E-Mailadresse aus dem Board bei Spammern gelandet

tokudan · 12. Juli 2012

Hallo,

ich habe grade an die E-Mailadresse mit der ich nur hier registriert bin, eine Phishing-E-Mail bekommen ("Datenabgleich für alle POSTBANK.de Kunden").
Das kann eigentlich nur passieren, wenn das Board gehacked wurde oder einer der Administratoren mit einem Trojaner verseucht ist. Ich möchte deshalb, die Admins (und alle anderen, die E-Mailadressen in den Profilen sehen können) zu prüfen, ob deren Computer verseucht sind.

Gruß
tokudan

kt1 · 12. Juli 2012

Ich habe die Mail auch bekommen, die Adresse hatte ich definitiv nur hier verwendet.
Spricht vieles für ein Datenleck ... ich gehe mal nicht davon aus, daß die Daten bewußt weitergegeben worden sind.

Benq2705 · 12. Juli 2012

dito

kodo · 12. Juli 2012

Da kann ich mich anschließen ...

Benq2705 · 12. Juli 2012

Oh Oh......

haccg · 12. Juli 2012

Hallo,

wir haben uns der Problematik angenommen und versuchen herauszufinden, ob es nun tatsächlich an uns liegt oder an jemand anderem.

Bitte schickt mir per PN die eMailadressen, mit denen ihr euch registriert habt, damit wir das genauer nachvollziehen können.

Danke und Grüße!

Kurti79 · 12. Juli 2012

Sind das gmx adressen ?
Spam-Versand über gehackte GMX-Konten
Nicht das es das ist !

MFG
KURTI

Skulltula · 12. Juli 2012

Schaut mal nach ob die IP Adresse mit der vom Boardserver übereinstimmt.

Es gibt auch ganz helle Köpfe die einfach Mailadressen beim spammen eintragen.

newbaloo · 12. Juli 2012

Hallo,

ich habe für dieses Forum eine extra E-Mail-Adresse angelegt und bekomme auf diese Adresse heute eine Pishing-Mail in der versucht wird, an meine Bankdaten zu kommen.
Eine Idee, wie jemand an diese Adresse kommen kann?
Die Adresse ist n i c h t auf meinem Rechner gespeichert.

Gruß

AttilaE · 12. Juli 2012

Interessante Frage ...

lizard-king · 12. Juli 2012

sicher is eben heutzutage gar nix, absichtlich hat das von hier sicher keiner gemacht.

hoffe ihr findet das leck, sofern ueberhaupt eines da is.;)

ps: hab vor 14 tagen von gmx auf gmail umgestellt, bis dato hab ich noch nichts bekommen

maxl · 12. Juli 2012

Die Mailadressen können tatsächlich nur die Admins sehen und das nur im ACP (eigens PW geschützter Bereich) und nicht direkt im Board. Von daher ist es schon etwas seltsam.

ich habe mal unserem Serveradmin Seddi eine Anfrage weitergeleitet und folgende Antwort bekommen:

Zitat

Also aus dem Board ist sicherlich nix raus. Email Adressen kann jeder Admin/Mod im ACP einsehen, klar.
Allerdings können email Adressen (wenn es der User erlaubt) im Profil eingesehen werden für jedermann.
Ich hab sie z.B. auch öffentlich im profil, wie vermutlich die meisten

Die Frage ist ob sie die Mailadresse nicht doch schon mal irgendwo anders aufgetaucht ist. Mir ist zur Zeit
keine Lücke in der Boardsoft bekannt und kann auch log technisch nix finden das nach SQL Injection riecht und
wo man versucht haben könnte hier Adressen auszulesen.

Aber ich halts mal unter Beobachtung.

Alles anzeigen

**Seddi** · 12. Juli 2012

So hab nochmal alles genau durchgesehen. Emails sinnvoll auslesen geht eigentlich nur via SQL. Direktzugriff auf den SQL Server hat nur Schädelmeister und Ich, da leg ich für beide die Hand ins Feuer
SQL Abfragen übers ACP können alle Admins (also auch noch Cepheus, maxl, toppi), da leg ich die Hand auch ins Feuer, bzw. die meisten wissen vermutlich gar nicht was sie dazu machen müssten

Zur Boardsoftware sind keine Exploits für ne SQL Injection bekannt die nicht rausgepacht sind, hab aber nun trotzdem nochmal die Logs bis mitte Mai nach merkwürdigen Zugriffen bzw. versuchten SQL Injections durchsucht. Da war auch nix zu finden.
Ein direkter Zugriff auf die db ist nicht möglich von aussen. Indirekt gibt es einen phpmyadmin, der aber auch gut abgesperrt ist. Hab hier aber auch die Logs durchsucht (die letzten 2 Jahre), hier gab es nur Zugriffe von mir (hab ne feste IP) und ein paar von Schädelmeister die aber schon ewig her sind und auch nix mit der User-DB zu tun hatten.
Newsletter, etc. versenden wir selbst und nutzen keinen Relayserver. Es gibt als auch kein Server dahinter der bei einem Newsletter die Mailadressen sammeln könnte, da wir direkt zu den einzelnen Zielmailserver zustellen. Auch in den Mailserverlogs ist mir nix auffälliges aufgefallen.

Insoweit sehe ich nicht das hier direkt was rausgehen könnte und seh auch keine gezielten Angriffe bzw. Versuche in dem Bereich in letzter Zeit.

Komisch ist das aber schon. Könnten die Emailadressen noch irgendwo anders aufgetaucht sein ? Waren die Mails mal im Profil sichtbar ? Ist natürlich alles schwer nachzuvollziehen. Ich werde auf jeden Fall noch die Logs runter bis in den März prüfen (Regdatum von tokudan), da er sich erst im März registriert hat müsste ein Angriff, wenn es ihn gab, ja nach diesem Zeitraum erfolgt sein.

Grüße
Seddi

sunce · 12. Juli 2012

Bei der Registrierung ist "Email-Adresse für alle Sichtbar" auf "Ja" gestellt.
Klickt auf das Profil eines Users und schon habt ihr Benutzername kombiniert mit Emailadresse.

Trial · 12. Juli 2012

Hi,
ich glaube nicht das die von hier an die Daten gekommen sind. Ich habe z.B. keine Mail bekommen. Die schicken manchmal ganz einfach Mails ins Blaue und hoffen das Schwarze zu treffen.

Schaut euch mal die Header an ob es auch wirklich nur die eine Adresse und ob die auch richtig ist.

ciao

maxl · 12. Juli 2012

naja die Mailadressen der beiden User die das ganz oben gemeldet haben enthalten sogar die Board URL von hier - daher denke ich kann man wirklich davon ausgehen dass die nur für hier verwendet wurde , und ins blaue geraten - nee so einfach sind die Adressen nicht aufgebaut

schussel · 12. Juli 2012

Hab die Mail auch heute bekommen!

Ebenfalls an die Mailadresse die ich hier im Forum angegeben habe. (Aber auch in anderen Foren benutze)

In den Einstellungen hier stand aber auch die Sichtbarkeit der Mailadresse auf "Ja". Sozusagen selber schuld! Vielleicht sollte man dies per default auf "Nein" stellen. Wer wen anders kontaktieren will, kann dies in erster Instanz ja über das boardeigene Nachrichtensystem, somit ist die Mailadresse erstmal nicht notwendig!

pcfe · 12. Juli 2012

Hi,

hab auch den postbank phishing versuch bekommen.

Meine email ist nicht sichtbar (pass da generell drauf auf und habs grad nochmal überprüft dass "Hide email address?' auf 'Yes' steht)

Die email die das board hat, vervende ich nur hier. Also entwerder jemand probiert i-have-a-dreambox.com@user-domainname lustig durch oder Ihr habt ein Leck. Schwer zu sagen anhand der mail, es wird mit 'Sehr geehrter Kunde' anstatt mit Namen angesprochen (letzteres wäre ein guter Hinweis dass Eure DB abgegriffen wurde).

Keine bekannten bugs heisst nix, eventuell hat jemand 'n 0-day und versucht bei allen sites die diese boardsoftware nutzen das postbankphishing.

Nichts in den logs heisst auch nicht unbedingt was, wenn die Leute gut sind putzen sie nach Abgriff der daten :-(((

Admins: könnt Ihr ein paar honeypotadressen in die DB kippen, so was gar nicht erratbares wie
$ pwgen -s 12 1
XPJ1Clu6kxDr

auf eine Eurer domains die catchall macht. Alternativ, ist es OK mit euch wenn ich 2-3 solcher honeypotuser anlege? Sagt dann halt wo hin ich die forwarden soll, Ich hab bis Mitte August privat recht viel um die Ohren und kann wenig Zeit investieren spammer zu jagen aber 'n forard krieg ich schon eingerichtet..

Oh und jemand, (evntl board admins) sollte unbedingt Anzeige erstatten wenn es gelingt rauszufinden von welcher IP ein eventueller Abgriff kam, und da es Postbank (also .de) ist, dann kann man die phischingschweine wenigsten vom Gesetzgeber behandeln lassen.

Zu headers, ja mach ich per PM, für's generelle, die mail kam originär von der 46.228.199.72
edit: PM mit headers ist raus (und 2 typos hab ich auch grad verbessert)

RU

PCFE

tokudan · 12. Juli 2012

Zitat

Original von maxl

Wie schon jemand anders angedeutet hat: Fast nichts ist sicher.
Sicher (für mich) ist aber, dass ich meine E-Mailadresse nicht hier im Board öffentlich gemacht habe (die entsprechende Option deaktiviere ich immer und das habe ich auch grade nochmal geprüft).
Sicher (wieder für mich) ist, dass ich meine E-Mailadresse nirgendwo anders angegeben habe. Sie enthält u.a. die Domain und eine Prüfsumme, mit der ich feststellen kann, ob ich die E-Mailadresse wirklich generiert habe.
Ein kurzer Check mit Google hat auch ergeben, dass zumindest Google die auch nicht finden kann. Verbrannt ist sie sowieso.

Zitat

Original von Seddi
Ich werde auf jeden Fall noch die Logs runter bis in den März prüfen (Regdatum von tokudan), da er sich erst im März registriert hat müsste ein Angriff, wenn es ihn gab, ja nach diesem Zeitraum erfolgt sein.

Ich glaube nicht, dass es so lange her ist. Auf meinem Server habe ich grade mal nachgesehen, der erste Versuch den Müll dort abzuladen war am 11. Juli um 21:35:41.
Das wurde aber erstmal von meiner DNS Blacklist verhindert. Nach zahlreichen Versuchen bis heute morgen hat das der Spammer dann wohl bemerkt und sich über die Website der Blacklist freigeschaltet...
Wenn ich das mal frei interpretiere, deutet das darauf hin, dass es nur relativ wenige Ziel-E-Mailadressen gab (der Spammer hat Zeit, sich um einzelne Fehlermeldungen zu kümmern). Was wiederum bedeuten könnte, dass er die E-Mailadressen für wertvoll hält, weil er sie nicht aus riesigen Datenbeständen gekauft hat.

Falls es jemanden interessiert, hier noch die Logs von meinem Server (meine eigene Domain und die brauchbaren E-Mailadressen habe ich ungültig gemacht):

Code

Mar 13 19:26:45 mail postfix/qmgr[7290]: [ID 197553 mail.info] C687C191DF: from=<...>, size=2304, nrcpt=1 (queue active)
Mar 13 19:26:45 mail postfix/pipe[23955]: [ID 197553 mail.info] C687C191DF: to=<...>, orig_to=<i-have-a-dreambox.com-2783452@example.com>, relay=dovecot, delay=0.28, delays=0.23/0.01/0/0.04, dsn=2.0.0, status=sent (delivered via dovecot service)
Jul 11 21:35:41 mail postfix/smtpd[18868]: [ID 197553 mail.info] NOQUEUE: reject: RCPT from unknown[58.137.188.50]: 454 4.7.1 Service unavailable; Client host [58.137.188.50] blocked using ix.dnsbl.manitu.net; Your e-mail service was detected by mx.selfip.biz (NiX Spam) as spamming at Wed, 11 Jul 2012 20:04:11 +0200. Your admin should visit http://www.dnsbl.manitu.net/lookup.php?value=58.137.188.50; from=<datenabgleich@deutsche-post.de> to=<i-have-a-dreambox.com-2783452@example.com> proto=ESMTP helo=<mail.holidayinnsilom.com>
Jul 12 02:22:24 mail postfix/smtpd[27167]: [ID 197553 mail.info] NOQUEUE: reject: RCPT from unknown[58.137.188.50]: 454 4.7.1 Service unavailable; Client host [58.137.188.50] blocked using ix.dnsbl.manitu.net; Your e-mail service was detected by mx.selfip.biz (NiX Spam) as spamming at Wed, 11 Jul 2012 20:04:11 +0200. Your admin should visit http://www.dnsbl.manitu.net/lookup.php?value=58.137.188.50; from=<datenabgleich@deutsche-post.de> to=<i-have-a-dreambox.com-2783452@example.com> proto=ESMTP helo=<mail.holidayinnsilom.com>
Jul 12 02:23:21 mail postfix/smtpd[27167]: [ID 197553 mail.info] NOQUEUE: reject: RCPT from unknown[58.137.188.50]: 454 4.7.1 Service unavailable; Client host [58.137.188.50] blocked using ix.dnsbl.manitu.net; Your e-mail service was detected by mx.selfip.biz (NiX Spam) as spamming at Wed, 11 Jul 2012 20:04:11 +0200. Your admin should visit http://www.dnsbl.manitu.net/lookup.php?value=58.137.188.50; from=<datenabgleich@deutsche-post.de> to=<i-have-a-dreambox.com-2783452@example.com> proto=ESMTP helo=<mail.holidayinnsilom.com>
Jul 12 02:25:18 mail postfix/smtpd[27185]: [ID 197553 mail.info] NOQUEUE: reject: RCPT from unknown[58.137.188.50]: 454 4.7.1 Service unavailable; Client host [58.137.188.50] blocked using ix.dnsbl.manitu.net; Your e-mail service was detected by mx.selfip.biz (NiX Spam) as spamming at Wed, 11 Jul 2012 20:04:11 +0200. Your admin should visit http://www.dnsbl.manitu.net/lookup.php?value=58.137.188.50; from=<datenabgleich@deutsche-post.de> to=<i-have-a-dreambox.com-2783452@example.com> proto=ESMTP helo=<mail.holidayinnsilom.com>
Jul 12 02:44:20 mail postfix/smtpd[27637]: [ID 197553 mail.info] NOQUEUE: reject: RCPT from unknown[58.137.188.50]: 454 4.7.1 Service unavailable; Client host [58.137.188.50] blocked using ix.dnsbl.manitu.net; Your e-mail service was detected by mx.selfip.biz (NiX Spam) as spamming at Wed, 11 Jul 2012 20:04:11 +0200. Your admin should visit http://www.dnsbl.manitu.net/lookup.php?value=58.137.188.50; from=<datenabgleich@deutsche-post.de> to=<i-have-a-dreambox.com-2783452@example.com> proto=ESMTP helo=<mail.holidayinnsilom.com>
Jul 12 07:40:49 mail postfix/smtpd[5979]: [ID 197553 mail.info] NOQUEUE: reject: RCPT from unknown[58.137.188.50]: 454 4.7.1 Service unavailable; Client host [58.137.188.50] blocked using ix.dnsbl.manitu.net; Your e-mail service was detected by mx.selfip.biz (NiX Spam) as spamming at Wed, 11 Jul 2012 20:04:11 +0200. Your admin should visit http://www.dnsbl.manitu.net/lookup.php?value=58.137.188.50; from=<datenabgleich@deutsche-post.de> to=<i-have-a-dreambox.com-2783452@example.com> proto=ESMTP helo=<mail.holidayinnsilom.com>
Jul 12 08:12:03 mail postfix/smtpd[7021]: [ID 197553 mail.info] NOQUEUE: reject: RCPT from unknown[58.137.188.50]: 454 4.7.1 Service unavailable; Client host [58.137.188.50] blocked using ix.dnsbl.manitu.net; Your e-mail service was detected by mx.selfip.biz (NiX Spam) as spamming at Wed, 11 Jul 2012 20:04:11 +0200. Your admin should visit http://www.dnsbl.manitu.net/lookup.php?value=58.137.188.50; from=<datenabgleich@deutsche-post.de> to=<i-have-a-dreambox.com-2783452@example.com> proto=ESMTP helo=<mail.holidayinnsilom.com>
Jul 12 08:45:32 mail postfix/smtpd[7684]: [ID 197553 mail.info] C03751942F: client=unknown[58.137.188.50]
Jul 12 08:45:33 mail postfix/cleanup[7688]: [ID 197553 mail.info] C03751942F: message-id=<J8EJIJ8H-1N8-65KA-3C2P-3MCWOXYZH3M@deutsche-post.de>
Jul 12 08:45:35 mail postfix/qmgr[11408]: [ID 197553 mail.info] C03751942F: from=<datenabgleich@deutsche-post.de>, size=48337, nrcpt=1 (queue active)
Jul 12 08:45:35 mail postfix/pipe[7689]: [ID 197553 mail.info] C03751942F: to=<...>, orig_to=<i-have-a-dreambox.com-2783452@example.com>, relay=dovecot, delay=3.3, delays=3.2/0/0/0.07, dsn=2.0.0, status=sent (delivered via dovecot service)
Jul 12 08:45:35 mail postfix/qmgr[11408]: [ID 197553 mail.info] C03751942F: removed

Alles anzeigen

Creaktiv · 12. Juli 2012

Habe auch Heute eine bekommen, das wird immer schlimmer mit dem phishing.

E-Mailadresse aus dem Board bei Spammern gelandet

Wer ist / war online ?

Benutzer online 35

Wer war online 214