Hi,
jemand im Umfeld einer meiner Kunden hat sich wohl nen Virus/Wurm eingefangen und mailt unsere info [at] xxx voll. Wir vermuten Netsky.
Jetzt versuchen wir ihn einzukreisen.
Die Mails haben im Header immer xxx.t-ipconnect.de
Ist das t-online? An wen kann ich mich bei denen wenden?
Hier mal ein Beispielheader:
Return-Path: <FAKEADDRESS>
Received: from MYDOMAIN (p5080D1AC.dip0.t-ipconnect.de [80.128.209.172])
by MYSERVERADDRESS (8.11.6/8.11.6) with ESMTP ID: [ID filtered]
for <info [at] MYDOMAIN>; Mon, 21 Jun 2004 xx:xx:xx +0200
Message-ID: [ID filtered]
From: FAKEADDRESS
To: info [at] MYDOMAIN
Subject: Re: Old photos
Date: Mon, 21 Jun 2004 xx:xx:xx +0200
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0016----=_NextPart_000_0016"
X-Priority: 3
X-MSMail-Priority: Normal

meikel
"Was interessiert mich Spam. Ich bin Vegetarier."

T-Online ist dip.t-dialin.net.
Dein Ansprechpartner ist abuse[at]t-ipnet.de

--
Disclaimer:This post is for educational and entertainment purpose only
`In short: just say NO TO DRUGS, and maybe you won`t end up like the Hurd people.` (Linus Torvalds)http://blue.unixadm.org/demo/blank.gif (http://blue.unixadm.org/demo/)

Laut Whois will abuse[at]t-ipnet.de Post bekommen.
EDIT: Sag ich ja :)
"Africans, we count people first while money and other material things
come after." -- Ann, 419 scammer
Spammer, go to http://www.arghcor.de/

Gut. Danke.
Wie flink, flexibel, kooperativ sind die?
Ich vermute mal eher nicht. Da die ja wie Behörden denken und arbeiten :-)
meikel
"Was interessiert mich Spam. Ich bin Vegetarier."

Kooperativ... etwas. Sehr redselig jedoch nicht, meist bekommt man wenn überhaupt nur ne Standardantwort.

"Africans, we count people first while money and other material things
come after." -- Ann, 419 scammer
Spammer, go to http://www.arghcor.de/

Der Trace to p5080D1AC.dip0.t-ipconnect.de führt übrigens in den Raum F wie Frankfurt am Main.
--
Wir kriegen euch alle!

Ja, das wissen wir schon. Der Kunde sitzt auch im Rhein-Main-Gebiet.
Und es muß irgend jemand im unmittelbaren Umfeld sein.
Da es sich um ne soziale Einrichtung handelt, können das dummerweise auch viele Privatpersonen sein.
Die Mails kommen übrigens von mehreren verschiedenen Adressen, die alle real aussehen.
Sind das Adressen aus dem Addressbuch des "Wirtes"? Oder werden die vom Wurm (Netsky-Verdacht) gefaked?
meikel
"Was interessiert mich Spam. Ich bin Vegetarier."

Hi Fidul,
du sagtest dass:
"Der Trace to p5080D1AC.dip0.t-ipconnect.de führt übrigens in den Raum F wie Frankfurt am Main"
woran sieht man das?
kannst du mir erklären woran man sieht aus welchen Gebiet ein Traceoder wie das hier heißt, z.B. das hier: pD9ED4469.dip0.t-ipconnect.de
Was heißen diese ganze Buchstaben und Zahlen?
Neugierig, dankend und grüssend,
Kornblume

An dem Hostnamen alleine sieht man das nicht, sondern nur im Kontext des gesamten Traces. Ich habe mal die o.a. IP getraced, der Host ist jetzt natürlich ein anderer:
1 <1 ms <1 ms <1 ms localhost [192.168.0.1] mein Router
2 10 ms 10 ms 10 ms 145.253.4.128 Radius-Server Arcor
3 9 ms 9 ms 8 ms han-145-254-11-209.arcor-ip.net [145.254.11.209] Router Arcor Hannover (HAN)
4 19 ms 18 ms 17 ms mue-145-254-16-94.arcor-ip.net [145.254.16.94] Router Arcor Muenster (?) (MUE)
5 21 ms 20 ms 20 ms 145.253.22.142 Gateway Arcor->Telekom
6 27 ms 27 ms 26 ms kl-eb1.kl.de.net.dtag.de [62.154.105.38] da isser: Router KL-EB1, KL=Kaiserslautern
7 30 ms 30 ms 32 ms 217.237.154.189 Radius-Server Telekom
8 88 ms 87 ms 90 ms pd9ed4469.dip0.t-ipconnect.de [217.237.68.105] Kunde der Telekom

--------------------------------------------
"Africans, we count people first while money and other material things come after." -- Ann, 419 scammer
Spammer, go to http://www.arghcor.de/

"Schluck!
was heißt das `getraced` und WIE macht man das?
Danke schööön
sagt
Kornblume

Unter Windows:
Start -> Ausführen -> "cmd" eingeben, im erscheinenden Fenster (DOS-Box): tracert <IP/Hostname>
Unter Linux:
Shell öffnen und traceroute <IP/Hostname> eingeben
"To trace (something)" ist englisch und bedeutet "jmd/etwas (ver)folgen, aufspüren". Und in unserem Fall eine Rückverfolgung der Route vom eigenen PC zum fremden PC.
--------------------------------------------
"Africans, we count people first while money and other material things come after." -- Ann, 419 scammer
Spammer, go to http://www.arghcor.de/

Ich hab mal ne andere Frage zu t-ipnet.de
Mir wurde mal geschildert, dass man mails die an abuse#t-ipnet.de geschickt werden auch an abuse[AT]t-online.de senden kann (wenn man eine IP per WhoIs erfragt und abuse#t-ipnet.de angezeigt wird).
Ich kann das nicht ganz nachvollziehen, denn ich selbst bin kein T-Online Kunde (sondern GMX-DSL Kunde) und trotzdem wird im WhoIs zu meiner IP abuse#t-ipnet.de angezeigt.
Folglich wäre eine Beschwerde bei t-online nicht immer korrekt. Bezieht sich das t-ipnet.de nicht vielmehr auf den Telefonanschluss bei der Deutschen Telekom, egal ob man jetzt bei T-Online, Freenet oder Tiscali ist?

Zitat Meldung T-Online Service Center

"t-ipconnect" steht für die Deutsche Telekom AG. Unter abuse [at] t-online.de erreichen Sie allerdings die T-Online International AG. Hierbei handelt es sich um zwei verschiedene Abteilungen.
Bitte wenden Sie sich direkt an die Abuse Abteilung von der Deutschen Telekom AG, welche Sie unter abuse[at]t-ipnet.de erreichen.
Bitte haben Sie Verständnis, das wir Ihnen den richtigen Ansprechpartner genannt und die eMail nicht einfach an die Deutsche Telekom AG weitergeleitet hat. Somit ist gewährleistet, das Ihre Anfrage so zeitnah wie möglich bearbeitet werden kann und Ihre Sender-Daten erhalten bleiben.
Übrigens, der rosa Riese bewegt sich doch. Nachdem ich an abuse[at]t-ipnet.de täglich so zwischen 10 und 20 Wurmmails, die wahrscheinlich alle von der selben Kiste stammen, einzeln gemailt habe, kam heute endlich eine Reaktion (Information wurde an 1&1 weitergeleitet).
--
mfg
Harry
Es geht doch nichts über einen guten Whisky am Abend!

Hinter all dem Zeugs mit abuse{at}t-ipnet.de im whois stecken Reseller der Telekom (T-Online, GMX, 1&1...). Man sortiert das dort ein und benachrichtigt die passende Firma. Nur wenn sich die IP zu *.t-dialin.net auflöst (reverse DNS), ist T-Online direkt zuständig.
--
Wir kriegen euch alle!

Gibt es irgendwo im Netz eine Liste wo man die Städte/Orte erkennen kann?

Z.B. was heißt das hier: bff.customer.fra.de.colt.net?
Falls ihr jetzt den Kopf schüttelt oder http://img.homepagemodules.de/rolling_eyes.gif, sorry...
dangeeee,
Kornblume

Fra.de ist Frankfurt am Main.

--------------------------------------------
"Africans, we count people first while money and other material things come after." -- Ann, 419 scammer
Spammer, go to http://www.arghcor.de/