E-Mailadresse aus dem Board bei Spammern gelandet

Wir haben aktuell ein Problem mit dem Board und arbeiten an der Lösung...


-> Aktuell bereiten wir das Upgrade auf die aktuelle Version 6 von Woltlab vor.
  • Hallo,


    ich habe grade an die E-Mailadresse mit der ich nur hier registriert bin, eine Phishing-E-Mail bekommen ("Datenabgleich für alle POSTBANK.de Kunden").
    Das kann eigentlich nur passieren, wenn das Board gehacked wurde oder einer der Administratoren mit einem Trojaner verseucht ist. Ich möchte deshalb, die Admins (und alle anderen, die E-Mailadressen in den Profilen sehen können) zu prüfen, ob deren Computer verseucht sind.


    Gruß
    tokudan

  • Ich habe die Mail auch bekommen, die Adresse hatte ich definitiv nur hier verwendet.
    Spricht vieles für ein Datenleck ... ich gehe mal nicht davon aus, daß die Daten bewußt weitergegeben worden sind.

    • Official Post

    Hallo,


    wir haben uns der Problematik angenommen und versuchen herauszufinden, ob es nun tatsächlich an uns liegt oder an jemand anderem.


    Bitte schickt mir per PN die eMailadressen, mit denen ihr euch registriert habt, damit wir das genauer nachvollziehen können.


    Danke und Grüße!

  • Sind das gmx adressen ?
    Spam-Versand über gehackte GMX-Konten
    Nicht das es das ist !


    MFG
    KURTI

    DM One UHD
    DM 7080HD SSSS
    DM 8000 SST
    DM 800se ohne Tuner

    Edited once, last by Kurti79 ().

  • Schaut mal nach ob die IP Adresse mit der vom Boardserver übereinstimmt.


    Es gibt auch ganz helle Köpfe die einfach Mailadressen beim spammen eintragen.

  • Hallo,


    ich habe für dieses Forum eine extra E-Mail-Adresse angelegt und bekomme auf diese Adresse heute eine Pishing-Mail in der versucht wird, an meine Bankdaten zu kommen.
    Eine Idee, wie jemand an diese Adresse kommen kann?
    Die Adresse ist n i c h t auf meinem Rechner gespeichert.


    Gruß

  • sicher is eben heutzutage gar nix, absichtlich hat das von hier sicher keiner gemacht.


    hoffe ihr findet das leck, sofern ueberhaupt eines da is.;)


    ps: hab vor 14 tagen von gmx auf gmail umgestellt, bis dato hab ich noch nichts bekommen

  • Die Mailadressen können tatsächlich nur die Admins sehen und das nur im ACP (eigens PW geschützter Bereich) und nicht direkt im Board. Von daher ist es schon etwas seltsam.


    ich habe mal unserem Serveradmin Seddi eine Anfrage weitergeleitet und folgende Antwort bekommen:


    • Official Post

    So hab nochmal alles genau durchgesehen. Emails sinnvoll auslesen geht eigentlich nur via SQL. Direktzugriff auf den SQL Server hat nur Schädelmeister und Ich, da leg ich für beide die Hand ins Feuer :winking_face:
    SQL Abfragen übers ACP können alle Admins (also auch noch Cepheus, maxl, toppi), da leg ich die Hand auch ins Feuer, bzw. die meisten wissen vermutlich gar nicht was sie dazu machen müssten :grinning_face_with_smiling_eyes:


    Zur Boardsoftware sind keine Exploits für ne SQL Injection bekannt die nicht rausgepacht sind, hab aber nun trotzdem nochmal die Logs bis mitte Mai nach merkwürdigen Zugriffen bzw. versuchten SQL Injections durchsucht. Da war auch nix zu finden.
    Ein direkter Zugriff auf die db ist nicht möglich von aussen. Indirekt gibt es einen phpmyadmin, der aber auch gut abgesperrt ist. Hab hier aber auch die Logs durchsucht (die letzten 2 Jahre), hier gab es nur Zugriffe von mir (hab ne feste IP) und ein paar von Schädelmeister die aber schon ewig her sind und auch nix mit der User-DB zu tun hatten.
    Newsletter, etc. versenden wir selbst und nutzen keinen Relayserver. Es gibt als auch kein Server dahinter der bei einem Newsletter die Mailadressen sammeln könnte, da wir direkt zu den einzelnen Zielmailserver zustellen. Auch in den Mailserverlogs ist mir nix auffälliges aufgefallen.


    Insoweit sehe ich nicht das hier direkt was rausgehen könnte und seh auch keine gezielten Angriffe bzw. Versuche in dem Bereich in letzter Zeit.


    Komisch ist das aber schon. Könnten die Emailadressen noch irgendwo anders aufgetaucht sein ? Waren die Mails mal im Profil sichtbar ? Ist natürlich alles schwer nachzuvollziehen. Ich werde auf jeden Fall noch die Logs runter bis in den März prüfen (Regdatum von tokudan), da er sich erst im März registriert hat müsste ein Angriff, wenn es ihn gab, ja nach diesem Zeitraum erfolgt sein.


    Grüße
    Seddi

  • Bei der Registrierung ist "Email-Adresse für alle Sichtbar" auf "Ja" gestellt.
    Klickt auf das Profil eines Users und schon habt ihr Benutzername kombiniert mit Emailadresse.

  • Hi,
    ich glaube nicht das die von hier an die Daten gekommen sind. Ich habe z.B. keine Mail bekommen. Die schicken manchmal ganz einfach Mails ins Blaue und hoffen das Schwarze zu treffen.


    Schaut euch mal die Header an ob es auch wirklich nur die eine Adresse und ob die auch richtig ist.


    ciao

    ---
    7020, Combo, Solo2, Ultimo

  • naja die Mailadressen der beiden User die das ganz oben gemeldet haben enthalten sogar die Board URL von hier - daher denke ich kann man wirklich davon ausgehen dass die nur für hier verwendet wurde , und ins blaue geraten - nee so einfach sind die Adressen nicht aufgebaut

  • Hab die Mail auch heute bekommen!


    Ebenfalls an die Mailadresse die ich hier im Forum angegeben habe. (Aber auch in anderen Foren benutze)


    In den Einstellungen hier stand aber auch die Sichtbarkeit der Mailadresse auf "Ja". Sozusagen selber schuld! Vielleicht sollte man dies per default auf "Nein" stellen. Wer wen anders kontaktieren will, kann dies in erster Instanz ja über das boardeigene Nachrichtensystem, somit ist die Mailadresse erstmal nicht notwendig!

  • Hi,


    hab auch den postbank phishing versuch bekommen.


    Meine email ist nicht sichtbar (pass da generell drauf auf und habs grad nochmal überprüft dass "Hide email address?' auf 'Yes' steht)


    Die email die das board hat, vervende ich nur hier. Also entwerder jemand probiert i-have-a-dreambox.com@user-domainname lustig durch oder Ihr habt ein Leck. Schwer zu sagen anhand der mail, es wird mit 'Sehr geehrter Kunde' anstatt mit Namen angesprochen (letzteres wäre ein guter Hinweis dass Eure DB abgegriffen wurde).


    Keine bekannten bugs heisst nix, eventuell hat jemand 'n 0-day und versucht bei allen sites die diese boardsoftware nutzen das postbankphishing.


    Nichts in den logs heisst auch nicht unbedingt was, wenn die Leute gut sind putzen sie nach Abgriff der daten :-(((


    Admins: könnt Ihr ein paar honeypotadressen in die DB kippen, so was gar nicht erratbares wie
    $ pwgen -s 12 1
    XPJ1Clu6kxDr


    auf eine Eurer domains die catchall macht. Alternativ, ist es OK mit euch wenn ich 2-3 solcher honeypotuser anlege? Sagt dann halt wo hin ich die forwarden soll, Ich hab bis Mitte August privat recht viel um die Ohren und kann wenig Zeit investieren spammer zu jagen :frowning_face: aber 'n forard krieg ich schon eingerichtet..


    Oh und jemand, (evntl board admins) sollte unbedingt Anzeige erstatten wenn es gelingt rauszufinden von welcher IP ein eventueller Abgriff kam, und da es Postbank (also .de) ist, dann kann man die phischingschweine wenigsten vom Gesetzgeber behandeln lassen.


    Zu headers, ja mach ich per PM, für's generelle, die mail kam originär von der 46.228.199.72
    edit: PM mit headers ist raus (und 2 typos hab ich auch grad verbessert)


    RU


    PCFE

    Edited once, last by pcfe ().

  • Quote

    Original von maxl


    Wie schon jemand anders angedeutet hat: Fast nichts ist sicher.
    Sicher (für mich) ist aber, dass ich meine E-Mailadresse nicht hier im Board öffentlich gemacht habe (die entsprechende Option deaktiviere ich immer und das habe ich auch grade nochmal geprüft).
    Sicher (wieder für mich) ist, dass ich meine E-Mailadresse nirgendwo anders angegeben habe. Sie enthält u.a. die Domain und eine Prüfsumme, mit der ich feststellen kann, ob ich die E-Mailadresse wirklich generiert habe.
    Ein kurzer Check mit Google hat auch ergeben, dass zumindest Google die auch nicht finden kann. Verbrannt ist sie sowieso.


    Quote

    Original von Seddi
    Ich werde auf jeden Fall noch die Logs runter bis in den März prüfen (Regdatum von tokudan), da er sich erst im März registriert hat müsste ein Angriff, wenn es ihn gab, ja nach diesem Zeitraum erfolgt sein.


    Ich glaube nicht, dass es so lange her ist. Auf meinem Server habe ich grade mal nachgesehen, der erste Versuch den Müll dort abzuladen war am 11. Juli um 21:35:41.
    Das wurde aber erstmal von meiner DNS Blacklist verhindert. Nach zahlreichen Versuchen bis heute morgen hat das der Spammer dann wohl bemerkt und sich über die Website der Blacklist freigeschaltet...
    Wenn ich das mal frei interpretiere, deutet das darauf hin, dass es nur relativ wenige Ziel-E-Mailadressen gab (der Spammer hat Zeit, sich um einzelne Fehlermeldungen zu kümmern). Was wiederum bedeuten könnte, dass er die E-Mailadressen für wertvoll hält, weil er sie nicht aus riesigen Datenbeständen gekauft hat.


    Falls es jemanden interessiert, hier noch die Logs von meinem Server (meine eigene Domain und die brauchbaren E-Mailadressen habe ich ungültig gemacht):