PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Mr Song Lile - Most Urgent



han
22.11.2009, 00:38
X-Apparently-To: xxx [at] yahoo.de via xxx.xxx.xxx.xx; Fri, 20 Nov 2009 xx:xx:xx -0800
Return-Path: <songlileprivate [at] yahoo.com.hk>
X-YahooFilteredBulk: 200.55.156.178
X-YMailISG: 6Psx_mgWLDt4Tj.ppJEaISRxth1bCXOavVSBddkPZRPnUDyerAoMl6lBHQURd9sp4MHduChckXMZJFx. bRQNyYjNnSAJKmeRZfxKOgVc._YMmZDEdsXi8O34BjQ7k4kH47q74FCGbB_JJnGMQf48o_9x2iwFSXhK Qw1lgM_vvK4Z2w0serySHV5G5qvlEjjH7F_izQ7PSyyPVhhSiuFjRZYPPDxaCa5aeeQuAIq_YY8jmWoY YY3Sf1SJqr3HSTsagzFYXxrUJDrp_Wz.WHnTw1QvNRdirgAFJj6Wl8ar
X-Originating-IP: [200.55.156.178]
Authentication-Results: mta1028.mail.re4.yahoo.com from=yahoo.com.hk; domainkeys=neutral (no sig); from=yahoo.com.hk; dkim=neutral (no sig)
Received: from 127.0.0.1 (EHLO mx.rimed.cu) (200.55.156.178) by mta1028.mail.re4.yahoo.com with SMTP; Fri, 20 Nov 2009 xx:xx:xx -0800
Received: from mailer.rimed.cu (mailer.rimed.cu [200.55.156.173]) by mx.rimed.cu (Postfix) with ESMTP ID: [ID filtered]
Received: from localhost (ns2.rimed.cu [200.55.156.163]) by mailer.rimed.cu (Postfix) with ESMTP ID: [ID filtered]
Received: from 203.210.142.206 ([203.210.142.206]) by webmail.rimed.cu (Horde Framework) with HTTP; Fri, 20 Nov 2009 xx:xx:xx +0100
Message-ID: [ID filtered]
Date: Fri, 20 Nov 2009 xx:xx:xx +0100
From:
Mr Song Lile <songlileprivate [at] yahoo.com.hk>
Absender in den Kontakten speichern
Reply-to: songlileprivatee04 [at] yahoo.com.hk
To: undisclosed-recipients:;
Subject: Most Urgent
MIME-Version: 1.0
Content-Type: text/plain; charset=ISO-8859-1; DelSp="Yes"; format="flowed"
Content-Disposition: inline
Content-Transfer-Encoding: 7bit
User-Agent: Internet Messaging Program (IMP) H3 (4.3.4)
Content-Length: 388


My name is Mr. Song Li le I work with the Hang Seng Bank.There is the sum of
$19,500,000.00 in my bank"Hang Seng Bank",Hong kong.I wish to make a transfer involving a huge amount of money worth$19,500,000.00 .I do solicit for your assistance in effecting this transaction.I intend to give 30% of the total funds as compensation for your assistance.

Kind Regards,
Mr. Song Lile.

Goofy
22.11.2009, 01:03
Der Server mit der IP 200.55.156.178 steht in Kuba und ist schon aufgefallen:

http://www.spamhaus.org/sbl/sbl.lasso?query=SBL81398


Ref: SBL81398

200.55.156.160/27 is listed on the Spamhaus Block List (SBL)

17-Nov-2009 13:37 GMT | SR08

advance fee fraud sources at rimed.cu

Criminal scammers, probably operating out of Nigeria, have been sending
large amounts of spam through these mail servers for many days.
Rimed needs to block them.

Mit anderen Worten: wohl wieder mal ein gecrackter Squirrel-Mailserver, und die Hoster in Havanna kriegen es nicht gebacken, das Teil vom Netz zu nehmen.

Die Mugus nehmen momentan gern solche gecrackte Server, um die Mails drüber abzudrücken. Die Ratware und die IPs dieser Server kaufen sie von den Russkis. Alleine wären die viel zu blöd für sowas.

han
22.11.2009, 03:52
hier die anderen IPs, die mich bespamt haben


171.67.219.82 Vereinigte Staaten
200.55.156.178 Kuba
193.63.239.164 Grossbritannien
196.216.67.62 Kenia
163.203.222.222 Südafrika
200.21.104.81 Kolumbien
148.78.247.132 Vereinigte Staaten
91.123.16.19 Russland
130.237.32.175 Schweden
220.191.176.35 China
64.98.42.194 Kanada
91.121.100.192 Frankreich
212.55.203.195 Schweiz
209.226.175.72 Kanada
209.29.33.22 Kanada
209.59.131.117 Vereinigte Staaten
209.226.175.10 Kanada
61.9.168.146 Australien


bunte mischung - fast alle IPs nur einmal benutzt

kann es sein, dass das die nachwirkung der teilnahme am planet49-gewinnspiel ist, obwohl schon 2 jahre seit der abmeldung? (leider per link in der mail) - und die kommen alle erst jetzt?

in diesen 2 jahren kam vll alle 3 monate mal was - jetzt 2/3 mal die woche


gruss
hans

Goofy
22.11.2009, 11:33
Möglich ist grundsätzlich alles. Planet49 verkauft aber wohl eher keine Daten wissentlich und direkt an Mugus. Die primären Datenquellen der Mugus liegen eher woanders:


Gästebücher im Internet werden nach Mailadressen abgegrast, und zwar manuell, nicht etwa mit Spidern
Adress-CDs von zwielichtigen Adressbrokern werden angekauft, z.B. bei e-bay, oder nach Kontaktierung in Spammerforen. Der Adressbroker könnte diese Daten durchaus auch von einem Gewinnspielbetreiber haben.
Dieselben Russkis, die den Mugus die gecrackten Server und die Ratware vermieten, könnten auch im Adresshandel tätig sein und den Mugus Adress-CDs verkaufen

kjz1
22.11.2009, 14:50
Mit anderen Worten: wohl wieder mal ein gecrackter Squirrel-Mailserver, und die Hoster in Havanna kriegen es nicht gebacken, das Teil vom Netz zu nehmen.

Kleine Korrektur:

Es handelt sich hier wohl laut den Headern um gecracktes Horde Framework:

http://de.wikipedia.org/wiki/Horde_%28Framework%29

Das Problem hat aber ein und dieselbe Wurzel: sowohl SquirrelMail als auch der Horde Webmail Client basieren beide auf einer Sammlung von PHP-Skripten. Und ich halte es für brandgefährlich, wenn 'Turnschuh-Admins' PHP auf öffentlich zugänglichen Servern einsetzen. Wer PHP öffentlich zugänglich einsetzt, sollte über ein profundes Wissen darüber verfügen, wie man PHP absichert. Und da fehlt es bei vielen, Resultat: reihenweise gecrackte Server.

- kjz

han
22.11.2009, 20:55
mir ist noch die IP 203.210.142.206 in zeile 18 aufgefallen
ist dies normal die ID: [ID filtered]
aber die gehört doch nach vietnam (laut geobytes.com) !?
und dahinter dann der kubanische mailserver webmail.rimed.cu ?
:confused:

vll kapier ich's noch irgendwann...

gruss hans

OT: war hier der WHOIS-code notwendig?

Goofy
22.11.2009, 21:04
Das Problem beim SMTP-Mailheader ist, dass er in weiten Teilen gefälscht werden kann.

Das einzige, was nicht zu fälschen ist, ist die einliefernde IP-Adresse. Dieser Eintrag wird nämlich vom empfangenden Mailserver in den Header gesetzt. Das ist die einliefernde Adresse am annehmenden Mailserver Deines Mailproviders, der natürlich immer als vertrauenswürdig einzustufen ist, und der wohl keine Fälschungen vornimmt. Wenn der im Header den Eintrag vornimmt, dass er die Mail von 200.55.156.178 gekriegt hat, dann stimmt das schon mal so.

Wenn jetzt der gecrackte Server mit der IP 200.55.156.178 im Header behauptet, er habe die Mail seinerseits durchgeleitet bekommen, und zwar von der 203.210.142.206, dann kann das stimmen, muss aber nicht. Es kann sich grundsätzlich immer um einen gefälschten Eintrag handeln. In der Tat machen Spammer mit ihrer Ratware das häufig, um den Verfolger zu verwirren. Dieser Eintrag wäre dann vertrauenswürdig, wenn man dem Server in Kuba vertrauen könnte. Weil der aber seinerseits schon gecrackt wurde, ist es sehr wahrscheinlich, dass alles das, was dieser Server in den Header geschrieben hat, komplett vom Spammer gefälscht wurde. Also auch die vietnamesische IP: wahrscheinlich Fake.

han
22.11.2009, 21:53
Das einzige, was nicht zu fälschen ist, ist die einliefernde IP-Adresse. Dieser Eintrag wird nämlich vom empfangenden Mailserver in den Header gesetzt.
also mein mailserver schreibt die komplette erste received-zeile - hier 12 und 13 - und nur die ist sicher echt - richtig?

danke für die antwort

gruss hans

han
22.11.2009, 22:51
.. und zum beispel dem mailserver der Königlich Technischen Hochschule in Schweden (http://www.kth.se/), von dem ich eine spam bekam (ich hab nen nagelneuen BMW gewonnen plus 750.000 britische pfund) ,

Received: from 130.237.32.175 (EHLO smtp-1.sys.kth.se) (130.237.32.175) by mta262.mail.re2.yahoo.com with SMTP; Sat, 17 Oct 2009 xx:xx:xx -0700
Received: from localhost (localhost [127.0.0.1]) by smtp-1.sys.kth.se (Postfix) with ESMTP ID: [ID filtered]
X-Virus-Scanned: by amavisd-new at kth.se
Received: from smtp-1.sys.kth.se ([127.0.0.1]) by localhost (smtp-1.sys.kth.se [127.0.0.1]) (amavisd-new, port 10024) with LMTP ID: [ID filtered]
Received: from exhub01.ug.kth.se (exhub01.ug.kth.se [IPv6:2001:6b0:1:1200:b8e3:b9b9:e19a:3274]) by smtp-1.sys.kth.se (Postfix) with ESMTP ID: [ID filtered]
Received: from mail02.ug.kth.se ([fe80::c997:62d2:6386:3e8a]) by exhub01.ug.kth.se ([fe80::b8e3:b9b9:e19a:3274%11]) with mapi; Sat, 17 Oct 2009 xx:xx:xx +0200
From:
Weimin Ma <weimin [at] kth.se>
Absender in den Kontakten speichern
Date: Sat, 17 Oct 2009 xx:xx:xx +0200
Subject: BMW E-Mail Selection Contact<bmwawarenessuk [at] inMail24.com>

soll ich dem ne abuse-mail schicken?
nutzt das was?
spamanalyser sagt mir: keine blacklist-einträge


gruss hans

hoppala
22.11.2009, 23:01
.. und zum beispel dem mailserver der Königlich Technischen Hochschule in Schweden (http://www.kth.se/), von dem ich eine spam bekam
...
soll ich dem ne abuse-mail schicken?


Ja, auf jeden Fall. Wenn die Mail nicht von einer dynamisch vergebenen IP-Adresse kommt, sondern von z.B. einem echten Mailserver wie hier, sollte man auf jeden Fall eine Abuse-Mail schicken - die Betreiber dieser Server haben normalerweise kein interesse daran, dass ihre Adresse in irgendwelchen Blacklists landet und schmeißen Spammer schnell raus.
Bei einem Spammer-Hoster kann man sich das natürlich sparen, der lebt ja davon, dass seine Kunden woanders nicht gern gesehen sind und deswegen bei ihm sind.

hoppala

Goofy
22.11.2009, 23:05
also mein mailserver schreibt die komplette erste received-zeile - hier 12 und 13 - und nur die ist sicher echt - richtig?

Ja, das macht Dein Mailserver (wenn Du selbst einen am Netz betreibst) bzw. der Eingangs-Mailserver Deines Mailproviders (bei Dir: yahoo). Wohlgemerkt: nur der Eintrag der IP in der eckigen Klammer kommt vom Mailserver, der Rest der ganzen Zeile kann unter Umständen auch wieder vom versendenden Server gefälscht worden sein.

Es kann sein, dass obendran im Header noch ein oder zwei weitere "Eingangs-Received-Schleifen" des Mailproviders stehen, manche schreiben da noch ihre internen Netzwerk-Weiterleitungen rein. Maßgeblich ist aber immer die IP, die der empfangende Mailserver, der die Mail von außen reingekriegt hat, in den Header geschrieben hat. Die IP, die da in eckigen Klammern steht, gilt.

EMailHeader

Wegen der schwedischen Hochschule: da würde ich auf jeden Fall eine Abuse-mail schreiben. Man sieht da bloß im whois nicht so richtig, wer zuständig ist; üblich sind eigentlich Kennzeichnungen wie "in case of abuse report to .... [at] ...", das fehlt hier aber.
Im Zweifelsfall an erik(-at-)nordu.net und CC an lir(-at-)sunet.se schreiben.
Vorlagen auf englisch:
http://www.antispam-ev.de/wiki/Spammer_verfolgen#Englischsprachige_Abuse-Mail_an_den_Provider_der_versendenden_IP-Addresse

Die haben möglicherweise auch ihren Server gecrackt und wissen noch gar nichts von ihrem "Glück". Da muss es auch nicht sein, dass es da schon einen Blacklist-Eintrag gibt, wenn das erst kurze Zeit so geht.

han
22.11.2009, 23:47
Die IP, die da in eckigen Klammern steht, gilt
also hier in zeile 14 ?



Wiki:EMailHeader
danke - den hab ich schon durch,
und dort war eben immer ne eckiggeklammerte IP in der ersten received-zeile
und im vorliegend fall ist ja die IP in der ersten received-zeile rundgeklammert also wahrscheinlich so ne "eingangs-received-schleife"

Man sieht da bloß im whois nicht so richtig, wer zuständig ist; üblich sind eigentlich Kennzeichnungen wie "in case of abuse report to .... [at] ...", das fehlt hier aber.

Responsible contacts at the ISP:
(You may click on the email link below to write an abuse report. Please include the whole email in the report. Do not forget the headers.)

* postmaster(at)kth.se (source: abuse.net)
* abuse(at)kth.se (source: abuse.net)
an eine der beiden addys würd ich sie schicken...

gruss hans

Goofy
23.11.2009, 02:48
also hier in zeile 14 ?

Hier ist Zeile 14 maßgebend, weil der Eintrag dort in der eckigen Klammer vom yahoo-Eingangsmailserver vorgenommen wurde. Alle weiteren Einträge haben entweder der Kubaner oder der Spammer oder beide vorgenommen. Und beiden kannst Du nicht vertrauen. Kann ganz oder teilweise gefälscht sein.



an eine der beiden addys würd ich sie schicken...


Im Zweifel einfach an beide.

han
23.11.2009, 14:59
sorry wenn ich nerv, aber eckiggeklammerte IPs in den received-zeilen gibt es bei mir nicht immer.
hier zB in dem header meiner antispamforumswillkommensmail fehlt sie
X-Apparently-To: xxxx [at] yahoo.de via xxx.xxx.xxx.xxx; Fri, 20 Nov 2009 xx:xx:xx -0800
Return-Path: <www-data [at] antispam-ev.de>
X-YMailISG: 2dmR7TIWLDvqpb75KFG6k5hK_pwvDbZXJV_tZ0UnTGp8eQ6jGanQdfDSZ9yUa9f12zMVImkcKftW9ywq uS5sdM_XdtPgKLUevb9fRyDYrJk9GoKl9an0PbqxQwu_I0hU0BV9fu2rptN.SWjjvzs3mV8JglWrqUT4 MwCPBIV5IdLtmddk2qEpiWESzBgH8zEZooXB8ia2OZWIJ3sqSMOZLUXkDFJxF6GqYiZC4dIEa73MNpZB KHOhDLTH9qi30E89TC8Uoq9.N.lzgKkL2dhcH.VhztMIZGlC5FpknU.kMXr_BMAkgl2Upqvujqyw_nqF R5kyBGnXQ2AAo3Kan34C5qWPPQ5HemALyP341IkMjB5nQQ--
X-Originating-IP: [89.238.75.74]
Authentication-Results: mta1052.mail.sk1.yahoo.com from=antispam-ev.de; domainkeys=neutral (no sig); from=antispam-ev.de; dkim=neutral (no sig)
Received: from 127.0.0.1 (EHLO antispam-ev.de) (89.238.75.74) by mta1052.mail.sk1.yahoo.com with SMTP; Fri, 20 Nov 2009 xx:xx:xx -0800
Received: from antispam-ev.de (localhost [127.0.0.1]) by antispam-ev.de (Postfix) with SMTP ID: [ID filtered]
Received: (from www-data [at] antispam-ev.de) by antispam-ev.de (mini_sendmail/1.3.6 29jun2005); Sat, 21 Nov 2009 xx:xx:xx CET (sender www-data [at] antispam-ev.de)
To: poor [at] spamvictim.tld
Subject: Willkommen bei Antispa.....

also gilt hier die einzig vorhandene und rundgeklammerte IP ?

kann es nicht sein, dass mein yahoo die eckigen klammern durch runde ersetzt, aber die IP dann oben unter X-Originating-IP in eckigen klammern ausweist?

gruss hans

cmds
23.11.2009, 15:10
X-Originating-IP: [89.238.75.74]Die IP ist eckig geklammert und ist definitiv auch die IP von Antispam.de!
Yahoo verschluckt, bzw. zeigt die IP nicht immer im Webmailer!

Hippo
11.02.2011, 14:29
Wieder aktuell

Return-Path: <songlile222 [at] aol.nl>
Delivery-Date: Mon, 07 Feb 2011 xx:xx:xx +0100
Received-SPF: neutral (mxbap1: 94.100.192.6 is neither permitted nor denied by domain of aol.nl)
client-ip=94.100.192.6; envelope-from=songlile222 [at] aol.nl; helo=mail.teletoria.ru;
Received: from mail.teletoria.ru (mail.kolatelecom.ru [94.100.192.6])
by mx.kundenserver.de (node=mxbap1) with ESMTP (Nemesis)
ID: [ID filtered]
Received: from localhost ([127.0.0.1] helo=mail.teletoria.ru)
by mail.teletoria.ru with esmtp (Exim 4.69) (envelope-from <songlile222 [at] aol.nl>)
ID: [ID filtered]
Received: from 77.249.25.14 (SquirrelMail authenticated user test)
by mail.teletoria.ru with HTTP; Mon, 7 Feb 2011 xx:xx:xx +0100
Message-ID: [ID filtered]
Date: Mon, 7 Feb 2011 xx:xx:xx +0100
Subject: [Spam] Business Proposal
From: "Song Li le Mr." <songlile222 [at] aol.nl>
Reply-To: songlile222 [at] aol.nl
User-Agent: SquirrelMail/1.4.20-RC2
MIME-Version: 1.0
Content-Type: text/plain;charset=iso-8859-1
Content-Transfer-Encoding: 8bit
X-Priority: 3 (Normal)
Importance: Normal
X-Invalid-HELO: Host impersonating [mail.teletoria.ru]
X-UI-Junk: AutoMaybeJunk +0 (); V01:Zzwtcn/p:qfJIqQ5JSkc1AEjdv+zpziglNSvheFBvbl6uhbXIIqXMmvBZyoD
s2dnG91Av1cfFdl4WbGaeGALnU2+8sfScV0+70oOHL8vZ06PPhTm1gnrLFb7EP9f wyIJWlNm8+B/n
Envelope-To: poor [at] spamvictim.tld
X-AntiVirus: checked (incoming) by AntiVir MailGuard (Version: 10.0.1.38; AVE: 8.2.4.162; VDF:
7.11.2.92)
X-Avira-Antispam: Version 10.0.4.0 on PetNet (192.168.1.129) asata 10.0.4.0 settings.db:10.0.4.0
(14-12-10 11:20) global_words.db:10.0.4.0.0.1 (14-12-10 11:26) user_words.db:9.0.0.14.0.1
(04-02-10 22:39)
X-Avira-ScanDate: 02/07/11 xx:xx:xx
X-Avira-SpamScore: ata: 7.300 bayes: 0.672 final: 8.014
X-Avira-SpamLevel: Very high


Business Proposal
===============
My name is Mr. Song Li le I work with the Hang Seng Bank.There is the sum of $19,500,000.00 in my bank"Hang Seng Bank",Hong kong.I do solicit for your assistance in effecting this transaction.I intend to give 30% of the total funds as compensation for your assistance.
Sincerely,
Mr. Song Lile
Private e-mail: songlile222 [at] aol.nl
Phone: +852-9534-8675



Über Post freut sich

songlile222 [at] aol.nl
songlile222 [at] aol.nl
songlile222 [at] aol.nl
songlile222 [at] aol.nl
songlile222 [at] aol.nl

Arthur
11.02.2011, 14:35
Wieder aktuell
der ist ständig aktuell >> http://www.google.de/#hl=de&source=hp&q=My+name+is+Mr.+Song+Li+le+I+work+with+the+Hang+Seng+Bank&btnG=Google-Suche&aq=f&aqi=&aql=&oq=My+name+is+Mr.+Song+Li+le+I+work+with+the+Hang+Seng+Bank&fp=6320fb6ee9124b6