Kann mir das einer erklaren?

Dieses Thema im Forum "Security Talk" wurde erstellt von Andre, 30.08.2003.

  1. Andre

    Andre Foren Gott
    Moderator

    Dabei seit:
    01.04.2002
    Beiträge:
    3.876
    Zustimmungen:
    0
    Ich kriege gerade eine Errormeldung per mail, in der steht, das ich viren verschicke...
    Das Problem dabei ist, das die mails nicht von mir sind und auch nicht von meinem Server kommen....
    Schaut euch mal den Header an und sagt mir ob ich da richtig liege??
    Was kann man da tun?
    ######Header#######
    Return-Path: <MAILER-DAEMON@p15105708.pureserver.info>
    Received: from selket.rz.tu-clausthal.de (XXXX.rz.tu-clausthal.de [139.174.2.37])
    by p15105708.pureserver.info (8.11.3/8.11.3/SuSE Linux 8.11.1-0.5) with ESMTP id h7TKe0J00745
    for <andre@unixboard.de>; Fri, 29 Aug 2003 22:40:00 +0200
    Received: by selket.rz.tu-clausthal.de (Postfix)
    id 674B33A316; Fri, 29 Aug 2003 22:40:00 +0200 (CEST)
    Date: Fri, 29 Aug 2003 22:40:00 +0200 (CEST)
    From: MAILER-DAEMON@rz.tu-clausthal.de (Mail Delivery System)
    Subject: Undelivered Mail Returned to Sender
    To: andre@unixboard.de
    MIME-Version: 1.0
    Content-Type: multipart/report;
    report-type=delivery-status;
    boundary="1BEC03A324.1062189600/XXXX.rz.tu-clausthal.de"
    Message-Id: <20030829204000.674B33A316@XXXX.rz.tu-clausthal.de>
    X-UIDL: Rb$"!==+!!NR~"!K&;!!
    X-Spam-Status: No, hits=2.8 required=5.0
    tests=MICROSOFT_EXECUTABLE,UPPERCASE_25_50,WEIRD_QUOTING
    version=2.55
    X-Spam-Level: **
    X-Spam-Checker-Version: SpamAssassin 2.55 (1.174.2.19-2003-05-19-exp)
    Status: R
    X-Status: N
    X-KMail-EncryptionState:
    X-KMail-SignatureState:


    This is the Postfix program at host XXXX.rz.tu-clausthal.de.

    I'm sorry to have to inform you that the message returned
    below could not be delivered to one or more destinations.

    For further assistance, please send mail to <postmaster>

    If you do so, please include this problem report. You can
    delete your own text from the message returned below.

    The Postfix program

    <XXXXXX@heim3.tu-clausthal.de>: host 127.0.0.1[127.0.0.1] said: 550
    5.7.1 Message content rejected, id=49294-01-11 - VIRUS: W32/Sobig-F (in
    reply to end of DATA command)



    Delivery error report
    Encapsulated message


    Received: from STYLER (pD954E33C.dip.t-dialin.net [217.84.227.60])
    by XXXX.rz.tu-clausthal.de (Postfix) with ESMTP id 1BEC03A324
    for <XXXX@heim3.tu-clausthal.de>; Fri, 29 Aug 2003 22:38:13 +0200 (CEST)
    From: <andre@unixboard.de>
    To: <XXXXX@heim3.tu-clausthal.de>
    Subject: Thank you!
    Date: Fri, 29 Aug 2003 22:38:14 +0200
    X-MailScanner: Found to be clean
    Importance: Normal
    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    X-MSMail-Priority: Normal
    X-Priority: 3 (Normal)
    MIME-Version: 1.0
    Content-Type: multipart/mixed;
    boundary="_NextPart_000_000EE66E"
    Message-Id: <20030829203813.1BEC03A324@XXXX.rz.tu-clausthal.de>


    See the attached file for details

    application.pif <<<<-----Das ist der Virus ;-)
    End of encapsulated message
     
  2. Anzeige

    Schau dir mal diesen Ratgeber an. Viele Antworten inkl. passender Shell-Befehle!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 MTS, 30.08.2003
    Zuletzt bearbeitet: 30.08.2003
    MTS

    MTS Kaiser

    Dabei seit:
    09.11.2002
    Beiträge:
    1.242
    Zustimmungen:
    0
    Ort:
    NRW, Bochum
    Ich versuch das mal zu entziffern ...

    Return-Path: <MAILER-DAEMON@p15105708.pureserver.info>
    -- Die jetztige mail bekommst du vom Mailer-Daemon, alles ok so ..

    Received: from selket.rz.tu-clausthal.de (XXXX.rz.tu-clausthal.de
    [139.174.2.37])
    -- Die nachricht hast du von diesem server abgeholt (XXXX.rz.tu-clausthal.de)

    by p15105708.pureserver.info (8.11.3/8.11.3/SuSE Linux 8.11.1-0.5) with ESMTP id h7TKe0J00745
    for <andre@unixboard.de>; Fri, 29 Aug 2003 22:40:00 +0200
    -- derjenige der die mail abgerufen hat, hatte die IP adresse p15105708.pureserver.info , und hat auf den Account andre@unixboard.de zugegriffen.

    Received: by selket.rz.tu-clausthal.de (Postfix)
    id 674B33A316; Fri, 29 Aug 2003 22:40:00 +0200 (CEST)
    -- das dürfte bedeuten, dass der XXXX server die nachricht vom selket server (oder was auch immer) bekommen hat


    Naja, da is groß nicht viel rauszulesen .. woran genau siehst du denn bitte das die mail nicht von dir is ?? bzw. hast du die überhaut abgeschickt??
    sind das überhaupt deine mailserver??


    kann dich aber beruhigen .. wenn du nichts derariges abgeschickt hast .. es is gar nicht so schwer ne return adresse anzugeben, die man gar nicht hat ..


    das lustige dabei is ... der Return path is ja Mailer-Daemon@p15105708.pureserver.info ... die adresse gehört aber zum rootboard selbst!? ... also zumindest p15105708.pureserver.info kein andere server ... das finde ich recht verwirrend
     
  4. Andre

    Andre Foren Gott
    Moderator

    Dabei seit:
    01.04.2002
    Beiträge:
    3.876
    Zustimmungen:
    0
    Ja soweit ist das auch klar....
    Das interessante ist der untere Teil...Das ist ja die Original Message:


    Received: from STYLER (pD954E33C.dip.t-dialin.net [217.84.227.60])
    by XXXX.rz.tu-clausthal.de (Postfix) with ESMTP id 1BEC03A324
    for <XXXX@heim3.tu-clausthal.de>; Fri, 29 Aug 2003 22:38:13 +0200 (CEST)
    From: <andre@unixboard.de>
    To: <XXXXX@heim3.tu-clausthal.de>
    Subject: Thank you!
    Date: Fri, 29 Aug 2003 22:38:14 +0200
    X-MailScanner: Found to be clean
    Importance: Normal
    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    X-MSMail-Priority: Normal
    X-Priority: 3 (Normal)
    MIME-Version: 1.0
    Content-Type: multipart/mixed;
    boundary="_NextPart_000_000EE66E"
    Message-Id: <20030829203813.1BEC03A324@XXXX.rz.tu-clausthal.de>

    Soweit wie ich das sehe ist die Originalmail über folgenden Server verschickt worden:
    Received: from STYLER (pD954E33C.dip.t-dialin.net [217.84.227.60])
    by XXXX.rz.tu-clausthal.de (Postfix) with ESMTP id 1BEC03A324

    Nur ist das nicht der Server den ich für andreATunixboardDOTde benutze.
    da muss doch einer meine adresse zum versenden von solchem Müll benutzen oder?

    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    das ist noch geiler...wie soll ich mit Outlook Mails verschicken, wenn ich kein M$ habe
    ?(
     
  5. thorus

    thorus GNU-Freiheitskämpfer

    Dabei seit:
    03.11.2002
    Beiträge:
    757
    Zustimmungen:
    0
    Ort:
    Passau, Niederbayern
    Ok, so wie ich das sehe, hat der typ einfach ne Spammail verschickt... und zwar mit deiner Absonderadresse.
    Ich schätz mal der Header is von ihm gefälscht worden, aber die IP von dem Spinner haste ja ;) (pD954E33C.dip.t-dialin.net [217.84.227.60])

    cu
    thorus
     
  6. Andre

    Andre Foren Gott
    Moderator

    Dabei seit:
    01.04.2002
    Beiträge:
    3.876
    Zustimmungen:
    0
    Genau dahin ging meine Frage...
    Wollte sicherstellen, das ich das nicht falsch interpretiere und wir womöglich einen bug im mailserver haben...
    Hatte schon verschiedene Relay-Tests laufen lassen...aber die haben ergeben, das der server dicht ist :(
    Aber wenn der Typ lediglich meine @dresse fake`d kann man da ja nicht viel machen...
    Immer noch besser, als wenn er die mails unter meinem Namen über unseren Server verschickt *g*
     
  7. #6 redlabour, 30.08.2003
    redlabour

    redlabour -

    Dabei seit:
    23.05.2003
    Beiträge:
    4.353
    Zustimmungen:
    0
    Ort:
    Wuppertal, NRW
    Sehr schön - das ist mir heute nämlich auch direkt 6* passiert !
     
  8. #7 redlabour, 31.08.2003
    redlabour

    redlabour -

    Dabei seit:
    23.05.2003
    Beiträge:
    4.353
    Zustimmungen:
    0
    Ort:
    Wuppertal, NRW
    Mail delivery notifications !! Bombardement !


    Meine ach so geniale Frau hatte gerade eine Erleuchtung.

    Kann es sein das die Mails als Delivery Mail Notification getarnt sind - dies aber die eigentlichen Virenmails sind ?

    Habe auch eine Mail an abuse@ für die entsprechenden Domains gesendet !!!

    Hatte heute schon wieder 20 !!!
     
  9. Andre

    Andre Foren Gott
    Moderator

    Dabei seit:
    01.04.2002
    Beiträge:
    3.876
    Zustimmungen:
    0
    Prinzipiell ist das sogar ne absolut geniale Idee :D
    Bei mir allerdings, kommt das (zumindest teilweise) nicht hin, weil ich sogar Bouncings von Geschäftsseiten bekomme :(
    Es schreiben mich also Mitarbeiter einer Firma an und teilen mir mit, das sie einen Virus von mir bekommen haben....

    Allerdings hab ich auch nicht so viele Mails wie du in den Zusammenhang...

    Aber auf die Idee Virenmails als Bouncing wegen Viren zu tarnen muss man erstmal kommen :]
     
  10. #9 redlabour, 01.09.2003
    redlabour

    redlabour -

    Dabei seit:
    23.05.2003
    Beiträge:
    4.353
    Zustimmungen:
    0
    Ort:
    Wuppertal, NRW
    :] Ich wusste gar nicht das meine Frau (Jurastudentin) so viel kriminelle Energie besitzt ! :D
     
  11. Snieff

    Snieff Grünschnabel

    Dabei seit:
    29.07.2003
    Beiträge:
    7
    Zustimmungen:
    0
    Ort:
    nähe München
    Diese Viren-Mails coursieren aber wirklich! Hab bestimmt schon 10 Viren auf diese Art bekommen (nicht dass sie unter Linux irgendwas anstellen könnten ;) )
    Desweiteren hatte ich ähnliche Effekte, als der Mailserver von meinem Provider sich den W32-Blaster eingefangen hatte, ich hab _andauernd_ mails bekommen, ich hätte an wildfremde Adressen Viren-Mails verschickt.

    Snieff
     
Thema:

Kann mir das einer erklaren?

Die Seite wird geladen...

Kann mir das einer erklaren? - Ähnliche Themen

  1. FTP-Server ohne Konfigurationsdatei,der mit einer Zeile gestartet werden kann,gesucht

    FTP-Server ohne Konfigurationsdatei,der mit einer Zeile gestartet werden kann,gesucht: Hey Leute, ich möchte, wenn ich mich in einem Netzwerk mit einem anderen Rechner befinde, ohne Konfiguration ganz schnell Dateien austauschen...
  2. Wie kann ich GPM mit einer Mac-Mouse und einer Mac-Book Pro-Tastatur benutzen?

    Wie kann ich GPM mit einer Mac-Mouse und einer Mac-Book Pro-Tastatur benutzen?: Hallo Ich habe auf meinem MacBook Pro neben Mac OSX Leopard auch noch SuSE 11.1 installiert. Dort vermisse ich schmerzlich GPM (General Purpose...
  3. Unbekannt Zeichen in einer Datei finden

    Unbekannt Zeichen in einer Datei finden: Brauche Eure Hilfe!!!! Bekomme täglich Interface mit Dateien in denen des öfteren Zeichen vorhanden sind die mein Programm nicht versteht und...
  4. Wie kann ich pro Aufruf die jeweils nächste Zeile einer Datei auslesen?

    Wie kann ich pro Aufruf die jeweils nächste Zeile einer Datei auslesen?: Hallo zusammen, ich hoffe ihr könnt mir helfen. Und zwar bin ich auf der Suche nach einer Möglichkeit, wie man Zeilenweise aus einer Datei...
  5. Kann mir einer helfen

    Kann mir einer helfen: `============= `== W A R N U N G == `============================================ `== Nicht ganz ernst gemeinter Beitrag, für alle die es nicht...