I came across something intresting a few weeks ago a dev server of mine got compromised.. teach me for not patching wordpress ;) the compromise then ran a bot that was sending these emails out templated i wonder how many fake emails go out?<br><br>On Friday, July 8, 2016, A <<a href="mailto:clonemeagain@gmail.com">clonemeagain@gmail.com</a>> wrote:<br>> Cloudflare have an interesting article on it: <a href="https://blog.cloudflare.com/empty-ddos-threats-meet-the-armada-collective/">https://blog.cloudflare.com/empty-ddos-threats-meet-the-armada-collective/</a><br>><br>> On 8 Jul 2016 11:15 pm, "Keith Anderson" <<a href="mailto:keitha@apcs.com.au">keitha@apcs.com.au</a>> wrote:<br>>><br>>> Hi All,<br>>> Glad we have DoS filtering in place, hope it works.<br>>> received this one yesterday.<br>>> Have a good weekend all, <br>>> ### HEADER<br>>><br>>> Received: from removed [x.x.x.x])<br>>> by removed (Postfix) with ESMTP id E077333F9F<br>>> for <systemadmin@removed>; Thu,  7 Jul 2016 15:04:38 +1000 (PGT)<br>>> X-ASG-Debug-ID: 1467867840-06ff6519594ed72d0001-Vn5JKc<br>>> Received: from <a href="http://ks3293195.kimsufi.com">ks3293195.kimsufi.com</a> (<a href="http://ks3293195.kimsufi.com">ks3293195.kimsufi.com</a> [5.135.186.134]) by filter1-removed with ESMTP id zxmM3rWeIgLfLFeL for <Removed>; Thu, 07 Jul 2016 05:04:02 +0000 (GMT)<br>>> X-Barracuda-Envelope-From: <a href="mailto:armada.collective@gmail.com">armada.collective@gmail.com</a><br>>> X-Barracuda-Effective-Source-IP: <a href="http://ks3293195.kimsufi.com">ks3293195.kimsufi.com</a>[5.135.186.134]<br>>> X-Barracuda-Apparent-Source-IP: 5.135.186.134<br>>> From: Armada Collective <<a href="mailto:armada.collective@gmail.com">armada.collective@gmail.com</a>><br>>> To: <sysadmin@removed><br>>> Subject: ATTENTION: Ransom request!!!<br>>> X-Barracuda-Connect: <a href="http://ks3293195.kimsufi.com">ks3293195.kimsufi.com</a>[5.135.186.134]<br>>> X-Barracuda-Start-Time: 1467867841<br>>> X-Barracuda-URL: XXX<br>>> X-ASG-Orig-Subj: ATTENTION: Ransom request!!!<br>>> X-Barracuda-Scan-Msg-Size: 1266<br>>> X-Virus-Scanned: by bsmtpd at XXXX<br>>> X-Barracuda-BRTS-Status: 1<br>>> X-Barracuda-Spam-Score: 2.00<br>>> X-Barracuda-Spam-Status: No, SCORE=2.00 using global scores of TAG_LEVEL=4.5 QUARANTINE_LEVEL=1000.0 KILL_LEVEL=5.0 tests=MISSING_DATE, MISSING_MID, PLING_PLING<br>>> X-Barracuda-Spam-Report: Code version 3.2, rules version 3.2.3.31081<br>>> Rule breakdown below<br>>>  pts rule name              description<br>>> ---- ---------------------- --------------------------------------------------<br>>> 0.14 MISSING_MID            Missing Message-Id: header<br>>> 1.40 MISSING_DATE           Missing Date: header<br>>> 0.46 PLING_PLING            Subject has lots of exclamation marks<br>>> Message-ID: <20160707050438.7DECC16CC0B3@filter1-XXX><br>>> Date: Thu, 7 Jul 2016 05:04:38 +0000<br>>> Return-Path: <a href="mailto:armada.collective@gmail.com">armada.collective@gmail.com</a><br>>> MIME-Version: 1.0<br>>> Content-Type: text/plain<br>>> X-MS-Exchange-Organization-Network-Message-Id: 07157968-b5a4-4cfa-da65-08d3a624c308<br>>> X-MS-Exchange-Organization-AVStamp-Enterprise: 1.0<br>>> X-MS-Exchange-Organization-AuthSource: POM.local<br>>> X-MS-Exchange-Organization-AuthAs: Anonymous<br>>> ### END FULL HEADER<br>>><br>>><br>>> -----Original Message-----<br>>> From: Armada Collective [mailto:<a href="mailto:armada.collective@gmail.com">armada.collective@gmail.com</a>] <br>>> Sent: Thursday, 7 July 2016 3:05 PM<br>>> To: Removed<br>>> Subject: ATTENTION: Ransom request!!!<br>>><br>>> FORWARD THIS MAIL TO WHOEVER IS IMPORTANT IN YOUR COMPANY AND CAN MAKE DECISION!<br>>><br>>> We are Armada Collective.<br>>><br>>> All your servers will be DDoS-ed starting Saturday (Jul 9 2016) if you don't pay 5 Bitcoins @ 14T7TxDxhhpYtgNgrK1hpe4UsfULZDhFoC<br>>><br>>> When we say all, we mean all - users will not be able to access sites host with you at all.<br>>><br>>> Right now we will start 15 minutes attack on your site's IP X.X.X.X It will not be hard, we will not crash it at the moment to try to minimize eventual damage, which we want to avoid at this moment. It's just to prove that this is not a hoax. Check your logs!<br>>><br>>> If you don't pay by Saturday, attack will start, price to stop will increase by 5 BTC for every day of attack.<br>>><br>>> If you report this to media and try to get some free publicity by using our name, instead of paying, attack will start permanently and will last for a long time.<br>>><br>>> This is not a joke.<br>>><br>>> Our attacks are extremely powerful - sometimes over 1 Tbps per second. So, no cheap protection will help.<br>>><br>>> Prevent it all with just 5 BTC @ 14T7TxDxhhpYtgNgrK1hpe4UsfULZDhFoC<br>>><br>>> Do not reply, we will probably not read. Pay and we will know its you. AND YOU WILL NEVER AGAIN HEAR FROM US!<br>>><br>>> Bitcoin is anonymous, nobody will ever know you cooperated.<br>>> ———————————<br>>><br>>><br>>> apcs<br>>> Keith Anderson l Managing Director<br>>> AUS Mobile. +61 400 947 947 <br>>> Fax.  <br>>> 1300 7654 27<br>>> PNG Phone. +675 303 1236  Mobile. +675 76 947 947   Fax. +675 325 9066<br>>> Email. <a href="mailto:keitha@apcs.com.au">keitha@apcs.com.au</a> l Web. <br>>> <a href="http://www.apcs.com.au">www.apcs.com.au</a><br>>><br>>> </mail/u/0/s/?view=att&th=155caac26813bdd5&attid=0.0.1&disp=emb&realattid=e1b303ec753bc3ae_0.0.1.1&zw&atsh=0><br>>><br>>> _______________________________________________<br>>> AusNOG mailing list<br>>> <a href="mailto:AusNOG@lists.ausnog.net">AusNOG@lists.ausnog.net</a><br>>> <a href="http://lists.ausnog.net/mailman/listinfo/ausnog">http://lists.ausnog.net/mailman/listinfo/ausnog</a><br>>><br>>