PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Kann mir das einer erklaren?



Andre
30.08.2003, 19:05
Ich kriege gerade eine Errormeldung per mail, in der steht, das ich viren verschicke...
Das Problem dabei ist, das die mails nicht von mir sind und auch nicht von meinem Server kommen....
Schaut euch mal den Header an und sagt mir ob ich da richtig liege??
Was kann man da tun?
######Header#######
Return-Path: <MAILER-DAEMON@p15105708.pureserver.info>
Received: from selket.rz.tu-clausthal.de (XXXX.rz.tu-clausthal.de [139.174.2.37])
by p15105708.pureserver.info (8.11.3/8.11.3/SuSE Linux 8.11.1-0.5) with ESMTP id h7TKe0J00745
for <andre@unixboard.de>; Fri, 29 Aug 2003 22:40:00 +0200
Received: by selket.rz.tu-clausthal.de (Postfix)
id 674B33A316; Fri, 29 Aug 2003 22:40:00 +0200 (CEST)
Date: Fri, 29 Aug 2003 22:40:00 +0200 (CEST)
From: MAILER-DAEMON@rz.tu-clausthal.de (Mail Delivery System)
Subject: Undelivered Mail Returned to Sender
To: andre@unixboard.de
MIME-Version: 1.0
Content-Type: multipart/report;
report-type=delivery-status;
boundary="1BEC03A324.1062189600/XXXX.rz.tu-clausthal.de"
Message-Id: <20030829204000.674B33A316@XXXX.rz.tu-clausthal.de>
X-UIDL: Rb$"!==+!!NR~"!K&;!!
X-Spam-Status: No, hits=2.8 required=5.0
tests=MICROSOFT_EXECUTABLE,UPPERCASE_25_50,WEIRD_Q UOTING
version=2.55
X-Spam-Level: **
X-Spam-Checker-Version: SpamAssassin 2.55 (1.174.2.19-2003-05-19-exp)
Status: R
X-Status: N
X-KMail-EncryptionState:
X-KMail-SignatureState:


This is the Postfix program at host XXXX.rz.tu-clausthal.de.

I'm sorry to have to inform you that the message returned
below could not be delivered to one or more destinations.

For further assistance, please send mail to <postmaster>

If you do so, please include this problem report. You can
delete your own text from the message returned below.

The Postfix program

<XXXXXX@heim3.tu-clausthal.de>: host 127.0.0.1[127.0.0.1] said: 550
5.7.1 Message content rejected, id=49294-01-11 - VIRUS: W32/Sobig-F (in
reply to end of DATA command)



Delivery error report
Encapsulated message


Received: from STYLER (pD954E33C.dip.t-dialin.net [217.84.227.60])
by XXXX.rz.tu-clausthal.de (Postfix) with ESMTP id 1BEC03A324
for <XXXX@heim3.tu-clausthal.de>; Fri, 29 Aug 2003 22:38:13 +0200 (CEST)
From: <andre@unixboard.de>
To: <XXXXX@heim3.tu-clausthal.de>
Subject: Thank you!
Date: Fri, 29 Aug 2003 22:38:14 +0200
X-MailScanner: Found to be clean
Importance: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MSMail-Priority: Normal
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="_NextPart_000_000EE66E"
Message-Id: <20030829203813.1BEC03A324@XXXX.rz.tu-clausthal.de>


See the attached file for details

application.pif <<<<-----Das ist der Virus ;-)
End of encapsulated message

MTS
30.08.2003, 19:32
Ich versuch das mal zu entziffern ...

Return-Path: <MAILER-DAEMON@p15105708.pureserver.info>
-- Die jetztige mail bekommst du vom Mailer-Daemon, alles ok so ..

Received: from selket.rz.tu-clausthal.de (XXXX.rz.tu-clausthal.de
[139.174.2.37])
-- Die nachricht hast du von diesem server abgeholt (XXXX.rz.tu-clausthal.de)

by p15105708.pureserver.info (8.11.3/8.11.3/SuSE Linux 8.11.1-0.5) with ESMTP id h7TKe0J00745
for <andre@unixboard.de>; Fri, 29 Aug 2003 22:40:00 +0200
-- derjenige der die mail abgerufen hat, hatte die IP adresse p15105708.pureserver.info , und hat auf den Account andre@unixboard.de zugegriffen.

Received: by selket.rz.tu-clausthal.de (Postfix)
id 674B33A316; Fri, 29 Aug 2003 22:40:00 +0200 (CEST)
-- das dürfte bedeuten, dass der XXXX server die nachricht vom selket server (oder was auch immer) bekommen hat


Naja, da is groß nicht viel rauszulesen .. woran genau siehst du denn bitte das die mail nicht von dir is ?? bzw. hast du die überhaut abgeschickt??
sind das überhaupt deine mailserver??


kann dich aber beruhigen .. wenn du nichts derariges abgeschickt hast .. es is gar nicht so schwer ne return adresse anzugeben, die man gar nicht hat ..


das lustige dabei is ... der Return path is ja Mailer-Daemon@p15105708.pureserver.info ... die adresse gehört aber zum rootboard selbst!? ... also zumindest p15105708.pureserver.info kein andere server ... das finde ich recht verwirrend

Andre
30.08.2003, 20:43
Ja soweit ist das auch klar....
Das interessante ist der untere Teil...Das ist ja die Original Message:


Received: from STYLER (pD954E33C.dip.t-dialin.net [217.84.227.60])
by XXXX.rz.tu-clausthal.de (Postfix) with ESMTP id 1BEC03A324
for <XXXX@heim3.tu-clausthal.de>; Fri, 29 Aug 2003 22:38:13 +0200 (CEST)
From: <andre@unixboard.de>
To: <XXXXX@heim3.tu-clausthal.de>
Subject: Thank you!
Date: Fri, 29 Aug 2003 22:38:14 +0200
X-MailScanner: Found to be clean
Importance: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MSMail-Priority: Normal
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="_NextPart_000_000EE66E"
Message-Id: <20030829203813.1BEC03A324@XXXX.rz.tu-clausthal.de>

Soweit wie ich das sehe ist die Originalmail über folgenden Server verschickt worden:
Received: from STYLER (pD954E33C.dip.t-dialin.net [217.84.227.60])
by XXXX.rz.tu-clausthal.de (Postfix) with ESMTP id 1BEC03A324

Nur ist das nicht der Server den ich für andreATunixboardDOTde benutze.
da muss doch einer meine adresse zum versenden von solchem Müll benutzen oder?

X-Mailer: Microsoft Outlook Express 6.00.2600.0000
das ist noch geiler...wie soll ich mit Outlook Mails verschicken, wenn ich kein M$ habe
?(

thorus
30.08.2003, 21:34
Ok, so wie ich das sehe, hat der typ einfach ne Spammail verschickt... und zwar mit deiner Absonderadresse.
Ich schätz mal der Header is von ihm gefälscht worden, aber die IP von dem Spinner haste ja ;) (pD954E33C.dip.t-dialin.net [217.84.227.60])

cu
thorus

Andre
30.08.2003, 21:40
Genau dahin ging meine Frage...
Wollte sicherstellen, das ich das nicht falsch interpretiere und wir womöglich einen bug im mailserver haben...
Hatte schon verschiedene Relay-Tests laufen lassen...aber die haben ergeben, das der server dicht ist :(
Aber wenn der Typ lediglich meine @dresse fake`d kann man da ja nicht viel machen...
Immer noch besser, als wenn er die mails unter meinem Namen über unseren Server verschickt *g*

redlabour
30.08.2003, 22:48
Sehr schön - das ist mir heute nämlich auch direkt 6* passiert !

redlabour
31.08.2003, 19:21
Original geschrieben von andre
Genau dahin ging meine Frage...
Wollte sicherstellen, das ich das nicht falsch interpretiere und wir womöglich einen bug im mailserver haben...
Hatte schon verschiedene Relay-Tests laufen lassen...aber die haben ergeben, das der server dicht ist :(
Aber wenn der Typ lediglich meine @dresse fake`d kann man da ja nicht viel machen...
Immer noch besser, als wenn er die mails unter meinem Namen über unseren Server verschickt *g*


Meine ach so geniale Frau hatte gerade eine Erleuchtung.

Kann es sein das die Mails als Delivery Mail Notification getarnt sind - dies aber die eigentlichen Virenmails sind ?

Habe auch eine Mail an abuse@ für die entsprechenden Domains gesendet !!!

Hatte heute schon wieder 20 !!!

Andre
31.08.2003, 19:28
Prinzipiell ist das sogar ne absolut geniale Idee :D
Bei mir allerdings, kommt das (zumindest teilweise) nicht hin, weil ich sogar Bouncings von Geschäftsseiten bekomme :(
Es schreiben mich also Mitarbeiter einer Firma an und teilen mir mit, das sie einen Virus von mir bekommen haben....

Allerdings hab ich auch nicht so viele Mails wie du in den Zusammenhang...

Aber auf die Idee Virenmails als Bouncing wegen Viren zu tarnen muss man erstmal kommen :]

redlabour
01.09.2003, 00:29
:] Ich wusste gar nicht das meine Frau (Jurastudentin) so viel kriminelle Energie besitzt ! :D

Snieff
02.09.2003, 15:22
Diese Viren-Mails coursieren aber wirklich! Hab bestimmt schon 10 Viren auf diese Art bekommen (nicht dass sie unter Linux irgendwas anstellen könnten ;) )
Desweiteren hatte ich ähnliche Effekte, als der Mailserver von meinem Provider sich den W32-Blaster eingefangen hatte, ich hab _andauernd_ mails bekommen, ich hätte an wildfremde Adressen Viren-Mails verschickt.

Snieff