оформления текста.
Но сама акция массовая, одновременно бомбят сотни тысяч адресов и некоторые дважды и трижды.
Мне вот только интересно другое.
Сколько народу реально попадают на этот лохотрон?
Он же по идее должен себя окупать?
Добавлено: Ср май 14, 2008 3:33 pm
McFlooder
Я заметил только то, что внедряемый HTML код вставляется в скрипты одного вида, то есть кроме домена все параметры идентичны.
То, что тут действуют наши соотечественники - это скорее всего так и есть. Всетаки было бы интересно собрать небольшую коллекцию заголовков из мылов этой серии, дабы рассмотреть их получше. А еще лучше целые письма, вместе со всеми заголовками.