Bericht über einen Angriff....

[Quintus14]

Hi,

Ihr erinnert Euch an meine Threads: Hülfe - ich werd' mit einem Virus bombardiert sowie Homepage: Emailadresse verbergen?.

Bericht zum Virus-Bomardement: Nachdem ich mich bei Tiscali's Abuse und auch bei den Direktoren von Tiscali massiv beschwert hatte, hörten die Virus-Mails relativ rasch auf .

ABER: neuer, massiver Angriff durch SPAM (aus einer anderen Ecke) : Heut' in der Früh war es so weit: ab 7:05 in der Früh kamen im Minutentakt Spam-Mails, zumeist MAILER-DAEMON-Fehlermeldungen "Email an XY konnte nicht zugestellt werden". Da hat doch glatt irgend so ein kriminelles Element sichtlich an 1000e Emailadressen SPAM verschickt und MEINE dienstliche Emailadresse als Absender rein getan.

Binnen 45 Minuten hatte ich rund 60 Mails zu entsorgen - und keine Aussicht, dass die Flut aufhört.

Anruf bei AON - man kann mir nicht helfen, ich solle eine Email an abuse schreiben. Mein Einwand: bis die reagieren, hab' ich tausende Emails gekriegt - kein Erfolg.

Ich hab' jetzt kurzfristig meine dienstliche Emailadresse geändert und das Email-PHP-Formular aus dem o.g. Thread auf meiner HP in Betrieb genommen.

Dank hiermit an Alex1, Philipp und die anderen, die mir bei der Formular-Lösung behilflich waren.

Jetzt muss ich noch Formatvorlagen und meine dienstliche SW (Briefköpfe) ändern. Das alles wegen so einem Idioten....

MfG
Quintus

[valo]

von wo hast du die unzustellbarkeitsberichte bekommen?

wir haben seit gestern 400 meils mit dem fizzer wurm abgefangen, einige davon waren unzustellbarkeitsberichte von aol, da war die ip drin von der die mails original gekommen sind, anhand dieser haben wir uns dann an den "inhaber" der ip-range gewendet, nach einem kurzen telefonat war alles aus

könntest ja mal eins von den mails posten...

[Quintus14]

Aber gern, der Header sah beispielsweise so aus:

----------------------------------------

Return-Path: <>
Delivered-To: office@...........
Received: (qmail 196040 invoked from network); 14 May 2003 06:08:48 -0000
Received: from unknown ([172.18.5.74]) (envelope-sender <>)
by qmail4.highway.telekom.at (qmail-ldap-1.03) with QMQP
for <>; 14 May 2003 06:08:48 -0000
Received: (qmail 524142 invoked from network); 14 May 2003 06:08:47 -0000
Received: from mail-gw.inp-net.de ([217.6.191.34]) (envelope-sender <>)
by qmail2rs.highway.telekom.at (qmail-ldap-1.03) with SMTP
for <office@...........>; 14 May 2003 06:08:47 -0000
Received: by mail-gw.inp-net.de (Postfix on SuSE eMail Server 2.0) via BOUNCE
id C71B33F21D; Wed, 14 May 2003 08:16:10 +0200 (CEST)
Date: Wed, 14 May 2003 08:16:10 +0200 (CEST)
From: MAILER-DAEMON@inp-net.de (Mail Delivery System)
Subject: Undelivered Mail Returned to Sender
To: office@...........
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
boundary="A49BC3EF4F.1052892970/mail-gw.inp-net.de"
Message-Id: <20030514061610.C71B33F21D@mail-gw.inp-net.de>

This is a MIME-encapsulated message.

--A49BC3EF4F.1052892970/mail-gw.inp-net.de
Content-Description: Notification
Content-Type: text/plain

This is the Postfix on SuSE eMail Server 2.0 program at host mail-gw.inp-net.de.

I'm sorry to have to inform you that the message returned
below could not be delivered to one or more destinations.

For further assistance, please send mail to <postmaster>

If you do so, please include this problem report. You can
delete your own text from the message returned below.

The Postfix on SuSE eMail Server 2.0 program

<anielsen@intours.de>: unknown user: "anielsen"

--A49BC3EF4F.1052892970/mail-gw.inp-net.de
Content-Description: Delivery error report
Content-Type: message/delivery-status

Reporting-MTA: dns; mail-gw.inp-net.de
Arrival-Date: Wed, 14 May 2003 08:15:43 +0200 (CEST)

Final-Recipient: rfc822; anielsen@intours.de
Action: failed
Status: 5.0.0
Diagnostic-Code: X-Postfix; unknown user: "anielsen"

--A49BC3EF4F.1052892970/mail-gw.inp-net.de
Content-Description: Undelivered Message
Content-Type: message/rfc822

Received: from DylLn2 (chello080110007219.202.12.vie.surfer.at [80.110.7.219])
by mail-gw.inp-net.de (Postfix on SuSE eMail Server 2.0) with SMTP id A49BC3EF4F
for <anielsen@intours.de>; Wed, 14 May 2003 08:15:43 +0200 (CEST)
Date: 08:08:22, 14.05.03
From: Devin <office@...........>
To: <anielsen@intours.de>
Subject: Re: Know Thyself
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="Unique_Boundary"
Message-Id: <20030514061543.A49BC3EF4F@mail-gw.inp-net.de>

--Unique_Boundary
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: 7bit

There is only one good, knowledge, and one evil, ignorance.

--Unique_Boundary
Content-Type: application/octet-stream;
name="Justin5.com"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="Justin5.com"

[kansas]

wir kriegen auch grad im minutentakt die fizzer.a mails rein.
hab auch schon etliche mails an abuse@... geschrieben - je nach provider bringts teilweise was - bei anderen gehts frisch und lustig weiter...

hab jetzt bei einigen die tatsächlichen absender eruieren können - mal schauen ob sich die auf meine mails melden...

der virus ist echt elendig :-(

[valo]

Zitat:

Original geschrieben von Quintus14
Received: from DylLn2 (chello080110007219.202.12.vie.surfer.at [80.110.7.219])
by mail-gw.inp-net.de (Postfix on SuSE eMail Server 2.0) with SMTP id A49BC3EF4F
for <anielsen@intours.de>; Wed, 14 May 2003 08:15:43 +0200 (CEST)
Date: 08:08:22, 14.05.03
From: Devin <office@...........>
To: <anielsen@intours.de>

in rot die ip von der der mailserver von inp-net.de dieses email empfangen hat...

kommt von einem chello user der sich scheinbar den fizzer eingetraten hat ...

[frazzz]

i wars ned


hmm, ip-spoofing?

[SNo0py]

Also Chello schickt auch tolle Antwort-Mails... sie bitten quasi darum, die FW zu deaktivieren... die ich gekauft habe -> iptables?!?!

Es war eine Anfrage/Bitte eine IP zu sperren/überprüfen, von der im Sekundentakt Anfragen gekommen sind... wobei ich natürlich keinen Screenshot sondern das Logfile mitgeschickt habe...

aber lest selbst:

Code:

 Sehr geehrter Herr xxx

In letzter Zeit installieren immer mehr
Internet-Teilnehmer eine Firewall und 
stellen dann fest, dass neben dem 
offensichtlichen Verkehr im Hintergrund 
immer mal unerwünschte Datenpakete im 
Internet kursieren. Verkehr der 
normalerweise ohne Firewall auch vom 
Computer ignoriert würde.

Wir möchten dieses Thema aufgreifen und 
hierzu beruhigen!
Ob mit oder OHNE Firewall sind solche 
sporadischen Datenpakete nicht 
gefährlich oder behindern Ihren 
Anschluss! Seien Sie also beruhigt.

Gefährlich sind nur manche Datenpakete 
und auch nur dann wenn Sie auf einen 
Computer mit Virus / Trojaner oder 
anderer Sicherheitslücke im System 
(Betriebssystem oder installierte 
Programme) - solche Systeme nennt man 
allg. "korrumpiert" (engl. "corrupted"). 
Die Firewall schafft in solchen Fällen 
quasi ein zweites "Sicherheitsnetz".

Die Funktion einer Firewall ist 
ursprünglich unerwünschte Datenpakete 
auf den bzw. vom eigenen Anschluss zu 
blockieren. Firewall-Hersteller haben 
nun allerdings sogenannte Warn- und 
Alarmmeldungen eingeführt, teilweise um 
zu zeigen "Das macht unser Produkt.. 
dafür zahlen Sie".

Diese Alarmmeldung bedeuten aber den 
eigentlichen Störfaktor, da Sie vom 
Hersteller meist so eingestellt sind, 
dass diese eine Benutzerreaktion 
erfordern oder einfach aufgrund Ihrer 
Art nerven. Die Datenpakete werden auch 
nicht plötzlich gefährlicher, weil eine 
Firewall installiert ist!

Eine Firewall kann aber auch "stumm" 
Ihren Dienst versehen - eine 
Bildschirmmeldung ist nicht notwendig. 
Dies raten wir sogar an, da Sie 
ansonsten nur durch laufende, 
sporadischen Datenpakete gestört werden. 
Es reicht vollkommen aus, dass eine 
Firewall unerwünschte Datenpakete 
blockiert.

Wir können natürlich verstehen, dass 
unsere Kunden durch solche 
Alarmmeldungen verunsichert sind.. aber 
es besteht kein Grund dazu! Solche 
Datenpakete richten ohne Firewall keinen 
Schaden - würden auf einem nicht 
korrumpierten Computer ohne Firewall 
vollkommen ignoriert. Sie können also 
beruhigt sein!

Aufgrund der Tatsache, dass wir von div. 
überregionalen Internet-Stellen laufend 
eine Meldung bekommen sollte ein 
unsichere PCs in unserem Netz 
aufscheinen, erhalten wir genügend 
Hinweise über solche Anschlüsse und 
können diese anhand dieser Daten 
ausräumen.

Es ist daher nicht notwendig uns wegen 
jedem unerwünschten Datenpaket zu 
informieren - zudem erhalten wir von den 
meisten Parteien leider nur 
unzureichende Hinweise (bitte KEINE 
WhoIS, KEINE Screenshots, keine 
Attachments! - Beschwerde-Log gleich im 
Mail direkt und unbedingt benötigen wir 
Quell-&Ziel-IP, Quell-&Ziel-Port, Datum, 
Uhrzeit) - Anfragen mit "der Anschluss 
wurde blockiert da 10 Zugriffe 
beobachtet wurden" .. sind wertlos für 
uns!

Wir bitten daher von der Meldung 
sporadischer Datenpakete ab zu sehen - 
Sie erleichtern uns dadurch auch unseren 
Job, da wir sowohl für die Bearbeitung 
von Anfragen als auch für die Ausräumung 
unsicherer PCs zuständig sind.. somit 
hätten wir mehr Zeit solche unsicheren 
PCs aus zu räumen und Sie bräuchten sich 
umgekehrt wiederum ueber weniger 
beschwerden. Je mehr Beschwerden wir 
aber erhalten, desto weniger Zeit bleibt 
für die eigentlichen Aufgaben - 
schließlich sind uns Anfrage genauso 
wichtig! Benöten aber erheblich mehr 
Zeit!

***

Zum Abschluss möchten wir Sie 
versichern, dass UPC Telekabel Fair Use 
seither intensiv gegen unsichere PCs in 
unseren Netzen/unter unseren Kunden 
vorgeht. Aufgrund der Verteilung unserer 
Kunden - wir können ja nicht direkt zum 
bewußten System - und den 
Informationeswegen, kann die Behebung 
durchaus etwas dauern. Wir sind aber 
immer intensiv darum bemüht und 
unsichere System werden daher sehr 
schnell aus unseren Netzen entfernt.

Solche System bedeuten allg. keine 
Gefahr für andere Internetteilnehmer - 
sollte einmal erhöhtes Gefahrenpotential 
von einem Anschluss ausgehen, so wird 
dieser gesondert behandelt und schnellst 
möglich ausgeräumt!

Nochmals vielen Dank für Ihre Anfrage!

Hochachtungsvoll
Ihr Telekabel Fair Use Team.

---------------------------------------------------------------
 Telekabel Wien Ges.m.b.H.
 Adresse: Erlachgasse 116, A-1100 Wien
 Tel:    +43 (1) 96060 360  werktags 8-22h, Sa/So/Fe 9-22h
 Fax:   +43 (1) 96068 1364
 URL:  http://www.chello.at
 Emai: fairuseteam@upc.at

[valo]

Zitat:

Original geschrieben von frazzz
hmm, ip-spoofing?

i glaub ned, immerhin hat der wurm a eigene smtp engine, das wird dem user ned amal auffallen und dass der wurm ip spoofing betreibt ...

[valo]

Zitat:

Original geschrieben von SNo0py
Also Chello schickt auch tolle Antwort-Mails... sie bitten quasi darum, die FW zu deaktivieren... die ich gekauft habe -> iptables?!?!

Es war eine Anfrage/Bitte eine IP zu sperren/überprüfen, von der im Sekundentakt Anfragen gekommen sind... wobei ich natürlich keinen Screenshot sondern das Logfile mitgeschickt habe...

aber lest selbst:

Code:

<--SNIP-->

[frazzz]

Zitat:

Original geschrieben von valo

i glaub ned, immerhin hat der wurm a eigene smtp engine, das wird dem user ned amal auffallen und dass der wurm ip spoofing betreibt ...

naja, wenn ich sowas mach(en würde), dann ordentlich

eigene smtp?
heisst das, ich brauch nichtmal einen mail- oder wasauchimmer-client starten?


"Zum Abschluss möchten wir SIE
versichern..."
..immerhin ein persönliches mail von upc

"wir können ja nicht direkt zum
bewußten System"