[Operators] Spam from xmppspam.space
postal dude
pstldde at gmail.com
Fri Sep 30 11:00:10 UTC 2016
Hi,
I had a few spam registrations on my XMPP server today. They came from a
russian IP address: 252-201-36-78.baltnet.ru
Usernames:
ejineege30@
daviegril46@
divinesoul11@
confessor@
I've enabled message logging on my server then and found out that
confessor@ started to spam using the commercial XMPP spam service
http://xmppspam.space/.
Extract from the message log (I've obfuscated the receiver address):
Automatic XMPP-spammer /
<D0><90><D0><B2><D1><82><D0><BE><D0><BC><D0><B0><D1><82><D0><B8><D1><87><D0><B5><D1><81><D0><BA><D0><B8><D0><B9>
XMPP-<D1><81><D0><BF><D0><B0><D0><BC><D0><B5><D1><80>
https://xmppspam.space & http://xmppspamc54buwix.onion
11:22:52 SEND: <deleted>@gmail.com:
*<D0><9D><D1><83><D0><B6><D0><BD><D1><8B>*
*<D0><BB><D1><8E><D0><B4><D0><B8>* *<D1><81>*
*<D0><9E><D0><A4><D0><A4>*
*<D1><82><D0><B5><D1><80><D0><BC><D0><B8><D0><BD><D0><B0>
<D0><BB><D0><BE><D0><BC>* *(<D1><80><D1><83><D1><87><D0><BA><D0><B0>).*
*Need* *offline* *pos* *terminal* *(hand* *auth)*
<D0><9D><D1><83><D0><B6><D0><BD><D1><8B>
<D0><BB><D1><8E><D0><B4><D0><B8> <D0><B4><D0><BB><D1><8F>
<D0><BE><D0><B1><D0><BD><D0><B0><D0><BB><D0><B0>
<D0><BD><D0><B0><D1><88><D0><B5><D0><B3><D0><BE>
<D0><BC><D0><B0><D1><82><D0><B5><D1><80><D0><B8><D0><B0><D0><BB><D0><B0>
<D0><BD><D0><B0> OFF <D0><B8> ON
<D1><82><D0><B5><D1><80><D0><BC><D0><B8><D0><BD><D0><B0><D0><BB><D0><B0><D1><85>
(<D1><80><D1><83><D1><87><D0><BA><D0><B0>). <D0><A1>
<D1><83><D0><BC><D0><BC><D1><8B>
<D0><B8><D0><B7><D0><B2><D0><B5><D1><81><D1><82><D0><BD><D1><8B><D0><B5>,
<D0><B0> <D0><B8><D0><BC><D0><B5><D0><BD><D0><BD><D0><BE>,
<D0><B4><D0><B5><D0><BB><D0><B0><D0><B5><D0><BC> <D1>
<81><D0><B0><D0><BC><D0><B8>.
<D0><98><D1><89><D0><B5><D0><BC> <D0><BF><D0><BE><D0><B4> %
<D0><BF><D0><B0><D1><80><D1><82><D0><BD><D0><B5><D1><80><D0><BE><D0><B2>.
(<D1><85><D0><BE><D1><80><D0><BE><D1><88><D0><B8><D0><B9> % -
<D1><81><D1><82><D0>
<B0><D0><B1><D0><B8><D0><BB><D1><8C><D0><BD><D1><8B><D0><BC>
<D0><BB><D1><8E><D0><B4><D1><8F><D0><BC>)
<D0><A0><D0><B0><D0><B1><D0><BE><D1><82><D0><B0><D0><B5><D0><BC>
<D1><82><D0><BE><D0><BB><D1><8C><D0><BA><D0><BE> <D0><B2>
<D0><BE><D0><BD>-<D0><BB><D0><B0><D0><B9><D0><BD>
<D1><80><D0><B5><D0><B6><D0><B8><D0><BC><D0><B5> (<D1><83>
<D0><B0><D0><BF><D0><BF><D0><B0><D1><80><D1><82><D0><B0> -
<D0><BE><D1><82> <D0><BD><D0><B0><D1><81>
<D0><BC><D0><B0><D1><82><D0><B5><D1><80><D0><B8><D0><B0><D0><BB>).
<D0><95><D1><81><D0><BB><D0><B8> <D0>
<BD><D1><83><D0><B6><D0><BD><D0><B0> <D1><81><D0><BC><D1><81> -
<D1><82><D0><B0><D0><BA> <D0><B6><D0><B5>
<D0><BF><D1><80><D0><B5><D0><B4><D0><BE><D1><81><D1><82><D0><B0><D0><B2><D0><B8><D0><BC>
(<D0><B3><D0><BE><D1><82>
<D0><BE><D0><B2><D1><8B>
<D0><BF><D1><80><D0><B8><D0><B5><D1><85><D0><B0><D1><82><D1><8C>).
<D0><9E><D0><B1><D1><8F><D0><B7><D0><B0><D1><82><D0><B5><D0><BB><D1><8C><D0><BD><D0><B0>
<D0><B2><D0><B8><D0><B4><D0><B5><D0><BE><D1><81><D1><8A><D0><B5><D0><BC><D0><BA><D0><B0>,
<D1><82><D0><BE> <D0><B5><D1><81><D1>
<82><D1><8C> <D0><B2><D0><BE> <D0><B2><D1><80><D0><B5><D0><BC><D1><8F>
<D0><B2><D0><B1><D0><B8><D0><B2><D0><B0>,
<D0><BD><D0><B5><D0><B2><D0><B0><D0><B6><D0><BD><D0><BE>
<D0><BA><D0><B0><D0><BA><D0><BE><D0><B9> <D1><80>
<D0><B5><D0><B7><D1><83><D0><BB><D1><8C><D1><82><D0><B0><D1><82>.
<D0><A1><D1><83><D0><BC><D0><BC><D1><8B>
<D0><BB><D1><8E><D0><B1><D1><8B><D0><B5> -
<D1><80><D0><B0><D0><B1><D0><BE><D1><82><D0><B0> <D0><BD><D0><B5>
<D1><80><D0><B0><D0><B7><D0><BE><D0><B2><D0><B0><D1><8F>, <D0><B0>
<D0><BF><D0><BE><D0><BA><D0><B0>
<D0><BA><D1><80><D1><83><D1><82><D0><B8><D1><82><D1><81><D1><8F>
<D0><BF><D0><BB><D0><B0><D0><BD><D0><B5><D1><82><D0><B0>.
<D0><97><D0><B0> <D0><B1><D0><BE><D0><BB><D0><B5><D0><B5>
<D0><B4><D0><B5><D1><82><D0><B0><D0><BB><D1><8C><D0><BD><D0><BE><D0><B9>
<D0><B8><D0><BD><D1><84><D0><BE><D1><80><D0><BC><D0><B0><D1><86><D0><B8><D0><B5><D0>
<B9> <D0><B8> <D1><83><D1><81><D0><BB><D0><BE><D0><B2><D0><B8><D0><B9>
<D1><81><D1><82><D1><83><D1><87><D0><B8><D1><82><D0><B5><D1><81><D1><8C>.
I've purged all these accounts from my server and blocked the IP via
iptables.
Regards
More information about the Operators
mailing list