Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 140

Thema: sexxy.de / Leaseweb

Hybrid-Darstellung

Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
  1. #1
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    10.591

    Standard sexxy.de / Leaseweb

    Gleich 2 mal aufgeschlagen:

    header:
    01: Received: from hosted-by.leaseweb.com (EHLO couponpark.net) [95.211.33.77]
    02: by mx0.gmx.net (mx107) with SMTP; 02 Nov 2011 xx:xx:xx +0100
    03: Received: from localhost.localdomain (localhost [127.0.0.1])
    04: by couponpark.net (Postfix) with ESMTP ID: [ID filtered]
    05: for <x>; Wed, 2 Nov 2011 xx:xx:xx +0100 (CET)

    header:
    01: Received: from hosted-by.leaseweb.com (EHLO couponpark.net) [95.211.33.77]
    02: by mx0.gmx.net (mx009) with SMTP; 02 Nov 2011 xx:xx:xx +0100
    03: Received: from localhost.localdomain (localhost [127.0.0.1])
    04: by couponpark.net (Postfix) with ESMTP ID: [ID filtered]
    05: for <x>; Wed, 2 Nov 2011 xx:xx:xx +0100 (CET)
    whois: [Link nur für registrierte Mitglieder sichtbar. ]/tracker.php?id=123
    Das wget sieht ganz interessant aus:
    Code:
    --2011-11-02 06:18:50--  http://www.couponpark.net/tracker.php?id=123
    Auflösen des Hostnamen »www.couponpark.net«.... 95.211.33.77
    Verbindungsaufbau zu www.couponpark.net|95.211.33.77|:80... verbunden.
    HTTP Anforderung gesendet, warte auf Antwort... 301 Moved Permanently
    Platz: http://www.sexxy.de[folge]
    --2011-11-02 06:18:50--  http://www.sexxy.de/
    Auflösen des Hostnamen »www.sexxy.de«.... 62.141.33.174
    Verbindungsaufbau zu www.sexxy.de|62.141.33.174|:80... verbunden.
    HTTP Anforderung gesendet, warte auf Antwort... 200 OK
    Im HTML-Teil der Mail wird auch direkt auf whois: [Link nur für registrierte Mitglieder sichtbar. ] verwiesen.
    In den Whois-Daten steht ein gewisser M* K* der hier auch kein ganz unbeschriebenes Blatt ist (auch wenn hier ein "n" zu einem "l" gemacht wurde):
    • [Link nur für registrierte Mitglieder sichtbar. ]
    • [Link nur für registrierte Mitglieder sichtbar. ]

    Wie kann man nur noch versuchen über Leaseweb Mail zuzustellen? Das geht doch alles in die Tonne!
    [Link nur für registrierte Mitglieder sichtbar. ]
    Just my tencents ...
    Geändert von schara56 (02.11.2011 um 06:41 Uhr) Grund: Nachtrag
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  2. #2
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    10.591

    Standard

    Wieder mal im Doppelpack:

    header:
    01: Received: from hosted-by.leaseweb.com (EHLO couponpark.net) [95.211.33.77]
    02: by mx0.gmx.net (mx028) with SMTP; 03 Nov 2011 xx:xx:xx +0100
    03: Received: from localhost.localdomain (localhost [127.0.0.1])
    04: by couponpark.net (Postfix) with ESMTP ID: [ID filtered]
    05: for <x>; Thu, 3 Nov 2011 xx:xx:xx +0100 (CET)

    header:
    01: Received: from hosted-by.leaseweb.com (EHLO couponpark.net) [95.211.33.77]
    02: by mx0.gmx.net (mx074) with SMTP; 03 Nov 2011 xx:xx:xx +0100
    03: Received: from localhost.localdomain (localhost [127.0.0.1])
    04: by couponpark.net (Postfix) with ESMTP ID: [ID filtered]
    05: for <x>; Thu, 3 Nov 2011 xx:xx:xx +0100 (CET)
    whois: [Link nur für registrierte Mitglieder sichtbar. ]/tracker.php?id=123 -> weiter zu whois: [Link nur für registrierte Mitglieder sichtbar. ]
    "Abmelden" kann man sich hier: whois: [Link nur für registrierte Mitglieder sichtbar. ]/index.php?mid=12
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  3. #3
    Neues Mitglied
    Registriert seit
    15.07.2006
    Beiträge
    48

    Standard

    Hallo,

    ich habe diese Mail auch mehrfach(!) erhalten, folgende Details beunruhigen mich:

    - zwei völlig verschiedene Mailadressen, die aber beide vom selben Rechner abgerufen werden
    - Es sind Ortsinformationen enthalten (Du hast eine private Nachricht von xxx aus yyyyyy erhalten.), die sehr genau zu meinem Wohnort passen

    Da ich beide Mailadressen nie bei demselben Onlinedienst verwende, habe ich folgende Vermutungen:
    - Virus/Trojaner? Ich scanne meine Rechner regelmäßig mit der Kaspersky AV-CD und dem Pendant von AVG, mit jeweils aktuellen Signaturen, und bin dabei immer sauber.
    - Evtl. ein Exploit über eine Webseite?
    - Zufall, und es wurden Daten von verschiedenen Dienstleistern gekauft/geklaut?

    Was meint ihr?

  4. #4
    Mittwoch
    Gast

    Standard

    Zitat Zitat von Jackie78 Beitrag anzeigen
    - Es sind Ortsinformationen enthalten (Du hast eine private Nachricht von xxx aus yyyyyy erhalten.), die sehr genau zu meinem Wohnort passen
    Wohnst du in der Nähe einer größeren Stadt? Wenn nicht, wären das extrem zufällige Zufälle. Dein Verdacht wäre demnach berechtigt.

    Zitat Zitat von Jackie78 Beitrag anzeigen
    Da ich beide Mailadressen nie bei demselben Onlinedienst verwende, habe ich folgende Vermutungen:
    Das ist aus der Ferne schwer zu beurteilen.

    Der einfachste Weg wäre eine HTML-Mail, die einen Webbug enthielt. Wenn Du Deinem Mailprogramm die Ausführung von HTML-Code und das Nachladen externer Inhalte erlaubst, kann ein Webbug wirksam werden. Man sendet Dir eine noch nicht weiter personalisierte Mail, die ein kleines, transparentes Bild enthält, welches mit einem Session-Code bei einem Webserver der Angreifer heruntergeladen wird. Die Session-ID ist Deiner Mailadresse eindeutig zuzuordnen, und der Webserver merkt sich dann noch die IP, über die man mit geeigneten Werkzeugen Deinen Standort mehr oder weniger genau herausfinden kann. Die nächsten Spammails sind dann dementsprechend mit einer Ortsangabe sozialisiert. Man nennt das Social Engineering. Das kann man sogar noch weiter treiben. An einer Uni meiner Heimatstadt wurden Mails aus dem Spamfilter gezogen, in denen ein akademischer Kontext vorgetäuscht wurde, denn alle Mailadressen enden ja auf uni-sonstwas.de. Man erhoffte sich daraus wohl eine höhere Klickrate. Hat aber nicht geholfen, der Spamfilter war schneller.

    Ein Schädling kommt natürlich in Frage, dann wäre es nämlich ein Leichtes, den Standort Deines Rechners über die IP, die ja auch der Schädling zum Nach-Hause-Telefonieren nutzt, grob einzugrenzen. Und selbst bei immer aktuellen und meinetwegen auch bezahlten Schutzprogrammen ist ein Schädling nie ganz auszuschließen. Es gibt diverse Schadsoftware, die sich sehr tief ins System einnistet und sich als Bestandteil des Betriebssystems tarnt. Solange letzteres aktiv ist, können Schutzprogramme nichts finden, denn sie können Schädling und Betriebssystem nicht auseinander halten. Ganz sicher geht man deswegen nur durch einen Check, der auf einem inaktiven Betriebssystem gefahren wird, z.B. in dem an einen Virenscanner direkt von CD startet. Bei heise secutity findet sich eine gute, überblicksartige Einführung in die Materie.

    Ein Exploit über eine Webseite kann es auch sein, aber dabei ist eher davon auszugehen, dass versucht wird, oben beschriebenen Schädling sehr tief einzupflanzen. Die Sicherheitslücken, die dafür genutzt werden, berühren nämlich mehrheitlich Mängel im Betriebssystemkern, und wenn man einmal dort ran kommen kann, wäre es aus Crackersicht unsinnig, nur ein paar Daten zu entwenden. Bei solchen Exploits wird in der überwiegenden Mehrzahl der Fälle ein Zombieprogramm installiert, über dass man dann irgendwann zum Teil eines Botnetzes wird.

    Auch der Datenklau oder -kauf ist natürlich denkbar. Wobei man für die Kombination "Mailadresse - Wohnort" schon vergleichsweise teure Datensätze kaufen müsste. Zum einen wäre der Handel mit dieser Kombination nämlich illegal, zum anderen wird eine Mailadresse häufig nicht direkt mit dem Wohnort verknüpft. Man müsste also schon Stammdaten aus Kundendatenbanken erwerben oder – was ich für wahrscheinlicher halte – entwenden.

    Wenn es wirklich eine erkennbare Häufung gibt, liegt für mich der Schädlingsverdacht am nächsten. Der Schädling muss sich auch nicht unbedingt bei Dir eingenistet haben. Es kann auch der Rechner von jemandem kompromittiert worden sein, der sein Adressbuch nicht nur mit Mailadressen füttert, sondern auch mit Anschriftendaten. Da solche Datensätze wertvoll sind, werden sie entsprechend häufig von Schädlingen komplett ausgelesen und an den Heimatrechner weitergegeben. Anderer denkbarer Weg ist ein Hack bei sozialen Netzwerken, bei dem jemand das Passwort eines nahen Bekannten von Dir geknackt hat und dann alle verfügbaren Informationen runter lädt. Oder es wird gleich das gesamte soziale Netzwerksportal angegriffen und man lädt dann Daten im großen Stil runter.

    Oder, oder, oder... Ich würde meinen Rechner gründlich auf Schädlinge überprüfen (siehe oben), oder, wenn man kühn genug ist, gleich das ganze System neu aufsetzen. Mehr wirst Du nicht tun können, denn die Spammer wird man nicht so dingfest machen können, dass sie für die Justiz greifbar wären.

    Schönen Gruß
    Mittwoch

  5. #5
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    10.591

    Standard

    Weiter im Text:

    header:
    01: Received: from hosted-by.leaseweb.com (EHLO couponpark.net) [95.211.33.77]
    02: by mx0.gmx.net (mx070) with SMTP; 04 Nov 2011 xx:xx:xx +0100
    03: Received: from localhost.localdomain (localhost [127.0.0.1])
    04: by couponpark.net (Postfix) with ESMTP ID: [ID filtered]
    05: for <x>; Fri, 4 Nov 2011 xx:xx:xx +0100 (CET)

    header:
    01: Received: from hosted-by.leaseweb.com (EHLO couponpark.net) [95.211.33.77]
    02: by mx0.gmx.net (mx030) with SMTP; 04 Nov 2011 xx:xx:xx +0100
    03: Received: from localhost.localdomain (localhost [127.0.0.1])
    04: by couponpark.net (Postfix) with ESMTP ID: [ID filtered]
    05: for <x>; Fri, 4 Nov 2011 xx:xx:xx +0100 (CET)
    whois: [Link nur für registrierte Mitglieder sichtbar. ]/tracker.php?id=123 -> weiter zu whois: [Link nur für registrierte Mitglieder sichtbar. ]
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

  6. #6
    Graue Pestilenz Avatar von Fidul
    Registriert seit
    16.07.2005
    Beiträge
    6.405

    Standard

    Feuere auf die 01805. Auch Nadelstiche tun weh.
    Wir kriegen euch alle!

  7. #7
    Neues Mitglied Avatar von heikonnen
    Registriert seit
    31.10.2011
    Ort
    östlich von Bonn
    Beiträge
    6

    Standard

    Hallo Leute,
    habe heute diese Mail im SPAM-Ordner gefunden:
    ---------------------------------------------------------------------------------------------------------------------
    Hallo , (hier fehlt schon mein Name)


    Du hast eine private Nachricht von Lena83 Hennef erhalten.

    Klicke einfach nachfolgenden Link und rufe die Nachricht ab.

    Jetzt zur Nachricht: http://www.couponpark.net/tracker.php?id=425


    Bei uns bleibst du völlig anonym.

    ---

    ------
    Diese Nachricht wurde durch Media Supplies versendet.

    Sie möchten keine weiteren Angebote von uns erhalten?
    Klicken Sie folgenden Link zum Abmelden:
    http://www.couponpark.net/ whoishttp://www.couponpark.net

    -------
    Haben Sie Fragen zu dieser E-Mail?
    Wenden Sie sich direkt an unseren Kundenservice.
    Kundenservice: [Link nur für registrierte Mitglieder sichtbar. ]
    Impressum: Media Supplies Ltd., Caldervale Rd. 1, West Yorkshire, WF1 5PF
    ---------------------------------------------------------------------------------------------------------------------
    der Header

    header:
    01: Received: from [95.211.33.77] (helo=couponpark.net)
    02: by mx32.web.de with esmtp (web.de 4.110 #2)
    03: ID: [ID filtered]
    04: for poor [at] spamvictim.tld; Wed, 02 Nov 2011 xx:xx:xx +0100
    05: Received: from localhost.localdomain (localhost [127.0.0.1])
    06: by couponpark.net (Postfix) with ESMTP ID: [ID filtered]
    07: for <poor [at] spamvictim.tld>; Wed, 2 Nov 2011 xx:xx:xx +0100 (CET)
    08: Date: Wed, 2 Nov 2011 xx:xx:xx +0100
    09: To: poor [at] spamvictim.tld
    10: From: Neue Nachricht <nachricht [at] couponpark.net>
    11: Reply-to: service [at] media-supplies.net
    12: Subject: , Du hast eine Nachricht von Lena83
    13: Message-ID: [ID filtered]
    14: Mailing-ID: [ID filtered]
    15: Email-ID: [ID filtered]
    16: List-Unsubscribe: <http://www.couponpark.net/index.php?[UNSUB filtered]>
    17: MIME-Version: 1.0
    18: Content-Type: text/plain; charset="ISO-8859-15"
    19: Content-Transfer-Encoding: quoted-printable
    20: Return-Path: nachrichten [at] couponpark.net
    Geändert von Mittwoch (06.11.2011 um 14:36 Uhr) Grund: [QUIOTE] und [HEADER] gesetzt, an den Leaseweb-Thread angetackert

  8. #8
    Medien- & Kaffeeguru Avatar von truelife
    Registriert seit
    28.01.2006
    Ort
    Vals (Graubünden)
    Beiträge
    19.334

    Standard "Ostergruß" von e-nachricht.com / kissbox.de

    Hallo [echter Vorname]

    du hast einen persönlichen Ostergruß von Nora24 erhalten.
    Klick hier: whois: [Link nur für registrierte Mitglieder sichtbar. ]

    Mache diskret mit! - Über 1 Mio. echte Mitglieder.

    Hinweis:
    Antworten Sie nicht auf diese E-Mail, es erfolgt keine Zustellung.
    Diese Nachricht wurde durch PROeSELECT versendet.
    Sie moechten keine weiteren Angebote von uns erhalten?
    Klicken Sie folgenden Link zum Abmelden:
    whois: [Link nur für registrierte Mitglieder sichtbar. ]

    Haben Sie Fragen zu dieser E-Mail?
    Wenden Sie sich direkt an unseren Kundenservice.
    Kundenservice: [Link nur für registrierte Mitglieder sichtbar. ]

    Impressum: PROeSELECT LTD, Suite 14, 209 City Road Cardiff CF24 3JD Wales, United Kingdom

    header:
    01: Return-Path: <nachrichten [at] e-nachricht.com>
    02: Delivered-To:
    03: Received: (qmail invoked by alias); 06 Apr 2012 xx:xx:xx -0000
    04: Received: from e-nachricht.com (EHLO e-nachricht.com) [95.211.120.137]
    05: by mx0.gmx.net (mx070) with SMTP; 07 Apr 2012 xx:xx:xx +0200
    06: Received: from localhost.localdomain (localhost [127.0.0.1])
    07: by e-nachricht.com (Postfix) with ESMTP ID: [ID filtered]
    08: for ; Sat, 7 Apr 2012 xx:xx:xx +0200 (CEST)
    09: Date: Sat, 7 Apr 2012 xx:xx:xx +0200
    10: To:
    11: From: Neue Nachricht <message [at] e-nachricht.com>
    12: Reply-to: aktion [at] e-nachricht.com
    13: Subject: =?ISO-8859-15?Q?[echter Vorname]_Du_hast_einen_Ostergru=DF_erhalten?=
    14: Message-ID: [ID filtered]
    15: Mailing-ID: [ID filtered]
    16: Email-ID: [ID filtered]
    17: List-Unsubscribe: <http://www.e-nachricht.com/index.php?[UNSUB filtered]>
    18: MIME-Version: 1.0
    19: Content-Transfer-Encoding: 8bit
    20: Content-Type: text/plain; charset="ISO-8859-15"
    21: X-GMX-Antivirus: 0 (no virus found)
    22: X-GMX-Antispam: 5 (BackTrace mail analyze);
    23: Detail=5D7Q89H36p4L00VTXC6D4q0N+AH0PUCnGL2vqOgpaBYL16oitsMrgDt/NQNpSCZF7bt5n
    24: WT2HM1NfrcU02wyA8OLgBrn7bi3RG0Azekn2llrqQRrQqwUIw==V1;
    25: X-GMX-UID: [UID filtered]
    26: X-Flags: 1401

    Der Link whois: [Link nur für registrierte Mitglieder sichtbar. ] leitet weiter zu whois: [Link nur für registrierte Mitglieder sichtbar. ]. Im Tab steht auch "Kissbox" im Header der Webseite aber e-flirts.com. Im Impressum zeichnet sich eine

    Media Supplies Ltd.
    The Picasso Building
    Caldervale Road 1
    West Yorkshire, WF1 5PF
    United Kingdom

    verantwortlich. Unter dem Tab "Datenschutz" steht dann gänzlich anderes:

    Diese Datenschutzerklärung gilt für die Erhebung, Verarbeitung und Nutzung personenbezogener Daten auf der Internet-Plattform "www.kissbox.de", welche die Direct2Solutions GmbH, Berliner Str. 107, 33330 Gütersloh (nachfolgend "D2S"), bereitstellt.
    Screenshot: [Link nur für registrierte Mitglieder sichtbar. ]
    Geändert von Mittwoch (07.04.2012 um 11:59 Uhr) Grund: getackert
    "Eine Rose wird auch im Himmel noch ein Rose sein, aber sie wird zehnmal süßer duften." - Luisa † 26.10.2009
    Spende an Antispam / Hilfe für Neulinge / Forenregeln / Nettiquette / Das Antispam - Lexikon / Werden Sie Mitglied
    "Das Internet ist für uns alle Neuland." - Bundeskanzlerin Angela Merkel (19.06.2013)
    smayer@public-files.de smayer@fantasymail.de

  9. #9
    Neues Mitglied
    Registriert seit
    07.04.2012
    Beiträge
    1

    Standard

    Hallo, ich bin neu hier, deshalb kenne ich mit den Verfahrensweisen hier noch nicht so aus

    Ich bekomme diese Mails auch schon länger und habe mal versucht, die mögliche Ursache einzugrenzen.

    Für möglich halte ich es, dass die Daten über einen dubiosen Zwischenhändler bei ebay geleakt sind :/

    Bei anderen Anbietern, wo mein Name in Verbindung mit der E-Mail-Adresse steht halte ich das für eher unwahrscheinlich..

  10. #10
    Urinstein Avatar von schara56
    Registriert seit
    03.08.2005
    Ort
    zuhause
    Beiträge
    10.591

    Standard

    Empfangen am 08 Apr 2012 18:13:38 +0200

    header:
    01: Received: from flirt-nachricht.com (EHLO flirt-nachricht.com) [95.211.120.136]
    02: by mx0.gmx.net (mx021) with SMTP; 08 Apr 2012 xx:xx:xx +0200
    03: Received: from localhost.localdomain (localhost [127.0.0.1])
    04: by flirt-nachricht.com (Postfix) with ESMTP ID: [ID filtered]
    05: for <x>; Sun, 8 Apr 2012 xx:xx:xx +0200 (CEST)
    Empfangen am 08 Apr 2012 18:55:01 +0200

    header:
    01: Received: from flirt-nachricht.com (EHLO flirt-nachricht.com) [95.211.120.136]
    02: by mx0.gmx.net (mx062) with SMTP; 08 Apr 2012 xx:xx:xx +0200
    03: Received: from localhost.localdomain (localhost [127.0.0.1])
    04: by flirt-nachricht.com (Postfix) with ESMTP ID: [ID filtered]
    05: for <x>; Sun, 8 Apr 2012 xx:xx:xx +0200 (CEST)
    Ansonsten die gleiche Shice wie oben.
    Villains who twirl their mustaches are easy to spot.
    Those who cloak themselves in good deeds are well camouflaged.

    Sokath! His eyes uncovered!

Seite 1 von 2 12 LetzteLetzte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen