WCM Forum - Bericht über einen Angriff....

WCM Forum (http://www.wcm.at/forum/index.php)

- Internet (http://www.wcm.at/forum/forumdisplay.php?f=8)

- - Bericht über einen Angriff.... (http://www.wcm.at/forum/showthread.php?t=96903)

Bericht über einen Angriff....

Hi,

Ihr erinnert Euch an meine Threads: Hülfe - ich werd' mit einem Virus bombardiert sowie Homepage: Emailadresse verbergen?.

Bericht zum Virus-Bomardement: Nachdem ich mich bei Tiscali's Abuse und auch bei den Direktoren von Tiscali massiv beschwert hatte, hörten die Virus-Mails relativ rasch auf :).

ABER: neuer, massiver Angriff durch SPAM (aus einer anderen Ecke) :( :( :(: Heut' in der Früh war es so weit: ab 7:05 in der Früh kamen im Minutentakt Spam-Mails, zumeist MAILER-DAEMON-Fehlermeldungen "Email an XY konnte nicht zugestellt werden". Da hat doch glatt irgend so ein kriminelles Element sichtlich an 1000e Emailadressen SPAM verschickt und MEINE dienstliche Emailadresse als Absender rein getan.

Binnen 45 Minuten hatte ich rund 60 Mails zu entsorgen - und keine Aussicht, dass die Flut aufhört.

Anruf bei AON - man kann mir nicht helfen, ich solle eine Email an abuse schreiben. Mein Einwand: bis die reagieren, hab' ich tausende Emails gekriegt - kein Erfolg.

Ich hab' jetzt kurzfristig meine dienstliche Emailadresse geändert und das Email-PHP-Formular aus dem o.g. Thread auf meiner HP in Betrieb genommen.

Dank hiermit an Alex1, Philipp und die anderen, die mir bei der Formular-Lösung behilflich waren.

Jetzt muss ich noch Formatvorlagen und meine dienstliche SW (Briefköpfe) ändern. Das alles wegen so einem Idioten....

MfG
Quintus

von wo hast du die unzustellbarkeitsberichte bekommen?

wir haben seit gestern 400 meils mit dem fizzer wurm abgefangen, einige davon waren unzustellbarkeitsberichte von aol, da war die ip drin von der die mails original gekommen sind, anhand dieser haben wir uns dann an den "inhaber" der ip-range gewendet, nach einem kurzen telefonat war alles aus :) :D

könntest ja mal eins von den mails posten...

Aber gern, der Header sah beispielsweise so aus:

----------------------------------------

Return-Path: <>
Delivered-To: office@...........
Received: (qmail 196040 invoked from network); 14 May 2003 06:08:48 -0000
Received: from unknown ([172.18.5.74]) (envelope-sender <>)
by qmail4.highway.telekom.at (qmail-ldap-1.03) with QMQP
for <>; 14 May 2003 06:08:48 -0000
Received: (qmail 524142 invoked from network); 14 May 2003 06:08:47 -0000
Received: from mail-gw.inp-net.de ([217.6.191.34]) (envelope-sender <>)
by qmail2rs.highway.telekom.at (qmail-ldap-1.03) with SMTP
for <office@...........>; 14 May 2003 06:08:47 -0000
Received: by mail-gw.inp-net.de (Postfix on SuSE eMail Server 2.0) via BOUNCE
id C71B33F21D; Wed, 14 May 2003 08:16:10 +0200 (CEST)
Date: Wed, 14 May 2003 08:16:10 +0200 (CEST)
From: MAILER-DAEMON@inp-net.de (Mail Delivery System)
Subject: Undelivered Mail Returned to Sender
To: office@...........
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
boundary="A49BC3EF4F.1052892970/mail-gw.inp-net.de"
Message-Id: <20030514061610.C71B33F21D@mail-gw.inp-net.de>

This is a MIME-encapsulated message.

--A49BC3EF4F.1052892970/mail-gw.inp-net.de
Content-Description: Notification
Content-Type: text/plain

This is the Postfix on SuSE eMail Server 2.0 program at host mail-gw.inp-net.de.

I'm sorry to have to inform you that the message returned
below could not be delivered to one or more destinations.

For further assistance, please send mail to <postmaster>

If you do so, please include this problem report. You can
delete your own text from the message returned below.

The Postfix on SuSE eMail Server 2.0 program

<anielsen@intours.de>: unknown user: "anielsen"

--A49BC3EF4F.1052892970/mail-gw.inp-net.de
Content-Description: Delivery error report
Content-Type: message/delivery-status

Reporting-MTA: dns; mail-gw.inp-net.de
Arrival-Date: Wed, 14 May 2003 08:15:43 +0200 (CEST)

Final-Recipient: rfc822; anielsen@intours.de
Action: failed
Status: 5.0.0
Diagnostic-Code: X-Postfix; unknown user: "anielsen"

--A49BC3EF4F.1052892970/mail-gw.inp-net.de
Content-Description: Undelivered Message
Content-Type: message/rfc822

Received: from DylLn2 (chello080110007219.202.12.vie.surfer.at [80.110.7.219])
by mail-gw.inp-net.de (Postfix on SuSE eMail Server 2.0) with SMTP id A49BC3EF4F
for <anielsen@intours.de>; Wed, 14 May 2003 08:15:43 +0200 (CEST)
Date: 08:08:22, 14.05.03
From: Devin <office@...........>
To: <anielsen@intours.de>
Subject: Re: Know Thyself
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="Unique_Boundary"
Message-Id: <20030514061543.A49BC3EF4F@mail-gw.inp-net.de>

--Unique_Boundary
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: 7bit

There is only one good, knowledge, and one evil, ignorance.

--Unique_Boundary
Content-Type: application/octet-stream;
name="Justin5.com"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="Justin5.com"

wir kriegen auch grad im minutentakt die fizzer.a mails rein.
hab auch schon etliche mails an abuse@... geschrieben - je nach provider bringts teilweise was - bei anderen gehts frisch und lustig weiter...

hab jetzt bei einigen die tatsächlichen absender eruieren können - mal schauen ob sich die auf meine mails melden...

der virus ist echt elendig :-(

Zitat:

Original geschrieben von Quintus14
Received: from DylLn2 (chello080110007219.202.12.vie.surfer.at [80.110.7.219])
by mail-gw.inp-net.de (Postfix on SuSE eMail Server 2.0) with SMTP id A49BC3EF4F
for <anielsen@intours.de>; Wed, 14 May 2003 08:15:43 +0200 (CEST)
Date: 08:08:22, 14.05.03
From: Devin <office@...........>
To: <anielsen@intours.de>

in rot die ip von der der mailserver von inp-net.de dieses email empfangen hat...

kommt von einem chello user der sich scheinbar den fizzer eingetraten hat ... :D

i wars ned :D

hmm, ip-spoofing? :mad:

Also Chello schickt auch tolle Antwort-Mails... sie bitten quasi darum, die FW zu deaktivieren... die ich gekauft habe -> iptables?!?!

Es war eine Anfrage/Bitte eine IP zu sperren/überprüfen, von der im Sekundentakt Anfragen gekommen sind... wobei ich natürlich keinen Screenshot sondern das Logfile mitgeschickt habe...

aber lest selbst:

Code:

 Sehr geehrter Herr xxx



In letzter Zeit installieren immer mehr

Internet-Teilnehmer eine Firewall und 

stellen dann fest, dass neben dem 

offensichtlichen Verkehr im Hintergrund 

immer mal unerwünschte Datenpakete im 

Internet kursieren. Verkehr der 

normalerweise ohne Firewall auch vom 

Computer ignoriert würde.



Wir möchten dieses Thema aufgreifen und 

hierzu beruhigen!

Ob mit oder OHNE Firewall sind solche 

sporadischen Datenpakete nicht 

gefährlich oder behindern Ihren 

Anschluss! Seien Sie also beruhigt.



Gefährlich sind nur manche Datenpakete 

und auch nur dann wenn Sie auf einen 

Computer mit Virus / Trojaner oder 

anderer Sicherheitslücke im System 

(Betriebssystem oder installierte 

Programme) - solche Systeme nennt man 

allg. "korrumpiert" (engl. "corrupted"). 

Die Firewall schafft in solchen Fällen 

quasi ein zweites "Sicherheitsnetz".



Die Funktion einer Firewall ist 

ursprünglich unerwünschte Datenpakete 

auf den bzw. vom eigenen Anschluss zu 

blockieren. Firewall-Hersteller haben 

nun allerdings sogenannte Warn- und 

Alarmmeldungen eingeführt, teilweise um 

zu zeigen "Das macht unser Produkt.. 

dafür zahlen Sie".



Diese Alarmmeldung bedeuten aber den 

eigentlichen Störfaktor, da Sie vom 

Hersteller meist so eingestellt sind, 

dass diese eine Benutzerreaktion 

erfordern oder einfach aufgrund Ihrer 

Art nerven. Die Datenpakete werden auch 

nicht plötzlich gefährlicher, weil eine 

Firewall installiert ist!



Eine Firewall kann aber auch "stumm" 

Ihren Dienst versehen - eine 

Bildschirmmeldung ist nicht notwendig. 

Dies raten wir sogar an, da Sie 

ansonsten nur durch laufende, 

sporadischen Datenpakete gestört werden. 

Es reicht vollkommen aus, dass eine 

Firewall unerwünschte Datenpakete 

blockiert.



Wir können natürlich verstehen, dass 

unsere Kunden durch solche 

Alarmmeldungen verunsichert sind.. aber 

es besteht kein Grund dazu! Solche 

Datenpakete richten ohne Firewall keinen 

Schaden - würden auf einem nicht 

korrumpierten Computer ohne Firewall 

vollkommen ignoriert. Sie können also 

beruhigt sein!



Aufgrund der Tatsache, dass wir von div. 

überregionalen Internet-Stellen laufend 

eine Meldung bekommen sollte ein 

unsichere PCs in unserem Netz 

aufscheinen, erhalten wir genügend 

Hinweise über solche Anschlüsse und 

können diese anhand dieser Daten 

ausräumen.



Es ist daher nicht notwendig uns wegen 

jedem unerwünschten Datenpaket zu 

informieren - zudem erhalten wir von den 

meisten Parteien leider nur 

unzureichende Hinweise (bitte KEINE 

WhoIS, KEINE Screenshots, keine 

Attachments! - Beschwerde-Log gleich im 

Mail direkt und unbedingt benötigen wir 

Quell-&Ziel-IP, Quell-&Ziel-Port, Datum, 

Uhrzeit) - Anfragen mit "der Anschluss 

wurde blockiert da 10 Zugriffe 

beobachtet wurden" .. sind wertlos für 

uns!



Wir bitten daher von der Meldung 

sporadischer Datenpakete ab zu sehen - 

Sie erleichtern uns dadurch auch unseren 

Job, da wir sowohl für die Bearbeitung 

von Anfragen als auch für die Ausräumung 

unsicherer PCs zuständig sind.. somit 

hätten wir mehr Zeit solche unsicheren 

PCs aus zu räumen und Sie bräuchten sich 

umgekehrt wiederum ueber weniger 

beschwerden. Je mehr Beschwerden wir 

aber erhalten, desto weniger Zeit bleibt 

für die eigentlichen Aufgaben - 

schließlich sind uns Anfrage genauso 

wichtig! Benöten aber erheblich mehr 

Zeit!



***



Zum Abschluss möchten wir Sie 

versichern, dass UPC Telekabel Fair Use 

seither intensiv gegen unsichere PCs in 

unseren Netzen/unter unseren Kunden 

vorgeht. Aufgrund der Verteilung unserer 

Kunden - wir können ja nicht direkt zum 

bewußten System - und den 

Informationeswegen, kann die Behebung 

durchaus etwas dauern. Wir sind aber 

immer intensiv darum bemüht und 

unsichere System werden daher sehr 

schnell aus unseren Netzen entfernt.



Solche System bedeuten allg. keine 

Gefahr für andere Internetteilnehmer - 

sollte einmal erhöhtes Gefahrenpotential 

von einem Anschluss ausgehen, so wird 

dieser gesondert behandelt und schnellst 

möglich ausgeräumt!



Nochmals vielen Dank für Ihre Anfrage!



Hochachtungsvoll

Ihr Telekabel Fair Use Team.



---------------------------------------------------------------

 Telekabel Wien Ges.m.b.H.

 Adresse: Erlachgasse 116, A-1100 Wien

 Tel:    +43 (1) 96060 360  werktags 8-22h, Sa/So/Fe 9-22h

 Fax:   +43 (1) 96068 1364

 URL:  http://www.chello.at

 Emai: fairuseteam@upc.at

Zitat:

Original geschrieben von frazzz
hmm, ip-spoofing? :mad:

i glaub ned, immerhin hat der wurm a eigene smtp engine, das wird dem user ned amal auffallen :( und dass der wurm ip spoofing betreibt :lol: :D ...

Zitat:

Original geschrieben von SNo0py
Also Chello schickt auch tolle Antwort-Mails... sie bitten quasi darum, die FW zu deaktivieren... die ich gekauft habe -> iptables?!?!

Es war eine Anfrage/Bitte eine IP zu sperren/überprüfen, von der im Sekundentakt Anfragen gekommen sind... wobei ich natürlich keinen Screenshot sondern das Logfile mitgeschickt habe...

aber lest selbst:

Code:

<--SNIP-->

:roflmao: :lol: :D

Zitat:

Original geschrieben von valo

i glaub ned, immerhin hat der wurm a eigene smtp engine, das wird dem user ned amal auffallen :( und dass der wurm ip spoofing betreibt :lol: :D ...

naja, wenn ich sowas mach(en würde), dann ordentlich :D

eigene smtp?
heisst das, ich brauch nichtmal einen mail- oder wasauchimmer-client starten?

"Zum Abschluss möchten wir SIE
versichern..."
..immerhin ein persönliches mail von upc :lol:

"wir können ja nicht direkt zum
bewußten System" :hehe: