Trendsportart : Mailserver mit der eigenen Addresse hacken

Zur Zeit scheint es bei den Spammern dieser Welt Mode zu sein, sich per SMTP Auth mit der Emailaddresse des Opfers anzumelden :

2013-01-30 14:35:48 LOGIN authenticator failed for cable-24-135-212-206.dynamic.sbb.rs (dejanxp) [24.135.212.206]: 535 Incorrect authentication data (set_id=julius.meyers@cooledomain.de)

Das es sich hier um einen serbischen Windows XP PC handelt, ist in diesem Fall mehr als wahrscheinlich. Es bleibt nur zu klären, ob der Besitzer Opfer oder Täter ist.

Die Zeile taucht natürlich nicht nur einmal auf, sondern so oft, bis die Brute-Force Detection die IP sperrt. Mit jedem Versuch wird ein anderes Passwort auf einer Wortliste durchprobiert.

Diese Art des Brute-Force Angriffes kann natürlich nur funktionieren, wenn der Mailserver überhaupt Emailaddressen als Userids akzeptiert. Nicht alle POP3/IMAP Server erlauben die Emailaddresse als Benutzerid für SMTP-Auth, unser übrigens auch nicht und deswegen hier der Aufruf an die Skriptkids dieser Welt: Verschwendet die Bandbreite für was anderes 😉

Sie sind wieder da.. Lufthansa und Vodaphone

Lange Zeit war es still geworden um die Trojanerversender der Lufthansa, aber heute scheint das Eis gebrochen worden zu sein. Die Spamversender um die Vodaphone Trojaner, vermutlich die gleichen wie die der Lufthansa .

Die Lufthansaemail glänzt natürlich wieder durch einfache Fehlermerkmale, z.B. Köln als Koln geschrieben. Da die Mail sehr gut geschrieben ist, fällt das am Ende möglicherweise nicht mehr auf. Dafür gibt es eindeutige Hinweise in den Received Headern der EMail:

Received: from 63-155-89-173.chyn.qwest.net ([63.155.89.173])
	by smtp.xzgame.in with esmtp (Exim 4.76)
	(envelope-from <banistersx86@lufthansa.com>)
	id YYYYYYYYYYYYYYYYYYYYY
	for XXXXXXXXXXXXXXXXXXXX; Mon, 21 Jan 2013 17:26:22 +0100
Received: from mail.pcsoffice02.de (mail.pcsoffice02.de [213.61.9.130]) by mx.kundenserver.de (node=mxbap1) with ESMTP (Nemesis) id 0MSsSL-1ToYkn2F0v-00SadK for <XXXXXXXXXXXXXXXXXXXX>; Mon, 21 Jan 2013 09:25:59 -0700
Received: from booking-lufthansa.com ([213.61.9.129]) (authenticated user online@booking-lufthansa.com) by mail.pcsoffice02.de for <XXXXXXXXXXXXXXXXXXXX>; Mon, 21 Jan 2013 09:25:59 -0700
Message-ID: <609259-7381797500170091755@booking-lufthansa.com>

Die beiden unteren „Received:“ Zeilen sind ohne Zeilenümbrüche geschrieben worden. Dies ist an sich ok, aber so ungewöhnlich, daß es ins Auge sticht. Nun ist dort die echte Emailadresse als Ziel eingetragen, hier durch XXXXXXXX ersetzt, was auf den ersten Blick für einen echten Header spräche, wenn da nicht mx.kundenserver.de drin stehen würde. D.b. der Header ist aus einer Email kopiert worden, der mit 1und1 Servern zu tun hatte. Nur leider, sind wir nicht bei 1und1 mit unserem Mailkonto, sondern bei jemand anderem . Daher paßt der Received Header nicht zum echten Header, dem einzig wahren Header:

Die Mail kam also definitiv direkt von : 63-155-89-173.chyn.qwest.net ([63.155.89.173])

Dasselbe Muster zeigt sich bei der Vodaphone Spam:

Received: from [85.119.40.167]
by smtp.xzgame.in with esmtp (Exim 4.76)
(envelope-from )
id YYYYYYYYYYYYYYYYYYYYY
for XXXXXXXXXXXXXXXXXXXX; Mon, 21 Jan 2013 10:31:52 +0100
Received: from VFUS-MBX03.vf-us.internal.vodafone.com ([::1]) by
VFUS-CAS01.vf-us.internal.vodafone.com ([10.181.10.42]) with mapi; Mon, 21 Jan 2013 10:31:51 +0100
From:

Auch hier wieder der ungewöhnlich formatierte Received Header. Nur haben die IP Adressen so rein gar nichts mit der Spammer-IP „85.119.40.167“ zu tun. Ein eindeutiges Zeichen für eine Fläschung.

Dazu spricht natürlich auch der Spamreport in der Email eine deutliche Sprache:

Pkte Regelname Beschreibung
—- ———————- ————————————————–
0.8 RCVD_IN_SORBS_WEB RBL: SORBS: Senderechner ist ein ungesicherter
WWW-Server
[85.119.40.167 listed in dnsbl.sorbs.net]
1.4 RCVD_IN_BRBL_LASTEXT RBL: RCVD_IN_BRBL_LASTEXT
[85.119.40.167 listed in bb.barracudacentral.org]
0.0 HTML_MESSAGE BODY: Nachricht enthält HTML
0.8 BAYES_50 BODY: Spamwahrscheinlichkeit nach Bayes-Test: 40-60%
[score: 0.5061]

Die ersten beiden Regeln melden die IP Adresse des Absenders als bekannte Spamquelle. Wenn es noch einen Zweifel gegeben hätte, wäre er damit ausgeräumt gewesen.

USS Enterprise soll gerettet werden

Per Petition soll der Flugzeuträger USS Enterprise vor der Verschrottung bewahrt und stattdessen in ein Museum umgewandelt werden. Der Flugzeugträger war 1960 in Betrieb genommen worden und u.a. im Film Star Trek 4 – Die Reise heim zu sehen. Er wurde im Jahr 2012 offiziell stillgelegt. Angeblich kostet es das Verteidigungsministerium zuviel, nur den Nuklearreaktor auszubauen.

Mit bislang 32 Unterzeichnern wird das mit dem Museum vermutlich nichts.