Seite 1 von 14 12311 ... LetzteLetzte
Ergebnis 1 bis 10 von 140

Thema: sexxy.de / Leaseweb

  1. #1
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    10.591

    Standard sexxy.de / Leaseweb

    Gleich 2 mal aufgeschlagen:

    header:
    01: Received: from hosted-by.leaseweb.com (EHLO couponpark.net) [95.211.33.77]
    02: by mx0.gmx.net (mx107) with SMTP; 02 Nov 2011 xx:xx:xx +0100
    03: Received: from localhost.localdomain (localhost [127.0.0.1])
    04: by couponpark.net (Postfix) with ESMTP ID: [ID filtered]
    05: for <x>; Wed, 2 Nov 2011 xx:xx:xx +0100 (CET)

    header:
    01: Received: from hosted-by.leaseweb.com (EHLO couponpark.net) [95.211.33.77]
    02: by mx0.gmx.net (mx009) with SMTP; 02 Nov 2011 xx:xx:xx +0100
    03: Received: from localhost.localdomain (localhost [127.0.0.1])
    04: by couponpark.net (Postfix) with ESMTP ID: [ID filtered]
    05: for <x>; Wed, 2 Nov 2011 xx:xx:xx +0100 (CET)
    whois: [Link nur für registrierte Mitglieder sichtbar. ]/tracker.php?id=123
    Das wget sieht ganz interessant aus:
    Code:
    --2011-11-02 06:18:50--  http://www.couponpark.net/tracker.php?id=123
    Auflösen des Hostnamen »www.couponpark.net«.... 95.211.33.77
    Verbindungsaufbau zu www.couponpark.net|95.211.33.77|:80... verbunden.
    HTTP Anforderung gesendet, warte auf Antwort... 301 Moved Permanently
    Platz: http://www.sexxy.de[folge]
    --2011-11-02 06:18:50--  http://www.sexxy.de/
    Auflösen des Hostnamen »www.sexxy.de«.... 62.141.33.174
    Verbindungsaufbau zu www.sexxy.de|62.141.33.174|:80... verbunden.
    HTTP Anforderung gesendet, warte auf Antwort... 200 OK
    Im HTML-Teil der Mail wird auch direkt auf whois: [Link nur für registrierte Mitglieder sichtbar. ] verwiesen.
    In den Whois-Daten steht ein gewisser M* K* der hier auch kein ganz unbeschriebenes Blatt ist (auch wenn hier ein "n" zu einem "l" gemacht wurde):
    • [Link nur für registrierte Mitglieder sichtbar. ]
    • [Link nur für registrierte Mitglieder sichtbar. ]

    Wie kann man nur noch versuchen über Leaseweb Mail zuzustellen? Das geht doch alles in die Tonne!
    [Link nur für registrierte Mitglieder sichtbar. ]
    Just my tencents ...
    Geändert von schara56 (02.11.2011 um 06:41 Uhr) Grund: Nachtrag
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  2. #2
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    10.591

    Standard

    Wieder mal im Doppelpack:

    header:
    01: Received: from hosted-by.leaseweb.com (EHLO couponpark.net) [95.211.33.77]
    02: by mx0.gmx.net (mx028) with SMTP; 03 Nov 2011 xx:xx:xx +0100
    03: Received: from localhost.localdomain (localhost [127.0.0.1])
    04: by couponpark.net (Postfix) with ESMTP ID: [ID filtered]
    05: for <x>; Thu, 3 Nov 2011 xx:xx:xx +0100 (CET)

    header:
    01: Received: from hosted-by.leaseweb.com (EHLO couponpark.net) [95.211.33.77]
    02: by mx0.gmx.net (mx074) with SMTP; 03 Nov 2011 xx:xx:xx +0100
    03: Received: from localhost.localdomain (localhost [127.0.0.1])
    04: by couponpark.net (Postfix) with ESMTP ID: [ID filtered]
    05: for <x>; Thu, 3 Nov 2011 xx:xx:xx +0100 (CET)
    whois: [Link nur für registrierte Mitglieder sichtbar. ]/tracker.php?id=123 -> weiter zu whois: [Link nur für registrierte Mitglieder sichtbar. ]
    "Abmelden" kann man sich hier: whois: [Link nur für registrierte Mitglieder sichtbar. ]/index.php?mid=12
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  3. #3
    Neues Mitglied
    Registriert seit
    15.07.2006
    Beiträge
    48

    Standard

    Hallo,

    ich habe diese Mail auch mehrfach(!) erhalten, folgende Details beunruhigen mich:

    - zwei völlig verschiedene Mailadressen, die aber beide vom selben Rechner abgerufen werden
    - Es sind Ortsinformationen enthalten (Du hast eine private Nachricht von xxx aus yyyyyy erhalten.), die sehr genau zu meinem Wohnort passen

    Da ich beide Mailadressen nie bei demselben Onlinedienst verwende, habe ich folgende Vermutungen:
    - Virus/Trojaner? Ich scanne meine Rechner regelmäßig mit der Kaspersky AV-CD und dem Pendant von AVG, mit jeweils aktuellen Signaturen, und bin dabei immer sauber.
    - Evtl. ein Exploit über eine Webseite?
    - Zufall, und es wurden Daten von verschiedenen Dienstleistern gekauft/geklaut?

    Was meint ihr?

  4. #4
    Mittwoch
    Gast

    Standard

    Zitat Zitat von Jackie78 Beitrag anzeigen
    - Es sind Ortsinformationen enthalten (Du hast eine private Nachricht von xxx aus yyyyyy erhalten.), die sehr genau zu meinem Wohnort passen
    Wohnst du in der Nähe einer größeren Stadt? Wenn nicht, wären das extrem zufällige Zufälle. Dein Verdacht wäre demnach berechtigt.

    Zitat Zitat von Jackie78 Beitrag anzeigen
    Da ich beide Mailadressen nie bei demselben Onlinedienst verwende, habe ich folgende Vermutungen:
    Das ist aus der Ferne schwer zu beurteilen.

    Der einfachste Weg wäre eine HTML-Mail, die einen Webbug enthielt. Wenn Du Deinem Mailprogramm die Ausführung von HTML-Code und das Nachladen externer Inhalte erlaubst, kann ein Webbug wirksam werden. Man sendet Dir eine noch nicht weiter personalisierte Mail, die ein kleines, transparentes Bild enthält, welches mit einem Session-Code bei einem Webserver der Angreifer heruntergeladen wird. Die Session-ID ist Deiner Mailadresse eindeutig zuzuordnen, und der Webserver merkt sich dann noch die IP, über die man mit geeigneten Werkzeugen Deinen Standort mehr oder weniger genau herausfinden kann. Die nächsten Spammails sind dann dementsprechend mit einer Ortsangabe sozialisiert. Man nennt das Social Engineering. Das kann man sogar noch weiter treiben. An einer Uni meiner Heimatstadt wurden Mails aus dem Spamfilter gezogen, in denen ein akademischer Kontext vorgetäuscht wurde, denn alle Mailadressen enden ja auf uni-sonstwas.de. Man erhoffte sich daraus wohl eine höhere Klickrate. Hat aber nicht geholfen, der Spamfilter war schneller.

    Ein Schädling kommt natürlich in Frage, dann wäre es nämlich ein Leichtes, den Standort Deines Rechners über die IP, die ja auch der Schädling zum Nach-Hause-Telefonieren nutzt, grob einzugrenzen. Und selbst bei immer aktuellen und meinetwegen auch bezahlten Schutzprogrammen ist ein Schädling nie ganz auszuschließen. Es gibt diverse Schadsoftware, die sich sehr tief ins System einnistet und sich als Bestandteil des Betriebssystems tarnt. Solange letzteres aktiv ist, können Schutzprogramme nichts finden, denn sie können Schädling und Betriebssystem nicht auseinander halten. Ganz sicher geht man deswegen nur durch einen Check, der auf einem inaktiven Betriebssystem gefahren wird, z.B. in dem an einen Virenscanner direkt von CD startet. Bei heise secutity findet sich eine gute, überblicksartige Einführung in die Materie.

    Ein Exploit über eine Webseite kann es auch sein, aber dabei ist eher davon auszugehen, dass versucht wird, oben beschriebenen Schädling sehr tief einzupflanzen. Die Sicherheitslücken, die dafür genutzt werden, berühren nämlich mehrheitlich Mängel im Betriebssystemkern, und wenn man einmal dort ran kommen kann, wäre es aus Crackersicht unsinnig, nur ein paar Daten zu entwenden. Bei solchen Exploits wird in der überwiegenden Mehrzahl der Fälle ein Zombieprogramm installiert, über dass man dann irgendwann zum Teil eines Botnetzes wird.

    Auch der Datenklau oder -kauf ist natürlich denkbar. Wobei man für die Kombination "Mailadresse - Wohnort" schon vergleichsweise teure Datensätze kaufen müsste. Zum einen wäre der Handel mit dieser Kombination nämlich illegal, zum anderen wird eine Mailadresse häufig nicht direkt mit dem Wohnort verknüpft. Man müsste also schon Stammdaten aus Kundendatenbanken erwerben oder – was ich für wahrscheinlicher halte – entwenden.

    Wenn es wirklich eine erkennbare Häufung gibt, liegt für mich der Schädlingsverdacht am nächsten. Der Schädling muss sich auch nicht unbedingt bei Dir eingenistet haben. Es kann auch der Rechner von jemandem kompromittiert worden sein, der sein Adressbuch nicht nur mit Mailadressen füttert, sondern auch mit Anschriftendaten. Da solche Datensätze wertvoll sind, werden sie entsprechend häufig von Schädlingen komplett ausgelesen und an den Heimatrechner weitergegeben. Anderer denkbarer Weg ist ein Hack bei sozialen Netzwerken, bei dem jemand das Passwort eines nahen Bekannten von Dir geknackt hat und dann alle verfügbaren Informationen runter lädt. Oder es wird gleich das gesamte soziale Netzwerksportal angegriffen und man lädt dann Daten im großen Stil runter.

    Oder, oder, oder... Ich würde meinen Rechner gründlich auf Schädlinge überprüfen (siehe oben), oder, wenn man kühn genug ist, gleich das ganze System neu aufsetzen. Mehr wirst Du nicht tun können, denn die Spammer wird man nicht so dingfest machen können, dass sie für die Justiz greifbar wären.

    Schönen Gruß
    Mittwoch

  5. #5
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    10.591

    Standard

    Weiter im Text:

    header:
    01: Received: from hosted-by.leaseweb.com (EHLO couponpark.net) [95.211.33.77]
    02: by mx0.gmx.net (mx070) with SMTP; 04 Nov 2011 xx:xx:xx +0100
    03: Received: from localhost.localdomain (localhost [127.0.0.1])
    04: by couponpark.net (Postfix) with ESMTP ID: [ID filtered]
    05: for <x>; Fri, 4 Nov 2011 xx:xx:xx +0100 (CET)

    header:
    01: Received: from hosted-by.leaseweb.com (EHLO couponpark.net) [95.211.33.77]
    02: by mx0.gmx.net (mx030) with SMTP; 04 Nov 2011 xx:xx:xx +0100
    03: Received: from localhost.localdomain (localhost [127.0.0.1])
    04: by couponpark.net (Postfix) with ESMTP ID: [ID filtered]
    05: for <x>; Fri, 4 Nov 2011 xx:xx:xx +0100 (CET)
    whois: [Link nur für registrierte Mitglieder sichtbar. ]/tracker.php?id=123 -> weiter zu whois: [Link nur für registrierte Mitglieder sichtbar. ]
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  6. #6
    Graue Pestilenz Avatar von Fidul
    Registriert seit
    16.07.2005
    Beiträge
    6.405

    Standard

    Feuere auf die 01805. Auch Nadelstiche tun weh.
    Wir kriegen euch alle!

  7. #7
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    10.591

    Standard

    Zitat Zitat von Fidul Beitrag anzeigen
    Feuere auf die 01805. [...
    Die "arme" Direct2Solutions GmbH kann doch gar nix dafür. Es wird immer über Leaseweb gespamt und darin nicht mal die Seite sexxy.de beworben.

    header:
    01: Received: from hosted-by.leaseweb.com (EHLO couponpark.net) [95.211.33.77]
    02: by mx0.gmx.net (mx094) with SMTP; 06 Nov 2011 xx:xx:xx +0100
    03: Received: from localhost.localdomain (localhost [127.0.0.1])
    04: by couponpark.net (Postfix) with ESMTP ID: [ID filtered]
    05: for <x>; Sun, 6 Nov 2011 xx:xx:xx +0100 (CET)

    header:
    01: Received: from hosted-by.leaseweb.com (EHLO couponpark.net) [95.211.33.77]
    02: by mx0.gmx.net (mx093) with SMTP; 06 Nov 2011 xx:xx:xx +0100
    03: Received: from localhost.localdomain (localhost [127.0.0.1])
    04: by couponpark.net (Postfix) with ESMTP ID: [ID filtered]
    05: for <x>; Sun, 6 Nov 2011 xx:xx:xx +0100 (CET)

    whois: [Link nur für registrierte Mitglieder sichtbar. ]/tracker.php?id=123

    Zitat Zitat von Spammy
    ...] Haben Sie Fragen zu dieser E-Mail?
    Wenden Sie sich direkt an unseren Kundenservice.
    Kundenservice: [Link nur für registrierte Mitglieder sichtbar. ]
    Impressum: Media Supplies Ltd., Caldervale Rd. 1, West Yorkshire, WF1 5PF [...
    Zu doof, dass kein MX-Eintrag für diese Domain existiert...ja in der Tat: anscheinend gibt es die Domain nicht oder die Delegierung ist im Eimer.
    Code:
    > set q=mx
    > media-supplies.eu
    Server:  google-public-dns-b.google.com
    Address:  8.8.4.4
    
    *** media-supplies.eu wurde von google-public-dns-b.google.com nicht gefunden: Non-existent domain.
    > set q=soa
    > media-supplies.eu
    Server:  google-public-dns-b.google.com
    Address:  8.8.4.4
    
    *** media-supplies.eu wurde von google-public-dns-b.google.com nicht gefunden: Non-existent domain.
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  8. #8
    Neues Mitglied
    Registriert seit
    06.11.2011
    Beiträge
    3

    Standard

    Moin, bekomme ich seit Freitag auch. Sehr merkwürdig ist die persönliche Anrede mit richtigem Vornamen (Brett R Zaun).
    Da der vollständige Vorname bei mir nur bei bestellungen (mittlerweile habe ich hierfür seit geraumer zeit eine eigene Mail-Domain) verwendet wurde, gehe ich stark davon aus das hier jemand kundendaten entweder verkauft oder gestohlen hat.
    Müsste ich dann allerdings mal im Archiv nachsehen wer da evtl. in frage kommt, soviele waren es unter der addy nicht, 3 oder 4..

    Lustigerweise wird im Header ja gleich ein Abmelde-Link mitgeschickt


    header:
    01: From - Sun Nov 06 xx:xx:xx 2011
    02: Return-Path: <nachrichten [at] couponpark.net>
    03: Delivered-To: GMX delivery to poor [at] spamvictim.tld
    04: Received: (qmail invoked by alias); 06 Nov 2011 xx:xx:xx -0000
    05: Received: from hosted-by.leaseweb.com (EHLO couponpark.net) [95.211.33.77]
    06: by mx0.gmx.net (mx095) with SMTP; 06 Nov 2011 xx:xx:xx +0100
    07: Received: from localhost.localdomain (localhost [127.0.0.1])
    08: by couponpark.net (Postfix) with ESMTP ID: [ID filtered]
    09: for <poor [at] spamvictim.tld>; Sun, 6 Nov 2011 xx:xx:xx +0100 (CET)
    10: Date: Sun, 6 Nov 2011 xx:xx:xx +0100
    11: To: poor [at] spamvictim.tld
    12: From: Neue Nachricht <nachricht [at] couponpark.net>
    13: Reply-to: service [at] media-supplies.net
    14: Subject: Brett R, Du hast eine Nachricht von Lena83
    15: Mailing-ID: [ID filtered]
    16: Email-ID: [ID filtered]
    17: List-Unsubscribe:
    18: <http://www.couponpark.net/index.php?call=unsubscribe&action=index&param1=unsubscri
    19: ethis&param2=xxyyzz [at] gmx.net&param3=104>


    Mfg
    MaRiWa
    Geändert von Mittwoch (06.11.2011 um 14:25 Uhr) Grund: [CODE] durch [HEADER] ersetzt

  9. #9
    Neues Mitglied Avatar von heikonnen
    Registriert seit
    31.10.2011
    Ort
    östlich von Bonn
    Beiträge
    6

    Standard

    Hallo Leute,
    habe heute diese Mail im SPAM-Ordner gefunden:
    ---------------------------------------------------------------------------------------------------------------------
    Hallo , (hier fehlt schon mein Name)


    Du hast eine private Nachricht von Lena83 Hennef erhalten.

    Klicke einfach nachfolgenden Link und rufe die Nachricht ab.

    Jetzt zur Nachricht: http://www.couponpark.net/tracker.php?id=425


    Bei uns bleibst du völlig anonym.

    ---

    ------
    Diese Nachricht wurde durch Media Supplies versendet.

    Sie möchten keine weiteren Angebote von uns erhalten?
    Klicken Sie folgenden Link zum Abmelden:
    http://www.couponpark.net/ whoishttp://www.couponpark.net

    -------
    Haben Sie Fragen zu dieser E-Mail?
    Wenden Sie sich direkt an unseren Kundenservice.
    Kundenservice: [Link nur für registrierte Mitglieder sichtbar. ]
    Impressum: Media Supplies Ltd., Caldervale Rd. 1, West Yorkshire, WF1 5PF
    ---------------------------------------------------------------------------------------------------------------------
    der Header

    header:
    01: Received: from [95.211.33.77] (helo=couponpark.net)
    02: by mx32.web.de with esmtp (web.de 4.110 #2)
    03: ID: [ID filtered]
    04: for poor [at] spamvictim.tld; Wed, 02 Nov 2011 xx:xx:xx +0100
    05: Received: from localhost.localdomain (localhost [127.0.0.1])
    06: by couponpark.net (Postfix) with ESMTP ID: [ID filtered]
    07: for <poor [at] spamvictim.tld>; Wed, 2 Nov 2011 xx:xx:xx +0100 (CET)
    08: Date: Wed, 2 Nov 2011 xx:xx:xx +0100
    09: To: poor [at] spamvictim.tld
    10: From: Neue Nachricht <nachricht [at] couponpark.net>
    11: Reply-to: service [at] media-supplies.net
    12: Subject: , Du hast eine Nachricht von Lena83
    13: Message-ID: [ID filtered]
    14: Mailing-ID: [ID filtered]
    15: Email-ID: [ID filtered]
    16: List-Unsubscribe: <http://www.couponpark.net/index.php?[UNSUB filtered]>
    17: MIME-Version: 1.0
    18: Content-Type: text/plain; charset="ISO-8859-15"
    19: Content-Transfer-Encoding: quoted-printable
    20: Return-Path: nachrichten [at] couponpark.net
    Geändert von Mittwoch (06.11.2011 um 14:36 Uhr) Grund: [QUIOTE] und [HEADER] gesetzt, an den Leaseweb-Thread angetackert

  10. #10
    Pöhser Purche Avatar von homer
    Registriert seit
    18.07.2005
    Ort
    Deep Down Oberfranken
    Beiträge
    2.939

    Standard

    Zitat Zitat von schara56 Beitrag anzeigen
    Zu doof, dass kein MX-Eintrag für diese Domain existiert...ja in der Tat: anscheinend gibt es die Domain nicht oder die Delegierung ist im Eimer.
    [klugscheiss]Besser ist es, den Onkel WHOIS nach einer Domain zu fragen.[/klugscheiss]
    Da gibt es die Domain tatsächlich, registriert über Cronon/Vautron - allerdings ohne einen Nameserver. Das ist nicht ganz nach RFC, IIRC. Aber die Telefonnummer von Vautron passt, und die waren früher mal richtig pedantisch mit den WHOIS-Daten.

    Sarkasmus. Weil es illegal ist, dumme Leute zu schlagen.

Seite 1 von 14 12311 ... LetzteLetzte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen