Jeden z naszych Czytelników otrzymał spam. Spam jak to spam – coś próbował sprzedać. Nasz Czytelnik nie byłby jednak naszym Czytelnikiem, gdyby nie sprawdził konstrukcji linka do wypisania ze spamu. A tam znalazł niespodziankę.
Okazało się, że dzięki mechanizmom obsługującym możliwość rezygnacji z wysyłki każdy użytkownik może najpierw odtworzyć pełną listę grubo ponad miliona adresów email, a następnie wszystkie je z bazy usunąć. Ciekawe, prawda?
Oddajmy głos Tomaszowi, odkrywcy błędu autora komunikacji marketingowej
Taka śmiesznostka z dziedziny specjalistów od PHP z górnej półki i SPAMu Dostałem śmieć z reklamą używanej Skody, a w nim taki zabawny link do wypisania: „Jeżeli chcą Państwo zrezygnować z otrzymywania atrakcyjnych ofert biznesowych w przyszłości, uprzejmie proszę kliknąć TUTAJ”, gdzie „TUTAJ” jest linkiem następującej konstrukcji:
http://5.39.xx.xxx/unsub.php?k=f&a=TU-NUMERYCZNY-ID-POWYŻEJ-1,5-MILIONA
Powyższy skrypt PHP po podaniu we wskazanym parametrze liczby pokazuje ładne potwierdzenie wypisania konkretnego adresu e-mail, przypisanego do podanego identyfikatora NUMERYCZNEGO. Zatem prosty one-liner w Bashu:
for i in `seq 1 2000000`; do \ lynx -source "http://5.39.xx.xxx/unsub.php?k=f&a=$i" \ | cut -d' ' -f8 \ | cut -d'<' -f1; \ done;
lub, jeśli brakuje lynx-a, można wget-em:
for i in `seq 1 2000000`; do \ wget -qO - "http://5.39.xx.xxx/unsub.php?k=f&a=$i" \ | cut -d' ' -f8 \ | cut -d'<' -f1; \ done;
i możemy wszystkich „wypisać” ;-))) lub pobrać darmową bazę, zawierającą prawdopodobnie ponad 1,5mln adresów. I dla uzupełnienia, w mailu był jeszcze drugi link: „W przypadku zainteresowania proszę kliknąć TUTAJ lub skontaktować się bezpośrednio ze sprzedawcą: 505 [xxx] 089 Jacek”. W tym miejscu „TUTAJ” jest linkiem konstrukcji:
http://skodyuzywane.pl/?a=TU-TEN-SAM-NUMERYCZNY-ID-POWYŻEJ-1,5-MILIONA
Dla uzupełnienia fragmenty nagłówka wspomnianego śmiecia:
Return-path: <[email protected]> Delivery-date: Thu, 02 Oct 2014 *:*:* +0200 Received: from [176.122.224.107] (helo=mail.skodyuzywane.pl) by * with esmtp (Exim 4.76) (envelope-from <[email protected]>) id * for *; Thu, 02 Oct 2014 *:*:* +0200 Received: from mail.skodyuzywane.pl (vps24957 [176.122.224.107]) by mail.skodyuzywane.pl (Postfix) with ESMTPA id * for <*>; Thu, 2 Oct 2014 *:*:* +0200 (CEST) Date: Thu, 2 Oct 2014 *:*:* +0200 To: * From: =?utf-8?Q?U=C5=BCywane_Skody?= <[email protected]> Reply-To: =?utf-8?Q?U=C5=BCywane_Skody?= <[email protected]> Subject: =?utf-8?Q?Skoda_kombi._Bezpiecze=C5=84stwo,_jako=C5=9B=C4=87,_zysk.?= Message-ID: <*@mail.skodyuzywane.pl> X-Priority: 3 X-Mailer: PHPMailer 5.2.2 (http://code.google.com/a/apache-extras.org/p/phpmailer/) MIME-Version: 1.0 Content-Type: multipart/alternative;boundary="*"
Autorowi skryptów gratulujemy niefrasobliwego podejścia do problemu.
Komentarze
Podejrzewam, że raczej ten skrypt nie tyle wypisywał maile z listy, co pozwalał potwierdzić, że ten mail jest aktywny :)
Prawda. Przeważnie po to służy link „usunięcia z bazy”. Jeżeli tak było w tym przypadku to autor skryptu wyświadczył wilczą przysługę potwierdzając 1,5M adresów email :>
co więcej, link nie tylko nie usuwa z bazy, najczęściej przenosi „do usuniętych” (czyt. potwierdzonych :) )
Na 99% jest dokładnie tak jak mówisz.
I teraz te 1,5 mln adresów będzie otrzymywać SPAM znacznie częściej bo przecież „ktoś jest po drugiej stronie” i klika w linki z treści. Dziękujemy ci „Nasz Czytelniku’!
Chciałem tylko przypomnieć, że autor tekstu nie uruchomił wspomnianego skryptu.
… on.. nie… ;)
a co jesli ktos chial byc na tej liscie? usuniecie jego maila bez jego zgody to chyba nie do konca fajne nie? :>
twój wpis to równie niefrasobliwe podejście do tematu. :D
Tak, bo każdy chcę dostać informację o używanych Skodach.
Spokojnie, Panowie, po pierwsze, nie uruchomilem skryptu, sprawdziłem unsub.php na kilku numerach, które otrzymałem na moje adresy (stąd wniosek, że baza jest harvestowana z WWW, np. z zaparkowanych domen itp.). Po drugie – naprawdę uważacie, że człowiek, który chce ZWERYFIKOWAĆ swoją bazę poprzez oszustwo (podpuszczanie adresatów do wypisania w celu potwierdzenia prawidłowości adresu) zrobi to w tak nieprzemyślany i podatny na manipulację sposób? To co mnie tu przeraziło, to że skrypt po podaniu numerycznego ID wypluwa potwierdzenie, które zawiera w treści adres e-mail, który został „wypisany” (potwierdzony, whatever). Nie szukajcie dziury w całym, nie gdybajcie, co by było, gdyby ktoś chciał jednak otrzymywać śmieci o używanych skodach, tylko skupcie się na bezpieczeństwie :-)
Lubię Basha, używam go na co dzień, często nadużywam, a ten spam był fajnym przykładem jak udowodnić, że UzywaneSkody zatrudnia programistów PHP płacąc im prawdopodobnie stawkę rzędu 2zł za godzinę pracy. Oprócz nadużywania Basha zajmuję się zawodowo poprawianiem po takich fachowcach za bułkę, którzy nie dość, że psują rynek, to zagrażają bezpieczeństwu. Taki gość obsłuży jedną firmę, drugą firmę, a potem nagle napisze coś dla urzędu albo przychodni, bo wygra przetarg (przebijcie jego stawkę) i wtedy może się zrobić nieciekawie :-)
Peace & Love <3
Zatem oficjalnie Ciebie jak i Z3S rozgrzeszam ;)
Myślę, że nic nie stoi na przeszkodzie, żeby ktoś chciał tak weryfikować adresy. Ktoś chce rozpocząć własny biznes, jest przeświadczony o fajności swojego kodu i nie ma pojęcia o błędzie – tyle wystarczy. Można sobie pooglądać fora, gdzie takich ludzi jest mnóstwo. Takie w stylu „jak zrobić X? Napiszcie mi cały kod” i zaraz jest 5 odpowiedzi – cztery nie dotyczą tematu, a jedna pozwlająca na takie sztuczki.
Nie trzeba zakładać, że spamer potrafi sobie przygotować skrypt :) Może mu się tylko tak wydawać.
Frędzel sorry, ale bredzisz.
Tacy ludzie nie psują rynku tylko go napędzają. Nikt nie rodzi się profesjonalistą i każdy zaczynał od robienia błędów (no chyba, że Ty zawsze pisałeś kod najwyższej jakości bez żadnych luk bezpieczeństwa). Dzięki temu małe firmy, które nie mają pieniędzy żeby zapłacić za usługi najwyższej jakości mogą zatrudnić studenta, który przygotuje taki dziurawy skrypt za obiad i wszyscy będą zadowoleni. Branża się rozwija, jest praca dla młodych, którzy na takich projektach mogą zdobyć doświadczenie niezbędne do dalszej kariery a małe firmy mają szanse zaistnieć. Dzięki temu też, profesjonalni programiści nie muszą użerać się z klientami którzy będą targowali się o każdy grosz bo ci już wiedzą, że mając dużą firmę w internecie, która musi działać, nie wolno oszczędzać na oprogramowaniu.
szkoda, ze piwa tu sie nie da postawic.
Skąd autor wiadomości wziął mój adres IP?
Czy mój serwer wysyłał ten spam czy to jest tylko przypadek że moje IP też się zaczyna na 5.39 ?
Czy adres IP to 5.39.84.206?
Bo to jest moje.
Nie jest to Twój adres :-)
U mnie jest 400 Bad Request.
„Napisałem kod ale go nie użyłem” – suchar dnia , który padł tuż po tym, jak ktoś wspomniał, zgodnie z prawdą zresztą, iż te linki służą do potwierdzania adresów, a nie do ich usuwania. You made my day!
Płacz o taniej konkurencji – czyli da się taniej, poza tym to zwykłe prawa rynku. Jak kiedyś potrzebowałem rozwiązania problemu ze skryptem w WordPressie od znajomych informatyków usłyszałem, że za mniej niż 50 PLN na godzinę nie ruszą nawet palcem w bucie. Teraz, gdy sam sobie tworzę różne rzeczy, oraz napisałem automat do Spamcopa to powinienem brać podobne stawki? Sami sobie napędzacie konkurencję wysokimi stawkami, a potem na piwie ze znajomymi lub w sieci lamentujecie o małej ilości zleceń i „konkurencji psującej rynek”. No offence.
Masz prawo myśleć jak Ci się podoba. Płacz taniej konkurencji? Nie narzekam na konkurencję. Zleceń mam tyle, że 80% bezczelnie odrzucam, taki mam luksus. Do mnie zgłaszają się np. ludzie, którzy skorzystali z takich „tanich” usług, a potem stracili np. klientów, dobrą opinię, czy zaliczyli blokadę serwera, konta, przestój firmy itp. tematy. Moje stawki są dużo wyższe niż 50zł netto za godzinę. Jaki masz problem z WordPressem, doradzę Ci za darmo! Ale znowu zbaczamy z tematu. Znasz może taki projekt jak POLSPAM? Mówi Ci coś np. Mordplik? Wiele lat siedzę w temacie walki ze spamem i nadużyciami, żeby nie znać takich podstaw, że linki do „wypisania” służą również do weryfikacji. Są też inne metody. Zresztą zauważ cytowany w artykule fragment mojej wiadomości do Z3S:
”(…) i możemy wszystkich „wypisać” ;-))) lub pobrać darmową bazę (…)”
Dalej uważasz, że to
„suchar dnia , który padł tuż po tym, jak ktoś wspomniał, zgodnie z prawdą zresztą, iż te linki służą do potwierdzania adresów, a nie do ich usuwania.”
Przecież jako pierwszy o tym wspomniałem, ale nie dosłownie – gdyż założyłem, że Z3S to strona dla ludzi myślących, siedzących w bezpieczeństwie, którym takich podstaw nie trzeba tłumaczyć jak „krowie na rowie” :-)
No i nie odniosłeś się do mojego:
„Po drugie – naprawdę uważacie, że człowiek, który chce ZWERYFIKOWAĆ swoją bazę poprzez oszustwo (podpuszczanie adresatów do wypisania w celu potwierdzenia prawidłowości adresu) zrobi to w tak nieprzemyślany i podatny na manipulację sposób?”
Naprawdę uważasz, że ktoś może być jednocześnie taki przebiegły (rzekome wypisanie jest weryfikacją) i zarazem taki ograniczony intelektualnie, konstruując takie linki?
Miało być wesoło, a robi się żenująco :-} Odnośnie tego, że Twoi znajomi nie chcą pracować za mniej niż 50zł za godzinę pracy programistycznej, może muszą płacić ZUS i podatki i nie moga sobie pozwolić na darmowe godziny? Może już zbyt wiele godzin w życiu przepracowali za darmo i teraz, poświęcając życie rodzinne/towarzyskie, próbują swoją wiedzą zarobić na coś do garnka? Może dzięki temu, że zapłacisz za godzinę 50zł Twój problem zostanie od ręki rozwiązany w fachowy i sprawdzony sposób, a nie za darmo, gdzie nikt nie weźmie żadnej odpowiedzialności za to, co Ci doradzi i jakie będą skutki takiej pomocy? A jeśli taka praca nie jest warta 50zł, czyli załóżmy warta jest 20zł, to możesz przecież się tego nauczyć w godzinę, dwie, czemu zatem się tego nie nauczysz? Przecież wystarczy przeczytać dokumentację WordPress-a, codex, pogrzebać w źródłach i problem rozwiązany. Zajmie Ci to w sumie 5-10 godzin, ale będzie „za darmo”. A moze po prostu to nie są Twoi kumple. Może w ogóle nie masz kumpli (żeby nie było niejasności, jak poprzednio, nawiązuję do prelekcji Linusa na temat Git: „We have five, seven, ten close, personal friends. Well, we’re geeks, so we have two.” http://youtu.be/4XpnKHJAok8 około 31 minuty)?
I potem jest narzekanie, że w Polsce pracodawcy tak źle płacą. Który specjalista IT, czy programista, będzie pracował za 10Euro za godzinę? A według Ciebie w Polsce 50zł to już przesada i sodówka niektórym uderzyła do głowy? Ależ oczywiście. Data center też mi całą infrastrukturę dzierżawi za 50zł, zapasowe dc też, ZUSu też mam 50zł, za prąd też płacę 50zł. Sprzęt pewnie znajduję cały pod choinką, a licencje na oprogramowanie znajduję dziwnym trafem w skrzynce na listy. Za darmo :-) Pracownikom płacę pewnie 5zł za godzinę, bo przecież im jeszcze nie odwaliło tak jak mnie, więc piątak za godzinę jest OK. Do lekarza też chodzę do opłaconej ubezpieczeniem zdrowotnym przychodni i kwitnę tam cały dzień, olewając klientów, no bo kto bogatemu zabroni ;-) A przecież mógłbym pójść prywatnie i od ręki zostać przyjętym i zapłacić … 50 złotych za godzinę? Nie, 150 złotych za 10 minut pracy lekarza i receptę. A potem w aptece pani mi da leki za 50 zł? Wątpię :-)
Odpowiedzialności za swoją prace tez nie ponoszę żadnej, nic mi nie grozi za niedotrzymanie warunków umów, za narażanie klienta na utratę reputacji, przestoje, wycieki danych, żadnego ryzyka itd. Żyć nie umierać!
No i żeby Cię dobić psychicznie, przemnóż sobie, 8 godzin dziennie, 5 dni w tygodniu, przez 4 tygodnie w miesiącu. To jest 160 godzin. Przemnóż to przez stawkę np. 25zł za godzinę, potem odejmij od tego VAT, dochodowy, ZUS, ubezpieczenie, koszty (sprzęt, licencje, drukarki, tonery, telefony, infrastrukturę teleinformatyczną, reklamę, kawę, itd.). I jeszcze utrzymaj dom, rodzinę, rozwijaj firmę, miej czas na edukację, sprawdzanie nowych technologii, poszerzanie oferty, zatrudnianie i szkolenie pracowników itd. I załóż, że to jest optymistyczny scenariusz, bo przecież nikt Ci nie zagwarantuje, że na każdą z tych 160 godzin w miesiącu znajdziesz klienta.
Coś mi się zdaje, że zrozumienie tego jeszcze przed Tobą. Pojmiesz wtedy, że z reguły taniej jest czegoś nie robić w ogóle, niż robić po zaniżonej stawce, bo prędzej czy później obróci się to przeciwko Tobie i przygniecie :-) I nie zrozum mnie źle, im więcej na rynku jest takich pseudoprogramistów, tym moi klienci są bardziej zadowoleni z profesjonalnej obsługi, którą im zapewniam. I nie patrzą wtedy na cenę.
Klient „po przejściach”, który już zaliczył wtopę z nieodpowiedzialnymi przygłupami, jest bardo dobrym i wdzięcznym klientem, jeśli tylko dostanie się w ręce odpowiedzialnych ludzi, którzy szanują klienta, jego czas i własny czas.
Myślisz, że nie miałem klientów, którzy przez rok-dwa ignorowali wszelkie zalecenia, potem dali się skusić ofertą dziesięciokrotnie tańszą, uciekali do tej – jak ich to nazwałeś – „konkurencji”, ta „konkurencja” następnie udawadniała klientowi, że źle zrobił idąc do nich i potem taki klient wraca. Wraca, po przejściach i jest gotów płacić 50-100% więcej niż płacił przed odejściem, bo dopiero po przejściach zaczyna doceniać co miał. Jakość. Profesjonalizm. A to kosztuje. Musi kosztować.
„(…) Ile cię trzeba cenić, ten tylko się dowie,
Kto cię stracił. Dziś piękność twą w całej ozdobie
Widzę i opisuję, bo tęsknię po tobie.”
Taki klient robi później też najlepsza reklamę, bo opowiada swoim znajomym o Twojej firmie w roli wybawcy, który uratował go przed całkowitą katastrofą i zapewnił stabilność, bezpieczeństwo, profesjonalizm, spokój prowadzenia biznesu.
Ale oczywiście, jak wspomniałem na samym początku, masz prawo mieć drastycznie inne zdanie na ten temat i śmiało, zachęcam Cię do bycia moją konkurencją, pracy po kosztach, zatyrania się na śmierć. Tylko się zastanów, jak długo tak wytrzymasz i czy będziesz wtedy w stanie się jeszcze rozwijać? Bo stojąc w miejscu, wypadniesz z gry.
Z mojej strony EOT.
Z mojej też EOT, bo nie zrozumiałeś, no i nie wiedziałem, że karmię trolla.
Kreujesz się na wielkiego specjalistę, a tymczasem projekty tworzone w PHP za 50 od godziny, to nic wielkiego ani poważnego. Portale internetowe stawia się np. na Liferay-u i rozbudowuje w Javie. Ogromne aplikacje internetowe tworzy się w Javie (oprócz tego, w mniejszym stopniu, wykorzystywanych jest jeszcze wiele innych technologii – w jednym projekcie), uruchamia na Jbossi-e oraz integruje z platformą relacyjną ATG. Oparte jest to na bazie danych Oracle. Jako CMS używany jest np. DynaXML (polski produkt). Tworzenie i utrzymanie takich projektów nawet dziesięciokrotnie przekracza stawkę 50 zł za godzinę, i to w przeliczeniu na jedną osobę, a nad takimi projektami pracuje np. 100 osób (takie projekty tworzone są w naszym kraju).
Zanim zaczniesz się przechwalać, że musisz poprawiać pracę lamerów, zastanów się, czy naprawdę masz się czym chwalić.
Frędzel czy jest sposób na spam ? Mam The Bat ! i szukam czegos, najlepiej bezplatnego, do usuwania spamu. Mam konto na interii, a ilosc spamu jest tam narastajaca. Pisalem do nich ale mija sie to z celem … Oni nie potrafia napisac filtrow.
Z jakich filtrow korzystasz ? Jak to podpiac do The Bat ! ? Jesli to platne ile to kosztuje ?
Czy sa alternatywne bezplatne metody ? Ewentualnie inny klient poczty, abym np mogl na serwerze kasowac emaile.
@Wiesiek: jeśli chodzi o filtry to poczytaj stopki spamu. W zależności od Twoich zapotrzebowań, może się okazać, że dużo możesz wywalić zwykłymi regułkami. Przykładowo dużo firm powołuje się niesłusznie na jakiś paragraf. Można wyłapywać nawiązania do tego paragrafu. Potem rzeczy jak „usuń mnie z listy”. Kiedyś dostawałem po kilkanaście listów z konferencji na Ukrainie. Mogłem wywalać wszystkie dotyczące tego, bo nikt mnie tam nie zaprasza. Jakby mnie zapraszali, to trzeba by to załatwić inaczej, stąd mówiłem o tych Twoich zapotrzebowaniach. Teraz dostaję dużo spamu, który też jest dośc stały: tekst, na końcu zawsze link do jakiegoś konkretnego skracacza linków. Można dodać filtr, żeby wywalał maile z linkiem z tej domeny, bo u mnie tylko spamerzy z tego korzystają.
Systemy antyspamowe uczą się z czasem, ale na niektórych kontach mam tyle spamu, że nie opłaca się nawet wyklikiwać każdy spam.
Klient poczty, który pozwala kasować emaile na serwerze – każdy obsługujący protokół IMAP. Używam Thunderbirda (jest darmowy, także do użytku komercyjnego) i pod względem spamu (średnio 100-200 na dzień) w 1-2 godziny samymi filtrami udało mi się ustawić wyłapywanie tak, że mam ok. 5-10 poza folderem ze spamem.
Jakbym mógł jeszcze jakoś pomóc, to powiedz.
Ja nie narzekam, dobrych zleceń mi nie brakuje. Tylko wkurzają mnie ludzie, którzy zawracają tyłek, a potem chcą płacić tyle, że nawet na bułki by mi nie starczyło (a jest ich sporo). Wkurza mnie to, ile czasu marnuję na filtrowanie tego. :P
Autor tej bazy bardzo profesjonalnie ukrywa swoją tożsamość. Wystarczy wpisać adres IP w wyszukiwarkę, aby odnaleźć wszystkie dane. Pozdrawiam panie Marku z Dolnośląskiego.
A znacie to: http://www.ford.com/server-status/ ? Ładna strona, mi się podoba.
http://www.apache.org/server-status ;)
A czytałeś pierwsze zdanie od góry w czerwonej ramce? ;o)
https://zaufanatrzeciastrona.pl/post/dane-czesci-klientow-sklepu-empik-com-w-glebokim-ukryciu/
Ja akurat szukam używanej Skody Fabii 1.2 TSI…
Używanie tego skryptu w powyższej formie nie ma wielkiego sensu ani w przypadku, jeśli wypisuje adresy, ani jeśli potwierdza. Jedyne zastosowanie w tej formie to IMO pobranie bazy (i od teraz maile z tej bazy możemy tyułować „adresami pozyskanymi z powszechnie dostępnych źródeł” ;-)).
Przypadek pierwszy, wypisywanie. OK, skrypt uruchomiony, adresy wypisane. Spamer zorientuje się od razu i albo przywróci bazę z kopii (tu straci trochę danych o klientach, którzy chcieli się wypisać, na pewno będzie płakał…), albo szybko przeparsuje logi i cofnie wszystkie zmiany zrobione hurtem z jednego IP.
Przypadek drugi, potwierdzanie. Spamer może się nie zorientować i wtedy – paradoksalnie – akcja ma jakiś sens, bo straci trochę zasobów na wysyłanie kolejnych reklam pod nieistniejące adresy. Tyle, że spamerów z założenia średnio interesuje, czy ktoś to czyta, dopiero odrzucanie przez serwery w hurtowych ilościach może ich boleć. Spam is cheap.
Dlatego niespecjalnie jest sens zakładać, że spamer jest idiotą i go przechytrzyliśmy. Lepiej skorzystać ze sprawdzonych metod, typu Spamcop. Też nie zawsze działa, ale czasem pomaga. Dla leniwych komentujący wyżej Monter zrobił przyjemy automat do autozatwierdzania zgłoszonych spamów. Mniej klikania w linki. Ja zgłaszam ręcznie…
BTW z niekonwencjonalnych metod utrudniania życia spamerom: http://ovh.ghostkeeper.mooo.com/wypasanie/ (dostosowana do polskich warunków wersja http://spam-ip.com/labyrinth/ Tylko od razu ostudzę zapał: nie wiem, czy po prostu jeszcze harvestery nie znalazły, czy to po prostu nie działa, ale niespecjalnie widzę wejścia, mało wejść masowych, a jeśli już, to raczej z niszowych wyszukiwarek (czyli psuję wyszukiwarki, zamiast karmić spamerów ;-/). Czyli znowu: nie tacy spamerzy głupi, na jakich wyglądają.
PS Ukrywanie przez rozmycie, zamiast zamazania celowe, by dało się odczytać adres? ;-)
eat cheaper bulkas!
anyway dobry filterek i spam się dusi.
Żebyś mógł użyć filterka ktoś musi ten spam zgłaszać a ktoś inny te filterki robić.
Powiedzcie mi tylko po co ktoś miałby ten właśnie sposób weryfikować bazę (przez link wypisania) skoro na rynku jest masa programów takich jak chociażby polski Anomail które potrafią przed wysyłką sprawdzić poprawność adresu a po wysyłce wyłapać twarde i miękkie zwroty.
Kupiłem w TomTop, od tego dnia ciagle jakieś oferty, wypisałem się ale to nic nie dało, jakies rady?
[email protected]