Tag Archives: spammers

leuke phishing mail, zogenaamd van Ziggo

Ik woon in het territorium van UPC, dus die mail is niet zo toepasselijk.

En jammer dat ze geen werkende abuse@ hebben, nu moeten ze het van anderen horen.

Geachte Klant,

Ziggo WifiSpots
Wanneer u een Wi-Fi modem heeft, biedt deze een WifiSpot aan via een tweede, gescheiden draadloos netwerk. De internetsnelheid van uw privénetwerk verandert helaas nog best veel.
Uw Wi-Fi modem heeft 10 MBit/s minder snelheid beschikbaar gekregen voor de WifiSpot, naast het abonnement waar u voor betaalt. Uw internet thuis wordt hierdoor dus langzamer.
Door ons nieuwe systeem blijft uw privénetwerk op dezelfde snelheid als eerst, zijn de signalen beter en kunt u dus ook nog eens gebruik maken van de WifiSpots.
Om WifiSpots eenmalig in te stellen moet u in de buurt zijn van een Wi-Fi modem. Dit kan uw eigen Wi-Fi modem zijn of bijvoorbeeld dat van de buren.
Als u geen netwerk met de naam Ziggo ziet staan in de lijst met netwerken, raden wij u aan met uw smartphone of tablet naar buiten te lopen.
Het kan namelijk zijn dat u buiten het bereik van een Ziggo Wi-Fi modem bent. Buiten vindt u vaak wel een Wi-Fi modem dat de netwerknaam Ziggo uitzendt.
Ter verificatie van de abonnementhouder, hebben wij het volgende van u nodig:
– Een kopie van uw paspoort, ID of rijbewijs (voor en achterkant)
– Een kopie van uw betaalpas (voor en achterkant)

Om de kopieën te sturen hoeft u enkel te reageren op dit mail adres en dan de kopieën invoegen.
Na de bevestiging van uw gegevens zal er een automatische update plaatsvinden in ons systeem en zal uw privénetwerk weer op oude snelheid zijn.

Let op: Na de bevestiging van uw gegevens duurt het ongeveer 2 weken voordat het proces is afgerond en dat uw privénetwerk sneller gaat. Indien er zich nog problemen optreden, dient u contact op te nemen met Ziggo of te mailen naar: klantenservice@Ziggo.nl

Met vriendelijke groet,

Demi Bakker

Afdeling Wifi.

mooie banners op Telegraaf-sites

Ik werd op de site van een telegraaf-krant vergast op deze popup:
popup

Dat hebben ze weer mooi voor elkaar.

if I’m honest gmail sucks. seriously.

bijverdiensten voor de Telegraaf?

Van het weekend struikelde ik over een banner op de Telegraaf-site:

screenshot 18

blijkens de rechter advertentie zijn ‘kenners’ gedurende het weekend welkom voor hun anabooltjes op speurders.nl. Pas op maandagochtend, na de koffie, zo rond half 11 gaat men eens kijken wat er aan ongewenste advertenties geplaatst is, in het weekend. Lucratief, voor alle partijen.

(aanvulling: het opruimen is niet helemaal goed gegaan.)

zo hadden ze het vast niet bedoeld

screenshot 65

tuning mailservers: go for the low-hanging fruit first

Enough about spammers, let’s tackle tuning a mail-server. After installing munin on a couple of boxes I quickly found some low-hanging fruit to pick. My mail-servers use mysql for many things. A couple of my mysql-servers had their query-cache disabled, which seems default for the linux-distro they use. If your pdns- and postfix-box is glued together with mysql you might have a problem on your hands. Many queries are repeated a number of times. Not caching them leads to many longer-running queries, which leads to a larger number of parallel queries, which leads to more memory-use and more parallel tasks. Your box wil eat memory, processes and file-handles. Load will  increase, throughput will suffer, and within days you’re close to deciding that your cluster need another box. 

Because of the weekend I decided to tune whatever I could, and the results are amazing, even without going deep into high-end tuning. Just picking some low-hanging fruit was sufficient. Before the weekend the mail-server in question was always swapping, had a load of > 15, consumed most of it’s CPU-time waiting for disks to catch up, and was slow in a most unpleasant way. 2 hours later it’s mostly idle, I’ve got memory to spare and the box feels like a Xeon should. Snappy.

The biggest improvement was made by enabling various caches in mysql. Pdns makes loads of queries, and caching those is always good. Some customers get loads of mail, and caching those also helps. After tuning a bit I got a query cache hit-rate of 90%, which quickly translates to 1/10th of the disk-accesses for mysql I had before. Less waiting on disk-access means less parallel queries, so I could lower that too, saving lots of memory, processes and file-handles.

Next up: check your syslog-configuration. Mine was full of doubles, by which I mean things logged in two different files. If you haven’t done anything to syslogd.conf and just installed packages this might be the case. I found out my predecessors did even worse. Every POP3 and IMAP log-in was written to courier.log, mail.log, messages.log and secure.log, which would count as quadruple logging. Realise that *every* log-in incurs four write-actions to logfiles instead of one, and you’ll see why checking makes sense. 

For my tuning I found to more or less overlapping tools to quickly analyze your mysql. The first is mysqltuner which is a perl script that will analyze a running mysql instance and give some advice. The second is tuning-primer.sh which is slightly more verbose, and explains why you should set certain values and offers links to explanations. Both will offer you a certain degree of insight which might be hard to find otherwise. For instance: Many people over-allocate resources to their mysql-server. You might be tempted to allocate 500 parallel connections. But you probably didn’t realise that each connection will require memory and that you thus can allocated more than physical memory. Which might bite you when your machine is heavily loaded and part of your running processes will end up in swap, slowing your machine to the point of unusability. 

The effects of adding query-cache to your mysql

strange behaviour from spammers

That sounds almost to corny to be taken serious. Let me explain. I’m tuning
my mailservers. Due to a sharp increase in spam during the last week things
started to creak and squeek. So turn up my logging, and start with the
low-hanging fruit first. More on that in a future post.

But browsing through logfiles I noticed a strange pattern of behaviour from
certain hosts:

Mar 29 18:57:27 mailfallback1 postfix/smtpd{14421}: NOQUEUE: reject:
RCPT from xxx-218-222-201.adsl.terra.cl{201.222.218.xxx}: 504 5.5.2
{usuario-10c7392}: Helo command rejected: need fully-qualified hostname;
from={knlgresqgef@ xxxxxxxx.com} to={az795113.1731@xxxxxxxx.nl} proto=ESMTP
helo={usuario-10c7392}
Mar 29 18:57:27 mailfallback1 postfix/smtpd{14421}: NOQUEUE: reject: RCPT
from xxx-218-222-201.adsl.terra.cl{201.222.218.xxx}: 504 5.5.2
{usuario-10c7392}: Helo command rejected: need fully-qualified hostname;
from={knlgresqgef@ xxxxxxxx.com} to={az9871@ xxxxxxxx.nl} proto=ESMTP
helo={usuario-10c7392}
Mar 29 18:57:27 mailfallback1 postfix/smtpd{14421}: NOQUEUE: reject: RCPT
from xxx-218-222-201.adsl.terra.cly201.222.218.xxx}: 504 5.5.2
{usuario-10c7392}: Helo command rejected: need fully-qualified hostname;
from={knlgresqgef@ xxxxxxxx.com} to={aza80@ xxxxxxxx.nl} proto=ESMTP
helo={usuario-10c7392}

and 8 more like that from that specific IP. After getting a reject (its HELO
hostname doesn’t resolve) it tried reusing the 11 open sessions for sending
mail to another account, and another, before closing the connection.
Obviously the zombie at the other end doesn’t parse responses.

Looking for more I found many thousands of identical patterned attemps from
as many different hosts over the last couple of hours. This seems to have
started a week ago, give or take a day. Always a relative fresh zombie,
though about half of them already made it to some kind of DNSBL.

Useless waste of bandwidth. Spammers stupid.

for google: multiple connect, mailserver, zombie, spammer, attack