Trendsportart : Mailserver mit der eigenen Addresse hacken

Zur Zeit scheint es bei den Spammern dieser Welt Mode zu sein, sich per SMTP Auth mit der Emailaddresse des Opfers anzumelden :

2013-01-30 14:35:48 LOGIN authenticator failed for cable-24-135-212-206.dynamic.sbb.rs (dejanxp) [24.135.212.206]: 535 Incorrect authentication data (set_id=julius.meyers@cooledomain.de)

Das es sich hier um einen serbischen Windows XP PC handelt, ist in diesem Fall mehr als wahrscheinlich. Es bleibt nur zu klären, ob der Besitzer Opfer oder Täter ist.

Die Zeile taucht natürlich nicht nur einmal auf, sondern so oft, bis die Brute-Force Detection die IP sperrt. Mit jedem Versuch wird ein anderes Passwort auf einer Wortliste durchprobiert.

Diese Art des Brute-Force Angriffes kann natürlich nur funktionieren, wenn der Mailserver überhaupt Emailaddressen als Userids akzeptiert. Nicht alle POP3/IMAP Server erlauben die Emailaddresse als Benutzerid für SMTP-Auth, unser übrigens auch nicht und deswegen hier der Aufruf an die Skriptkids dieser Welt: Verschwendet die Bandbreite für was anderes 😉

Sie sind wieder da.. Lufthansa und Vodaphone

Lange Zeit war es still geworden um die Trojanerversender der Lufthansa, aber heute scheint das Eis gebrochen worden zu sein. Die Spamversender um die Vodaphone Trojaner, vermutlich die gleichen wie die der Lufthansa .

Die Lufthansaemail glänzt natürlich wieder durch einfache Fehlermerkmale, z.B. Köln als Koln geschrieben. Da die Mail sehr gut geschrieben ist, fällt das am Ende möglicherweise nicht mehr auf. Dafür gibt es eindeutige Hinweise in den Received Headern der EMail:

Received: from 63-155-89-173.chyn.qwest.net ([63.155.89.173])
	by smtp.xzgame.in with esmtp (Exim 4.76)
	(envelope-from <banistersx86@lufthansa.com>)
	id YYYYYYYYYYYYYYYYYYYYY
	for XXXXXXXXXXXXXXXXXXXX; Mon, 21 Jan 2013 17:26:22 +0100
Received: from mail.pcsoffice02.de (mail.pcsoffice02.de [213.61.9.130]) by mx.kundenserver.de (node=mxbap1) with ESMTP (Nemesis) id 0MSsSL-1ToYkn2F0v-00SadK for <XXXXXXXXXXXXXXXXXXXX>; Mon, 21 Jan 2013 09:25:59 -0700
Received: from booking-lufthansa.com ([213.61.9.129]) (authenticated user online@booking-lufthansa.com) by mail.pcsoffice02.de for <XXXXXXXXXXXXXXXXXXXX>; Mon, 21 Jan 2013 09:25:59 -0700
Message-ID: <609259-7381797500170091755@booking-lufthansa.com>

Die beiden unteren „Received:“ Zeilen sind ohne Zeilenümbrüche geschrieben worden. Dies ist an sich ok, aber so ungewöhnlich, daß es ins Auge sticht. Nun ist dort die echte Emailadresse als Ziel eingetragen, hier durch XXXXXXXX ersetzt, was auf den ersten Blick für einen echten Header spräche, wenn da nicht mx.kundenserver.de drin stehen würde. D.b. der Header ist aus einer Email kopiert worden, der mit 1und1 Servern zu tun hatte. Nur leider, sind wir nicht bei 1und1 mit unserem Mailkonto, sondern bei jemand anderem . Daher paßt der Received Header nicht zum echten Header, dem einzig wahren Header:

Die Mail kam also definitiv direkt von : 63-155-89-173.chyn.qwest.net ([63.155.89.173])

Dasselbe Muster zeigt sich bei der Vodaphone Spam:

Received: from [85.119.40.167]
by smtp.xzgame.in with esmtp (Exim 4.76)
(envelope-from )
id YYYYYYYYYYYYYYYYYYYYY
for XXXXXXXXXXXXXXXXXXXX; Mon, 21 Jan 2013 10:31:52 +0100
Received: from VFUS-MBX03.vf-us.internal.vodafone.com ([::1]) by
VFUS-CAS01.vf-us.internal.vodafone.com ([10.181.10.42]) with mapi; Mon, 21 Jan 2013 10:31:51 +0100
From:

Auch hier wieder der ungewöhnlich formatierte Received Header. Nur haben die IP Adressen so rein gar nichts mit der Spammer-IP „85.119.40.167“ zu tun. Ein eindeutiges Zeichen für eine Fläschung.

Dazu spricht natürlich auch der Spamreport in der Email eine deutliche Sprache:

Pkte Regelname Beschreibung
—- ———————- ————————————————–
0.8 RCVD_IN_SORBS_WEB RBL: SORBS: Senderechner ist ein ungesicherter
WWW-Server
[85.119.40.167 listed in dnsbl.sorbs.net]
1.4 RCVD_IN_BRBL_LASTEXT RBL: RCVD_IN_BRBL_LASTEXT
[85.119.40.167 listed in bb.barracudacentral.org]
0.0 HTML_MESSAGE BODY: Nachricht enthält HTML
0.8 BAYES_50 BODY: Spamwahrscheinlichkeit nach Bayes-Test: 40-60%
[score: 0.5061]

Die ersten beiden Regeln melden die IP Adresse des Absenders als bekannte Spamquelle. Wenn es noch einen Zweifel gegeben hätte, wäre er damit ausgeräumt gewesen.

USS Enterprise soll gerettet werden

Per Petition soll der Flugzeuträger USS Enterprise vor der Verschrottung bewahrt und stattdessen in ein Museum umgewandelt werden. Der Flugzeugträger war 1960 in Betrieb genommen worden und u.a. im Film Star Trek 4 – Die Reise heim zu sehen. Er wurde im Jahr 2012 offiziell stillgelegt. Angeblich kostet es das Verteidigungsministerium zuviel, nur den Nuklearreaktor auszubauen.

Mit bislang 32 Unterzeichnern wird das mit dem Museum vermutlich nichts.

Wenn Dracut einen Schreibfehler hat

Beim Upgrade von Fedora 16 auf 17, muß u.A. ein neuer Kernel Eintrag im Grub vorgenommen werden, z.B. :

title Fedora (upgrade.fc16.PAE)
 root (hd0,0)
 kernel /boot/vmlinuz-3.6.10-2.fc16.i686.PAE ro root=UUID=dca7eea1-687e-476a-a9a0-c41ef0329113 rd_NO_LUKS rd_NO_LVM rd_NO_MD rd_NO_DM LANG=de_DE.UTF-8 SYSFONT=latarcyrheb-sun16 KEYTABLE=de-latin1 rw rd.info rd.convertfs enforcing=0
 initrd /boot/initramfs-3.6.10-2.fc16.i686.PAE.img

Das ist nötig, da Fedora 17 ein anderes Filesystemlayout hat.

Wenn man das RW vergißt, bekommt man einen „Read-only file system“ , weil das usrcheck Script nicht auf die Partionen schreiben kann. Anstatt das Dracut das mit einem Hinweis auf den fehlenden Kernelparameter meldet, kommt nur ein Switched to root und nix passiert. Das Convertfs findet dann nicht statt.

Eine typische Fehlermeldung:

/usr/bin/convertfs line 60: /sysroot/.usrmovecheck234: Read-only file system

Lösung ist ganz einfach:

 kernel /boot/vmlinuz-3.6.10-2.fc16.i686.PAE ro root=UUID=dca7eea1-687e-476a-a9a0-c41ef0329113 rd_NO_LUKS rd_NO_LVM rd_NO_MD rd_NO_DM LANG=de_DE.UTF-8 SYSFONT=latarcyrheb-sun16 KEYTABLE=de-latin1 rw rd.info rd.convertfs enforcing=0

Den Kerneleintrag nochmal neu schreiben bzw. ergänzen und dann rebooten. Dann gehts.