De IP range voor DSL gebruikers

schermafdruk website megaprovider.nl.

Dat het – op een enkele posting bij onder meer isc.sans.org na – erg stil is geweest rondom de spam uit het netwerk van Megaprovider is niet omdat Megaprovider erg stil is geweest. Sterker nog, Megaprovider is behoorlijk actief geweest, als een facilitator voor misbruikers van zogenaamde open proxies en voor de hosting van door spam geadverteerde websites.

Saai, maar interesant

Deze tekst saai en lang. Dat komt omdat Megaprovider’s spam activiteiten dat zijn. Maar, interesant is evenwel: de voorgeschiedenis, een stukje van meer recente spam gerelateerde activiteit uit het Megaprovider netwerk, een fingerprint van het verkeer waarmee open proxies misbruikt worden, de herleiding van de bron van de open proxies, het omzeilen van blocklists door Megaprovider en het einde (tenminste, het voorlopige).

Dit is niet alle informatie die beschikbaar is. Ter bescherming van bronnen en lopende onderzoeken is veel info weggelaten of munged. Zie ook credits voor de credits. Also available in english translation.

Geschiedenis

Uit Ronald F. Guilmette’s “Who´s spamming you?”´s bleek dat Megaprovider in de zomer van 2003 een vaste plek had in de Top 40 van misbruikers van open proxies (meestal gewoon zombies). Steevast zit dezelfde /24 IP reeks in die Top 40: 80.71.71.0/24 (ORG-MPB1-RIPE). Die range was toen al een tijdje een “dirty block”. De timing is opmerkelijk, want rond die tijd speelde ook het cyberangels.nl verhaal.

Ronald melde dat er proxies vanuit die serie IP adressen werden misbruikt sinds begin juli 2003. De serie IP adressen is daarvoor al een paar keer gebruikt voor andere spam gerelateerde doeleinden. Via 80.71.71.5 wordt tussen 11 augustus en 16 september 2002 spam verzonden (kennelijk kenden spammers het fenomeen open proxies nog niet), op 80.71.71.40 werden tussen 31 augustus en 24 september 2002 websites gehost die in spam geadverteerd waren, met 80.71.71.200 gebeurde hetzelfde op 23 en 24 september 2002.

Op 8 maart 2004 meldt Giblet dat er spam wordt verzonden voor “all your Paris Hilton movies”, via open proxies die simultaan worden misbruikt vanaf een zestal IP adressen uit de 80.71.71.0/24 IP reeks range:

80.71.71.54, 80.71.71.56, 80.71.71.57, 80.71.71.159, 80.71.71.160, 80.71.71.161

Webwereld schrijft er een artikel over en Megaprovider dreigt weer eens met een rechtszaak. Business as usual.

 

Op basis van Ronald’s “Who’s spamming you?” schrijft Webwereld op 17 maart 2004 een artikel over de hele periode waarin misbruik van open proxies van IP´s van Megaprovider hebben plaatsgevonden. Megaprovider geeft als verweer dat de IP reeks gebruikt wordt voor klanten met een DSL aansluiting, een tweetal klanten zou gehacked zijn. Mogelijk was al die aandacht voor die serie IP adressen teveel van het goede, want daarna is er geen activiteit meer waargenomen vanaf die IP reeks.

Bovendien werd het aan de oppervlakte stil rond Megaprovider.

 

Recente spam gerelateerde activiteit van Megaprovider

11 en 12 juni 2004 wordt er voor er het domein cutprice11.com spam verzonden. Deze spam wordt verzonden via open proxies. Dat misbruik vind plaats uit de IP reeks van Megaprovider. De volgende IP adressen zijn hierbij betrokken:

80.71.72.3, 80.71.72.4, 80.71.72.7, 80.71.72.8, 80.71.72.9, 80.71.72.54, 80.71.72.57, 80.71.72.159, 80.71.72.160, 80.71.72.161, 80.71.72.164, 80.71.72.180, 80.71.72.181, 80.71.72.182

Via de in de spam geadverteerde website worden (hoogstwaarschijnlijk nep-) Viagra pillen verkocht.

Op 25 augustus 2004 wordt voor sexy-date-match-maker.biz een grote hoeveelheden spam verstuurd. Dat verwijst via een invulformulier naar offshorestats.com, dat gehost is op 80.71.77.100 (NL-MEGAPROVIDER-20010606).

Op 27, 31 augustus en 3 september 2004 (en waarschijnlijk ook op de tussenliggende dagen) wordt spam verstuurd voor wewantmorebabes.com, dat naar cheatinghousewifeservices.com dat naar 80.71.77.100 verwijst. Een webbug wijst naar 80.71.77.102.

Op 4 september 2004 wordt spam verstuurd voor onlythebestbabes.com. Hier wordt verwezen naar homepageshotties.com, dat op 80.71.77.100. Ook hier verwijst een webbug naar 80.71.77.102).

Op 13 september 2004 wordt weliswaar nog steeds gespammed voor sites die gehost worden op 80.71.77.100, maar de webserver is niet meer bereikbaar.

Op 14 september 2004 (extra voorbeeld) wordt spam verstuurd voor datemenow.info. In de spam zit een popup naar datesexybabes.com, daarin een doorverwijzing (“clicktrough”) naar cheatinghousewifeservices.com dat in eerste instantie (via een “A record” [wikipedia]) verwijst naar 80.71.72.100, later naar 127.0.0.2. De webserver op 80.71.72.100 was niet bereikbaar. Creditcard gegevens achterlaten kan op een site die wijst naar offshorestats.com, dat gehost is op 80.71.77.100 maar evenmin bereikbaar is.

Tussen 18 en 20 september 2004, en mogelijk nog wat dagen ervoor en erna, wordt spam verstuurd vanuit de beruchte “DSL” IP reeks van Megaprovider. Een aantal keer wordt een proxypot geraakt. Overzichten van een van de Megaprovider IP reeksen die in een proxypotten terecht is gekomen zijn te vinden in onder meer de proxypot van Alan Curry, Feike Hacquebord, Christopher Layne en iemand die liever anoniem blijft. De verzonden spam adverteert Viagra. Uit de spams die in de proxypots terechtkomen (voorbeeld) blijkt dat de volgende IP adressen actief zijn:

80.71.72.3, 80.71.72.4, 80.71.72.7, 80.71.72.8, 80.71.72.9, 80.71.72.54, 80.71.72.56, 80.71.72.57, 80.71.72.159, 80.71.72.160, 80.71.72.161, 80.71.72.164, 80.71.72.170, 80.71.72.171, 80.71.72.172, 80.71.72.173, 80.71.72.174, 80.71.72.175, 80.71.72.176, 80.71.72.177, 80.71.72.178, 80.71.72.179, 80.71.72.180, 80.71.72.181, 80.71.72.182, 80.71.72.240, 80.71.72.241, 80.71.72.242, 80.71.72.243, 80.71.72.244

Onder meer de volgende domeinnamen worden door spam geadverteerd:

0954vj.com, 0rderdrugs.com, 349fms.com, 4098ws.com, 439fms.com, 450slg.com, 49dmds.com, 49fmas.com, 49fmsas.com, 49fmsv.com, 4imf5.com, 509vms.com, 55mfw.com, 5mfsl6.com, 64ldn5.com, 690mrk.com, 8543nf.com, 95j63s.com, bjepog.com, bjmepe.com, cutprice11.com, dffdh.com, dfjndfv.com, djgpe.com, dpojfs.com, dslk1.com, dsofme.com, eieqo.com, eimhls.com, epofdjep.com, erigsl.com, eroiwe.com, erpowe.com, erwopi.com, etpeh.com, ewfgjs.com, ewofdsf.com, fjdald.com, fjwopfs.com, fkwpsf.com, fmpwng.com, fofmwsp.com, fpoefsd.com, fpowpof.com, fwoi4w.com, gbfjd.com, gneoreo.com, ijjad.com, iohnsk.com, iymwld.com, jpeper.com, lqeriod.com, medz-store.com, nitng.com, oevmte.com, ogmdpes.com, oijia.com, oijji.com, oinrv.com, pi5dkg.com, pjgjeh.com, pogmsa.com, pomcms.com, poremd.com, puyiem.com, qpjfns.com, reoivm.com, repogs.com, reppms.com, rermds.com, roieri.com, rpgjks.com, rpofsdf.com, rpoiwb.com, rtgoiwm.com, rtprbn.com, sdofmw.com, sdpfwod.com, sdpodfj.com, sdpodsw.com, smdddgg.com, smmfsf.com, soiosd.com, sptgjt.com, ssmgmer.com, thpejm.com, tIPej.com, tpoefs.com, vmaprd.com, we49fm.com, wegmws.com, weoine.com, weroim.com, wpofmsg.com, xklghj.com, yiomds.com, yiwoim.com, ypodmns.com, ysnhgld.com

In deze spamruns wordt verder ook inc-cheap.com door spam geadverteerd. Dat gebeurt onder meer vanaf de volgende IP’s:

80.71.72.3, 80.71.72.4, 80.71.72.8, 80.71.72.9, 80.71.72.45, 80.71.72.54, 80.71.72.56, 80.71.72.57, 80.71.72.60, 80.71.72.112, 80.71.72.159, 80.71.72.160, 80.71.72.161, 80.71.72.164, 80.71.72.181, 80.71.72.182

Deze spams zijn voor de affiliate “jpeg”. Die komen we later opnieuw tegen. In de periode van 15 tot 23 oktober 2004 wordt onder meer toels.com door spam geadverteerd, ook voor affiliate “jpeg” (voorbeeld). De IP’s die dan misbruikt worden:

80.71.72.170, 80.71.72.171, 80.71.72.172, 80.71.72.173, 80.71.72.174, 80.71.72.175, 80.71.72.176, 80.71.72.177, 80.71.72.178, 80.71.72.179, 80.71.72.240, 80.71.72.241, 80.71.72.242, 80.71.72.243, 80.71.72.244

Er zijn echter ook nog anderen die via Megaprovider’s IP space hun puin versturen. In de vroege ochtend van 21 oktober 2004 (voorbeeld) wordt er gespammed voor hereviagra.com. Uit de door spam geadverteerde pagina’s is een andere referral terug te vinden, te weten “bleume”. De betrokken IP’s zijn in dat uur:

80.71.72.150, 80.71.72.151, 80.71.72.152, 80.71.72.154, 80.71.72.202

Vanaf dat laatste IP adres wordt de spam verstuurd met een tiepfout in de door spam geadverteerde url waardoor het bedoelde domein niet meer duidelijk is (in ieder geval niet voor de naieve ontvanger). De andere verzonden spam is zonder de tiepfout. Dezelfde spam wordt op hetzelfde moment ook vanuit ander IP space via open proxies verzonden. Dat misbruik komt onder andere van 64.201.105.78 (uit IP reeks RACETECH van race.com) en 69.90.9.22 (uit IP reeks PEER1-PRIORITYCOLO-02 van prioritycolo.com).

Tussen 23 oktober en 30 november 2004 (meer dan een maand!) wordt er opnieuw spam verstuurd, bijna dagelijks (voorbeeld). Deze keer is het weer beurt aan “jpeg” en wederom voor het domein mejc.com. Over de gehele periode bezien, zijn de volgende IP adressen als bron aan te wijzen:

80.71.72.3, 80.71.72.4, 80.71.72.8, 80.71.72.9, 80.71.72.45, 80.71.72.54, 80.71.72.56, 80.71.72.57, 80.71.72.112, 80.71.72.159, 80.71.72.160, 80.71.72.161, 80.71.72.164, 80.71.72.170, 80.71.72.171, 80.71.72.172, 80.71.72.173, 80.71.72.174, 80.71.72.175, 80.71.72.176, 80.71.72.177, 80.71.72.178, 80.71.72.179, 80.71.72.181, 80.71.72.182, 80.71.72.240, 80.71.72.241, 80.71.72.242, 80.71.72.243, 80.71.72.244

Dezelfde spam komt ook vanaf precies dezelfde IP adressen (en andere adressen in IP reeksen die niet aan Megaprovider toebehoren) in een andere proxypot terecht. Uit de gegevens van die proxypot blijkt dat de spamrun zelfs nog langer heeft geduurd: van 25 oktober tot 4 december 2004.

Tussen 19 en 21 januari 2005 wordt voor een verscheidenheid aan producten spam verzonden vanuit het netwerk van Megaprovider, denk aan dating spam (voorbeeld, voorbeeld), Viagra (voorbeeld) en porno. De domeinnamen die in deze spamruns genoemd worden zijn:

awesomeporno.info, beautifulbitches.info, dellaainthere.com, disgonenowsee.com, eastyids.com, fanominetime.com, ferdlerd.com, fortusgeter.com, gerdnerd.com, gerthperth.com, getsomefundis.com, greeedkeeplee.com, harmanrx.net, hassofrassfey.coms, herdferd.com, jellyteefee.com, jerdmerd.com, jetseefort.com, jorcanfinder.com, kandykanemain.com, kerdserd.com, kessfess.com, kregforteesin.com, lardtard.com, lollyjollydee.com, pardhard.com, perdherd.com, perdkerd.com, persfers.com, profomodo.com, pussymovies.info, pussyonpussy.info, qerdperd.com, refillyourrx.net, renewpharmacy.com, sandroppee.com, serdherd.com, serdwerd.com, shedmorelightzee.com, shescresgee.com, starnowgee.com, transfer-rx.com, werdterm.com, zorodaysin.com

Ook deze spam wordt verzonden via open proxies. Dat gebeurt in ieder geval vanaf een vijftal IP adressen uit de reeks van Megaprovider:

80.71.72.91, 80.71.72.92, 80.71.72.94, 80.71.72.163, 80.71.72.165, 80.71.72.166, 80.71.72.190

Een paar dagen later, op 28 en 29 januari 2005 wordt er weer spam verzonden voor een Viagra gelijkend product. Het in de spam geadverteerde domein is 0rdernow.com, de IP adressen die terecht komen in de proxypot zijn:

80.71.72.3, 80.71.72.9, 80.71.72.45

Vanaf 28 januari 2005 (voorbeeld) wordt er ook spam verstuurd voor een andere domeinnaam via welke Viagra pillen te koop worden aangeboden: vaigra.net. De IP adressen uit de Megaprovider IP reeks die hierbij betrokken zijn:

80.71.72.3, 80.71.72.4, 80.71.72.8, 80.71.72.9, 80.71.72.45, 80.71.72.54, 80.71.72.56, 80.71.72.57, 80.71.72.112, 80.71.72.159, 80.71.72.160, 80.71.72.161, 80.71.72.164, 80.71.72.170, 80.71.72.171, 80.71.72.172, 80.71.72.173, 80.71.72.174, 80.71.72.175, 80.71.72.176, 80.71.72.177, 80.71.72.178, 80.71.72.179, 80.71.72.181, 80.71.72.182, 80.71.72.201, 80.71.72.240, 80.71.72.241, 80.71.72.242, 80.71.72.243, 80.71.72.244

Meer dating spam wordt verzonden vanaf Megaprovider IP adressen op 3 en 4 februari 2005 (voorbeeld). De betrokken IP adressen zijn:

80.71.72.92, 80.71.72.94, 80.71.72.163, 80.71.72.165, 80.71.72.166, 80.71.72.167, 80.71.72.190

In deze spamruns worden de volgende domeinnamen geadverteerd:

desforgor.com, doestopees.com, doesnowfor.com, farnowdoes.com, fatkwee.com, forherhert.com, herteetok.com, kerfeesoi.com, sadtonowsd.com, saderteelo.com

Rond dezelfde periode, tussen 26 februari en 13 maart 2005 wordt ook spam verzonden voor een Viagra gerelateerde domein, hycod.com. Uit de samengevoegde resultaten van twee proxypots blijkt dat de volgende IP adressen van Megaprovider de open proxies misbruiken voor de verzending:

80.71.72.3, 80.71.72.4, 80.71.72.8, 80.71.72.9, 80.71.72.45, 80.71.72.54, 80.71.72.56, 80.71.72.57, 80.71.72.112, 80.71.72.159, 80.71.72.160, 80.71.72.161, 80.71.72.164, 80.71.72.170, 80.71.72.171, 80.71.72.172, 80.71.72.173, 80.71.72.174, 80.71.72.175, 80.71.72.176, 80.71.72.177, 80.71.72.178, 80.71.72.179, 80.71.72.181, 80.71.72.182, 80.71.72.201, 80.71.72.240, 80.71.72.241, 80.71.72.242, 80.71.72.243, 80.71.72.244

Vanaf die 13de, tot 18 maart 2005, gaat die Viagra spam door, maar wordt wel een andere domeinnaam geadverteerd: 900mg.com. De IP adressen die worden misbruikt zijn vrijwel identiek aan de vorige serie.

Na 18 maart 2005 is de Viagra spam even buiten beeld, maar wordt tot 23 maart 2005 wel weer spam verzonden voor replicas van horloges. Het domein is seikos.net, de betrokken IP adressen:

80.71.72.170, 80.71.72.171, 80.71.72.172, 80.71.72.173, 80.71.72.174, 80.71.72.175, 80.71.72.176, 80.71.72.177, 80.71.72.178, 80.71.72.179, 80.71.72.240, 80.71.72.241, 80.71.72.242, 80.71.72.243, 80.71.72.244

Na een dag rust gaat men tussen 25 maart en 5 april 2005 weer verder met de Viagra spam (voorbeeld). Het domein is deze keer 5qzgrh5.com. De IP adressen die in een van de proxypots terechtkomen zijn:

80.71.72.4, 80.71.72.8, 80.71.72.9, 80.71.72.45, 80.71.72.54, 80.71.72.56, 80.71.72.57, 80.71.72.112, 80.71.72.159, 80.71.72.160, 80.71.72.161, 80.71.72.164, 80.71.72.170, 80.71.72.171, 80.71.72.172, 80.71.72.173, 80.71.72.174, 80.71.72.175, 80.71.72.176, 80.71.72.177, 80.71.72.178, 80.71.72.179, 80.71.72.181, 80.71.72.182, 80.71.72.240, 80.71.72.241, 80.71.72.242, 80.71.72.243, 80.71.72.244

Tussen 1 en 6 april worden de IP adressen ook gelogged voor spam van “jpeg” voor de domeinnamen cpko.com, fubh.com, ppeq.com en xtst.com (voorbeeld). Het lijkt erg waarschijnlijk dat er ook echt meerdere servers in gebruik zijn, zie verderop. De volgende IP’s zijn betrokken bij de verzending van de spam via open proxies:

80.71.72.10, 80.71.72.11, 80.71.72.12, 80.71.72.13, 80.71.72.14, 80.71.72.15, 80.71.72.16, 80.71.72.17, 80.71.72.18, 80.71.72.19, 80.71.72.20, 80.71.72.21, 80.71.72.23, 80.71.72.24, 80.71.72.140, 80.71.72.141, 80.71.72.142

Ook vanaf 1 april 2005, maar dan doorlopend tot 14 april 2005, wordt door “jpeg” ook Viagra spam verstuurd voor rrox.com en vdrugz.com (voorbeeld). Waar de andere spamrun vanaf IP adressen uit de eerste 127 IP adressen werd verzonden, wordt deze spamrun uit een aantal IP adressen uit de tweede serie 127 IP adressen verzonden:

80.71.72.170, 80.71.72.171, 80.71.72.172, 80.71.72.173, 80.71.72.174, 80.71.72.175, 80.71.72.176, 80.71.72.177, 80.71.72.178, 80.71.72.179, 80.71.72.240, 80.71.72.241, 80.71.72.242, 80.71.72.243, 80.71.72.244

Na de Viagra wordt het voor “jpeg” weer tijd voor de horloge replicas en dus wordt er op 15 en 16 april 2005 daar spam voor verzonden vanaf. Dat betreft een drietal domeinnamen. De spam voor y73.net (voorbeeld) komt vanaf de IP adressen:

80.71.72.240, 80.71.72.241, 80.71.72.242, 80.71.72.243, 80.71.72.244

De spam voor oi6.net (voorbeeld) komt vanaf:

80.71.72.170, 80.71.72.171, 80.71.72.172, 80.71.72.173, 80.71.72.174

En de spam voor p1k.net (voorbeeld) komt vanaf:

80.71.72.175, 80.71.72.176, 80.71.72.177, 80.71.72.178, 80.71.72.179

Deze spamruns zijn verzonden door de spammer die opereert met de referal “jpeg”. Door een toevalligheid is duidelijk waar deze spammer zijn open proxies vandaan haalt, zie verderop.

Op 11 april 2005 noemt isc.sans.org een zestien IP adressen in dezelfde reeks die betrokken zouden zijn bij de verzending van spam via open proxies:

80.71.72.16, 80.71.72.17, 80.71.72.18, 80.71.72.19, 80.71.72.20, 80.71.72.21, 80.71.72.22, 80.71.72.23, 80.71.72.24, 80.71.72.90, 80.71.72.91, 80.71.72.92, 80.71.72.93, 80.71.72.140, 80.71.72.141, 80.71.72.142

Rule #4 van toepassing?

En dan. Schijnbaar opeens. Op 23 mei 2005, vanaf mijn prompt:

rejo@bottebijl:~> ping 80.71.72.174
PING 80.71.72.174 (80.71.72.174) 56(84) bytes of data.
--- 80.71.72.174 ping statistics ---
83 packets transmitted, 0 received, 100% packet loss, time 81992ms

Eveneens 23 mei 2005, uit een van mijn irc logs:

16:55 < $nick > hmm, wat heeft bevelander met telecity te bespreken? een pissed-off advocaat van martijn, stond voor de balie, en eiste dat “de bespreking niet zonder haar zou beginnen”

Een e-mail van een bekende vertelt me nog meer:

Wat betreft Bevelander: ik heb vernomen dat er eind mei of begin juni een inval is geweest bij zijn horecatent in Haarlem. Deze inval (hoogstwaarschijnlijk van de [munged]) zou verband houden met Bevelanders spamactiviteiten. Er zouden onder meer computers inbeslag zijn genomen.

Die horecatent moet haast wel Delirium zijn… (Martijn Bevelander is (mede-?)eigenaar van Delirium, dat op hetzelde adres is gevestigd als Megaprovider.)

Is deze keer Rule #4 eindelijk weer eens van toepassing?

De verzendende systemen en de omvang van de spamruns

Door de simultane connecties te analyseren komen fingerprints van zowel Linux als Windows systemen naar voren:

[timestamp] 80.71.72.10:[port] - Linux 2.4/2.6 >= 2.6.7 (up: 942 hrs)
[timestamp] 80.71.72.11:[port] - Linux 2.4/2.6 >= 2.6.7 (up: 943 hrs)
[timestamp] 80.71.72.12:[port] - Linux 2.4/2.6 >= 2.6.7 (up: 943 hrs)
[timestamp] 80.71.72.13:[port] - Linux 2.4/2.6 >= 2.6.7 (up: 942 hrs)
[timestamp] 80.71.72.14:[port] - Linux 2.4/2.6 >= 2.6.7 (up: 942 hrs)
[timestamp] 80.71.72.15:[port] - Linux 2.4/2.6 >= 2.6.7 (up: 941 hrs)
[timestamp] 80.71.72.16:[port] - Linux 2.4/2.6 >= 2.6.7 (up: 941 hrs)
[timestamp] 80.71.72.17:[port] - Linux 2.4/2.6 >= 2.6.7 (up: 941 hrs)
[timestamp] 80.71.72.18:[port] - Linux 2.4/2.6 >= 2.6.7 (up: 941 hrs)
[timestamp] 80.71.72.19:[port] - Linux 2.4/2.6 >= 2.6.7 (up: 941 hrs)
[timestamp] 80.71.72.20:[port] - Linux 2.4/2.6 >= 2.6.7 (up: 941 hrs)
[timestamp] 80.71.72.21:[port] - Linux 2.4/2.6 >= 2.6.7 (up: 941 hrs)
[timestamp] 80.71.72.23:[port] - Linux 2.4/2.6 >= 2.6.7 (up: 920 hrs)
[timestamp] 80.71.72.24:[port] - Linux 2.4/2.6 >= 2.6.7 (up: 919 hrs)
[timestamp] 80.71.72.140:[port] - Linux 2.4/2.6 >= 2.6.7 (up: 43 hrs)
[timestamp] 80.71.72.141:[port] - Linux 2.4/2.6 >= 2.6.7 (up: 199 hrs)
[timestamp] 80.71.72.142:[port] - Linux 2.4/2.6 >= 2.6.7 (up: 198 hrs)
[timestamp] 80.71.72.170:[port] - Windows 2000 SP4, XP SP1
[timestamp] 80.71.72.171:[port] - Windows 2000 SP4, XP SP1
[timestamp] 80.71.72.172:[port] - Windows 2000 SP4, XP SP1
[timestamp] 80.71.72.173:[port] - Windows 2000 SP4, XP SP1
[timestamp] 80.71.72.174:[port] - Windows 2000 SP4, XP SP1
[timestamp] 80.71.72.175:[port] - Windows 2000 SP4, XP SP1
[timestamp] 80.71.72.176:[port] - Windows 2000 SP4, XP SP1
[timestamp] 80.71.72.177:[port] - Windows 2000 SP4, XP SP1
[timestamp] 80.71.72.178:[port] - Windows 2000 SP4, XP SP1
[timestamp] 80.71.72.179:[port] - Windows 2000 SP4, XP SP1
[timestamp] 80.71.72.240:[port] - Windows 2000 SP4, XP SP1
[timestamp] 80.71.72.241:[port] - Windows 2000 SP4, XP SP1
[timestamp] 80.71.72.242:[port] - Windows 2000 SP4, XP SP1
[timestamp] 80.71.72.243:[port] - Windows 2000 SP4, XP SP1
[timestamp] 80.71.72.244:[port] - Windows 2000 SP4, XP SP1

Dat zegt overigens niet perse iets over het aantal systemen, er kunnen bij wijze van spreken een onbeperkt aantal IP adressen aan een enkele netwerkkaart in een enkele server worden gehangen. Door gebruik te maken van virtual machines kan de analyse van het verkeer een Windows fingerprint opleveren terwijl de server feitelijk Linux gebruikt. Het is evenwel waarschijnlijker dat er daadwerkelijk twee of meer systemen werden ingezet.

De server met de Linux fingerprint adverteerde onder meer xtst.com, cpko.com en fubh.com tussen 1 en 6 april. In diezelfde periode adverteerde de server met de Windows fingerprint rrox.com.

De genoemde uptime is slechts bij benadering, deze kan tot een factor tien verschillen met de werkelijke uptime.

De open proxies worden ook getest vanuit de /24 IP reeks van Megaprovider. Dat gebeurt onder meer om te zien of een open proxy ook daadwerkelijk een verbinding maakt. De tests die begin april zijn onderschept tonen een terugkoppeling van 80.71.72.54 en 80.71.72.240, via de gekaapte proxy, naar poort 8655 van de twee IP adressen.

Via een van de proxypots werd gedurende een viertal aaneengesloten dagen een poging gedaan om spam aan meer dan 1.000.000 geadresseerden te sturen. Het totale aantal spams voor deze run moet vele malen hoger hebben gelegen, hetgeen in de proxypot is opgevangen is waarschijnlijk slechts een fractie.

Een beetje spammer gebruikt op een enkel moment vele honderden, zoniet duizenden open proxies tegelijkertijd. Soms werden zelfs twee proxypots tegelijkertijd geraakt voor dezelfde spam vanuit dezelfde IP reeks van Megaprovider. Zulke spammers versturen per etmaal gerust meer dan 20 miljoen berichten aan een veelvoud van geadresseerden. Hoeveel geadresseerden per bericht worden gebruikt varieert. Uit de proxypot gegevens lijkt dat vaak tussen de 4 en 6 adressen te zijn, maar er zijn ook spammers die tussen de 10 en 100 adressen per keer gebruiken.

Een bron van de misbruikte open proxies

Om zijn miljoenen spamberichten te kunnen verzenden heeft de “jpeg” spammer duizenden open proxies nodig. Hij zou zelf kunnen voorzien in zijn behoefte aan proxies door er actief naar te zoeken, maar hij kan ze ook “gewoon” kopen of huren van derden.

Door een toevalligheid is een van de proxy leveranciers van de jpeg spammer bekend geworden. Op 15 april 2005 blijkt dat “jpeg” spam verstuurde via een computer die schijnbaar besmet was met een trojan van het porksiop.info aka kupeisecivica.info aka blahot.com botnetwerk.

Die trojan is eerder ondermeer via een exploit op nzawgjtm.info verspreid door de eigenaren van het porksiop.info netwerk. Deze website werd geadverteerd in spam welke “free young girls pics” aanbood. Deze spam was op zijn beurt ook weer via open proxies verzonden. De site werd in China gehost, om te voorkomen dat klachten over de website zouden resulteren in verwijdering ervan door de beheerder van het netwerk. Via een pagina met een Visual Basic script wordt een programma op de computer van de bezoeker geinstalleerd, zonder dat deze dat in de gaten heeft.

Het programma heeft een paar features. De trojan is familie van de Troj/Multidr-BP (andere, mogelijk incorrecte of incomplete, beschrijvingen: hier en hier). De features van de trojan:

  • Het probeert onder andere zoveel mogelijk van de door de gebruiker geinstalleerde firewalls en virusscanners uit te schakelen. Op die manier maakt het de computer kwetsbaarder voor deze en nieuwe virussen en trojans.
  • Het programma installeert een achterdeur. Die achterdeur stelt de aanvaller in staat op om een later moment zich toegang te verschaffen tot de besmette computer.
  • Het maakt van de computer een open proxy en meldt zich vervolgens bij de beheerder van het porksiop.info botnet. Met deze terugmelding worden allerlei gegevens doorgegeven aan de beheerder, zoals het IP adres en de open proxy port op de besmette computer. De beheerder verkoopt of verhuurt deze open proxies vervolgens aan spammers die om open proxies verlegen zijn.
  • Tenslotte heeft de trojan de mogelijkheid om een andere trojan te downloaden, dat gebeurt via domain-name.biz. Het is niet helemaal duidelijk of die nieuwe trojan ooit ook echt op domain-name.biz beschikbaar is geweest.

Op 15 april 2005 wordt met een speciaal geprepareerd honeypot systeem een porksiop.info trojan besmetting gesimuleerd. Er komen drie spammers op de honeypot af: een (waarschijnlijk) Russische spammer, de “jpeg” spammer vanaf de hierboven genoemde Megaprovider IP adressen (spamruns van 15 en 16 april 2005) en zijn collega “ndgs” vanuit het IP adres 219.153.10.141.

Dit specifieke geval toont met grote waarschijnlijkheid aan dat de “jpeg” spammer zijn spam ook verstuurt via computers die besmet zijn met een trojan en worden gecontroleerd door een botnetwerk.

Megaprovider’s mailservers in blocklists een probleem?

Een ander ding dat ik me al een tijdje afvroeg is, hoe kan Megaprovider zijn bedrijf blijven draaien zonder een probleem te ondervinden van zijn listing in een groot aantal private blocklist en DNS blocklists als de SBL van Spamhaus? Het antwoord is waarschijnlijk even voorspelbaar als simpel, Megaprovider gebruikt (soms) simpelweg mailservers met een IP adres buiten hun eigen range:

Received: from smtp.zeldaservices.biz (smtp.zeldaservices.biz [64.151.68.188]) by mx1.[munged] (Postfix) with ESMTP for <[munged]@[munged]>; [munged] May 2005 [munged] +0200 (CEST)

Deze e-mail (complete header) van een medewerker van Megaprovider werd vanaf een XS4ALL IP (XS4ALL) via een mailserver in het IP space (SERVEPATH-BLK4) van ServePath verzonden. Al lijkt het recent beter te gaan, Servepath had in ieder geval in het verleden geen probleem met spammers.

Ik ga er vanuit dat deze medewerker deze e-mail van zijn prive-aansluiting vandaan verzond, vandaar de XS4ALL dsl verbinding. Maar, in dat geval blijft die mailserver bij ServePath interesant. Want waarom zou een mailinglist server bij Megaprovider alle e-mail via deze mailserver bij ServePath routeren (als “smarthost”)?

Received: from smtp.zeldaservices.biz [64.151.68.188]:[munged] (helo=smtp.zeldaservices.biz) by [munged] with esmtp id [munged] for [munged]; Sun, [munged] Jun 2005 [munged] +0200
Received: from nld99 by s02.vanleuven.com with local (Exim 4.24) id [munged] for [munged]; Sun, 26 Jun 2005 [munged] +0200

Van Leuven maakt gebruik van de diensten van Megaprovider. De mailinglist server draait op s02.vanleuven.com, met als IP adres 80.71.70.58. Dat IP adres is opgenomen in een aantal blocklists, waar onder die van Spamhaus. Als de e-mail rechtstreeks vanaf deze server afgeleverd zou worden, zou deze e-mail op veel plaatsen niet aankomen. Door de e-mail via een server buiten de Megaprovider range te routeren, wordt deze blokkade omzeild.

Gebruik maken van deze relay doet Megaprovider ook al een tijdje, gezien e-mails van een paar maanden terug:

Received: from smtp.zeldaservices.biz (customer-reverse-entry.64.151.68.188 [64.151.68.188] (may be forged)) by [munged] (8.10.2/8.10.2) with ESMTP id [munged] for [munged]; [munged] Jul 2004 [munged] +0200

Received: from smtp.zeldaservices.biz (unknown [64.151.68.188]) by [munged] (Postfix) with ESMTP id [munged] for [munged]; [munged] Jun 2004 [munged] +0200 (CEST)

Received: from smtp.zeldaservices.biz (unknown [64.151.68.188]) by [munged] ([munged]) with ESMTP id [munged] for [munged]; [munged] Apr 2004 [munged] +0200 (CEST)

Het is zeer waarschijnlijk dat Megaprovider op deze manier meerdere sytemen heeft ingericht. Er zijn nog minstens een tweetal andere IP adressen buiten de IP reeks van Megaprovider die worden gebruikt voor de verzending van e-mail. De server smtp.zeldaservices.biz wijst naar 64.151.68.188, zelda.zeldaservices.biz wijst weer naar 64.151.69.236, het is echter een en dezelfde server.

De naam “Zelda” komen we vaker in relatie tot Megaprovider tegen, maar dat kan toeval zijn natuurlijk.

Update 1: Beide Servepath IP adressen zijn opgenomen in de Spamhaus SBL (SBL28402 en SBL28403), een paar uur nadat deze tekst is gepubliceerd.

Update 2: En 36 uur verder, Servepath meldt “customer disconnected”.

Credits

Een groot deel van deze informatie is gebaseerd op het voortreffelijke werk van met name Feike Hacquebord. Anderen die een inhoudelijke bijdrage hebben geleverd zijn Carel Bitter, Johan Haagsma en enkele anderen die liever niet bij naam genoemd willen worden.

De vertaling is verzorgd door JPV.