Opnieuw spam verstuurd via Mega Provider

De proxypot (een valstrik voor spammers) van spambestrijder `Giblet’ maakt overuren. Volgens Giblet werd er donderdag opnieuw geprobeerd om via verschillende ip-adressen van de Nederlandse hostingprovider Mega Provider (bekend van de familie Bevelander) spam te versturen.

Dat gebeurde volgens Giblet onder meer vanaf de zes ip-adressen die hij al op 8 maart in zijn `honingpot voor spammers’ was tegengekomen. “Dit is een complete dag nadat Bevelander zelf over de activiteiten van deze ip-adressen heeft gelezen op WebWereld”, aldus Giblet, die ook spamactiviteiten meldde vanaf een nieuw ip-adres van Mega Provider.

In alle gevallen gaat het om ip-adressen die beginnen met `80.71.71…’. “Dat is de range voor dsl-gebruikers”, reageert Martijn Bevelander van Mega Provider. Uit gegevens van het `Register of Known Spam Operations’ (ROKSO) blijkt dat de ip-reeks `80.71.71…’ al jaren voor problemen zorgt.

Boterham

Bevelander ontkent elke betrokkenheid bij de spamactiviteiten. “Wij hebben hier niets mee te maken.” Volgens hem heeft Mega Provider, net als veel andere providers, problemen met gehackte computers en virussen. “Kijk eens op de site van Spamhaus. Daar staan tal van providers die te maken hebben met spamactiviteiten. Schrijf eens een stuk over Uunet of Level3.”

“Wij doen alles om dit uit de wereld te helpen”, valt Henk van Ooyen, eveneens betrokken bij Mega Provider, Bevelander bij. “Het is jammer dat Mega Provider steeds uit het geheel wordt getrokken. Blijkbaar heeft Mega Provider hetzelfde effect op WebWereld als een rode lap op een stier.”

“Wij hebben niet de intentie om enige rotzooi te versturen. We willen niks misdadigs doen, maar iemand probeert ons pootje te haken”, aldus Van Ooyen, die een nieuw onderzoek naar de spamactiviteiten via de ip-adressen van Mega Provider belooft. “Wij willen ook onze boterham verdienen, maar die wordt wel steeds dunner belegd doordat klanten afhaken.”

Compleet nest

Giblet plaatst vraagtekens bij de claim van Mega Provider dat er sprake zou zijn van gehackte computers. Giblet wijst erop dat er bij de betreffende computers geen (Trojaanse) poorten openstonden. “De machines luisterden alleen op poort 21 (ftp) en 3389 (Windows terminal server).” Hij noemt het `verdacht’ dat een `compleet nest van machines’ tegelijkertijd zijn proxypot probeerde binnen te dringen.

De Nederlandse spambestrijder Rejo Zenger deelt de achterdocht van Giblet. “Ik acht het vrij onwaarschijnlijk dat meerdere ip’s naast elkaar, in een range waar bijna alle systemen ‘devnull’ heten, allemaal op hetzelfde tijdstip worden gehackt of met een virus besmet raken en vervolgens ook nog eens allemaal met dezelfde honeypot contact gaan maken om spam te versturen”, aldus Zenger. “Bovendien heeft Mega Provider – om het voorzichtig uit te drukken – `een geschiedenis’.”

Volgens Martijn Bevelander is er niets verdachts aan de hand. “Ze weten niet hoe het netwerk in elkaar zit. Er zijn ook servers met meerdere ip-adressen. Dit verhaal (van Giblet, red.) is vergelijkbaar met iemand die een chef-kok gaat vertellen hoe hij eten moet maken.”

PornSupermodels.com

Volgens Mega Provider zijn de betreffende ip-adressen van twee klanten. “Die hebben we daar inmiddels op aangesproken.” Volgens Martijn Bevelander hebben de twee klanten de adressen aan een wifi-netwerk gekoppeld.

Een verklaring voor de nieuwe spam vanaf deze adressen heeft Mega Provider niet. Hoewel het bericht van `Giblet’ van 11 maart is en gaat over nieuwe pogingen om zijn proxypot te kapen, stelt de provider dat het waarschijnlijk om spam `uit het verleden’ gaat.

In de spam die via de al eerder gebruikte ip-adressen is verstuurd, wordt de site PornSupermodels.com aangeprezen. Het bijbehorende ip-adres is: 209.249.6.182. Dat is eigendom van Phil Doroff (Five Elements), volgens de anti-spamorganisatie Spamhaus. Op vergelijkbare wijze kan het spambericht dat is verstuurd vanaf het nieuw ontdekte adres, worden gekoppeld aan Mike Van Essen (Global Web Promotions).

Schikking

Martijn Bevelander is betrokken geweest bij spampraktijken. De Federal Trade Commission (FTC) voegde de naam van Bevelander om die reden in september 2003 toe aan een zaak (pdf) die de Amerikaanse handelswaakhond eerder al had aangespannen tegen de spammer Brian Westby.

In februari werd bekend dat de FTC de zaak met Bevelander wil schikken. Voor die schikking is de toestemming van de rechtbank nodig. Volgens Martijn Bevelander heeft de rechter deze toestemming inmiddels verleend. “De problemen met de FTC zijn opgelost.” De FTC bevestigt dat de rechtbank inderdaad op 4 maart heeft ingestemd met de schikking.