mu har har …. Scammer ! :D

Der Job als Admin kann auch Spaß machen. Heute haben wir mal die Mailqueue eines größeren Servers bereinigt. Das macht man einfach mal so alle paar Monate, damit der Restmüll entsorgt wird.

Das Exim Spoolverzeichnis

Was Ihr hier seht, sind die Reste von Spam-, Scam- und Trojanerwellen:

-rw-r----- 1 exim exim 7002 13. Jun 2018 1fSubL-0008Go-IF-D
-rw-r----- 1 exim exim 7002 13. Jun 2018 1fSuGM-0003SZ-UA-D
-rw-r----- 1 exim exim 7002 13. Jun 2018 1fSuMz-0004ur-2L-D
-rw-r----- 1 exim exim 7002 13. Jun 2018 1fSv08-0005YG-Ls-D
-rw-r----- 1 exim exim 7002 13. Jun 2018 1fSvqk-0000E1-2W-D
-rw-r----- 1 exim exim 7002 13. Jun 2018 1fSwwU-0002Pm-Rr-D
-rw-r----- 1 exim exim 7002 13. Jun 2018 1fSy2E-0005tP-M7-D
-rw-r----- 1 exim exim 7002 13. Jun 2018 1fSz7z-0008Kq-Rp-D
-rw-r----- 1 exim exim 7002 13. Jun 2018 1fT0Dj-0003vc-S7-D
-rw-r----- 1 exim exim 7002 13. Jun 2018 1fT1JU-000886-Gk-D
-rw-r----- 1 exim exim 7002 13. Jun 2018 1fT2PE-0003ep-2q-D
-rw-r----- 1 exim exim 7002 13. Jun 2018 1fT3Uz-0006Ki-21-D
-rw-r----- 1 exim exim 7002 13. Jun 2018 1fT4ai-00010b-O7-D
-rw-r----- 1 exim exim 7002 13. Jun 2018 1fT5gS-0004hR-36-D
-rw-r----- 1 exim exim 7002 13. Jun 2018 1fT6mC-0000bC-5D-D
-rw-r----- 1 exim exim 7002 13. Jun 2018 1fT7rv-0007Lw-G3-D
-rw-r----- 1 exim exim 7002 13. Jun 2018 1fT8xf-0004l3-U2-D
-rw-r----- 1 exim exim 7002 13. Jun 2018 1fTA3P-0008Na-K1-D
-rw-r----- 1 exim exim 7002 14. Jun 2018 1fTaHE-0002OM-OA-D
-rw-r----- 1 exim exim 7002 13. Jun 2018 1fTB9B-0004EE-U4-D
-rw-r----- 1 exim exim 7002 15. Jun 2018 1fTbMz-00041g-Ot-D
-rw-r----- 1 exim exim 7002 13. Jun 2018 1fTCEu-0001Rx-Bh-D
-rw-r----- 1 exim exim 7002 15. Jun 2018 1fTcSj-00063K-7S-D
-rw-r----- 1 exim exim 7002 13. Jun 2018 1fTDKd-0004ZW-PB-D
-rw-r----- 1 exim exim 7002 15. Jun 2018 1fTdYS-0007oq-JT-D
-rw-r----- 1 exim exim 7002 14. Jun 2018 1fTEQN-0006Zh-SS-D
-rw-r----- 1 exim exim 7002 14. Jun 2018 1fTFW8-0005qS-Jh-D
-rw-r----- 1 exim exim 7002 14. Jun 2018 1fTGbv-0004xt-87-D
-rw-r----- 1 exim exim 7002 14. Jun 2018 1fTHhc-0005Wg-K3-D
-rw-r----- 1 exim exim 7002 14. Jun 2018 1fTInN-0002LP-Ct-D
-rw-r----- 1 exim exim 7002 14. Jun 2018 1fTJt7-0007oa-Jd-D
-rw-r----- 1 exim exim 7002 14. Jun 2018 1fTKyr-00044Q-J3-D
-rw-r----- 1 exim exim 7002 14. Jun 2018 1fTM4b-0003AK-Qo-D
-rw-r----- 1 exim exim 7002 14. Jun 2018 1fTNAM-0008H4-Tz-D
-rw-r----- 1 exim exim 7002 14. Jun 2018 1fTOG7-0005cK-KV-D
-rw-r----- 1 exim exim 7002 14. Jun 2018 1fTPLt-0001U0-Tp-D
-rw-r----- 1 exim exim 7002 14. Jun 2018 1fTQRc-0006N6-Bj-D
-rw-r----- 1 exim exim 7002 14. Jun 2018 1fTRXL-0000Tk-Q9-D
-rw-r----- 1 exim exim 7002 14. Jun 2018 1fTSd4-0004Oz-L0-D
-rw-r----- 1 exim exim 7002 14. Jun 2018 1fTTip-00082k-SW-D
-rw-r----- 1 exim exim 7002 14. Jun 2018 1fTUoX-0002MD-9h-D
-rw-r----- 1 exim exim 7002 14. Jun 2018 1fTVuH-0004mI-Pl-D
-rw-r----- 1 exim exim 7002 14. Jun 2018 1fTX01-0000VL-VI-D
-rw-r----- 1 exim exim 7002 14. Jun 2018 1fTY5l-0003UO-Q2-D
-rw-r----- 1 exim exim 7002 14. Jun 2018 1fTZBV-0001yo-2v-D
-rw-r----- 1 exim exim 1403422 14. Okt 12:24 1gBdZG-0006N2-Ag-D
-rw-r----- 1 exim exim 1403422 14. Okt 20:26 1gBl5W-0003qc-Cc-D
-rw-r----- 1 exim exim 1403422 13. Okt 16:53 1gBLIj-0005ud-GM-D
-rw-r----- 1 exim exim 1403422 13. Okt 17:48 1gBM9j-0003Uc-D2-D
-rw-r----- 1 exim exim 1403422 13. Okt 18:48 1gBN5Z-0000OJ-Rv-D
-rw-r----- 1 exim exim 1403422 13. Okt 19:50 1gBO3Q-0006o7-0y-D
-rw-r----- 1 exim exim 1403422 13. Okt 21:54 1gBPze-0003Ye-Ir-D
-rw-r----- 1 exim exim 1403422 14. Okt 00:07 1gBS46-0000i7-0O-D
-rw-r----- 1 exim exim 1403422 15. Okt 05:23 1gBtTZ-0003RQ-TG-D
-rw-r----- 1 exim exim 1403422 14. Okt 02:48 1gBUZp-0004G2-Gj-D
-rw-r----- 1 exim exim 1403422 14. Okt 06:33 1gBY5R-0005XV-Lu-D
-rw-r----- 1 exim exim 1403422 15. Okt 14:22 1gC1tY-00072L-FK-D
-rw-r----- 1 exim exim 1403422 15. Okt 23:24 1gCALw-0001ue-32-D
-rw-r----- 1 exim exim 1403422 17. Okt 11:22 1gCi21-0001MU-Ct-D
-rw-r----- 1 exim exim 1403422 16. Okt 08:30 1gCIrx-00013p-H4-D
-rw-r----- 1 exim exim 1403422 17. Okt 17:26 1gCniW-00024v-MS-D
-rw-r----- 1 exim exim 1403422 16. Okt 17:24 1gCRCy-0007gz-TA-D
-rw-r----- 1 exim exim 1403422 17. Okt 02:24 1gCZdY-0004Nk-BV-D
-rw-r----- 1 exim exim 220465 19. Nov 08:34 1gOe4q-0002qV-9x-D
-rw-r----- 1 exim exim 220465 18. Nov 12:47 1gOLXb-0002xB-HA-D
-rw-r----- 1 exim exim 220465 18. Nov 13:34 1gOMH6-0004iZ-3r-D
-rw-r----- 1 exim exim 220465 19. Nov 17:34 1gOmV6-00031K-8Q-D
-rw-r----- 1 exim exim 220465 18. Nov 14:33 1gONCQ-0002oW-SV-D
-rw-r----- 1 exim exim 77566 19. Nov 19:11 1gOo1G-0002Gr-Sm-D
-rw-r----- 1 exim exim 220465 18. Nov 15:34 1gOO9X-0000CG-Ny-D
-rw-r----- 1 exim exim 220465 18. Nov 17:33 1gOQ0U-0002aG-V2-D
-rw-r----- 1 exim exim 220465 18. Nov 19:33 1gORsd-0004kZ-5s-D
-rw-r----- 1 exim exim 220465 18. Nov 22:33 1gOUgo-0005gF-HX-D
-rw-r----- 1 exim exim 220465 20. Nov 02:36 1gOuy3-0000so-QY-D
-rw-r----- 1 exim exim 220465 19. Nov 02:33 1gOYR1-0006Je-8J-D
-rw-r----- 1 exim exim 220465 20. Nov 11:34 1gP3ML-0008Ge-Ob-D
-rw-r----- 1 exim exim 220465 20. Nov 14:42 1gP6Hv-0001gG-Q8-D
-rw-r----- 1 exim exim 220465 20. Nov 15:41 1gP7Db-0000LM-Li-D
-rw-r----- 1 exim exim 220465 21. Nov 23:33 1gPb45-0003kd-7D-D
-rw-r----- 1 exim exim 220465 20. Nov 20:34 1gPBmp-0004uW-9T-D
-rw-r----- 1 exim exim 220465 22. Nov 08:34 1gPjVD-0005Vu-Um-D
-rw-r----- 1 exim exim 220465 21. Nov 05:35 1gPKEg-0002BZ-2Q-D
-rw-r----- 1 exim exim 220465 22. Nov 12:33 1gPnEQ-0002cv-Ph-D
-rw-r----- 1 exim exim 220465 21. Nov 14:34 1gPSdx-0007OY-Ga-D

Wie man unschwer erkennen kann, haben die Dateien alle die gleiche Größe, und ein ähnliches Datum. Diese Dateien mit ähnlichen Metadaten enthalten alle den gleichen Text und einige wollte ich Euch mal zur Kenntnis bringen:

Text 1:

UNITED NATIONS OFFICE OF INTERNATIONAL OVERSIGHT SERVICES
Internal Audit,Monitoring,Consulting And Investigations Division

From: Mrs.Inga-Britt Ahlenius

Dear Beneficiary

This is to inform you that I came to Nigeria yesterday from New York,after
series of complains from the FBI and other Security agencies from Asia,
Europe, Oceania, Antarctica,South America and the United States of America
respectively, against the Federal Government of Nigeria and the British
Government for the rate of scam activities going on in these two nations.

Right now,as directed by our secretary general Mr.Ant=C3=B3nio Guterres,We are
working in collaborations with the Economic and Financial Crime Commission 
(EFCC) and have decided to waive away all your clearance fees/Charges and 
authorize the Government to effect the payment of your compensation of an 
amount of US$10.5 Million (Ten Million Five Hundred Thousand United States 
dollars) approved by both the British government and the UN into your
account without any delay. The only fee you will pay to confirm your fund in
your account, is your Processing fee to the UN.

Sincerely,you are a lucky person because I have just discovered that some
top Government Officials are interested in your fund and they are working
in collaboration with One Mr.Johnson Adams from USA to frustrate you and 
thereafter divert your fund into their own personal account.

get back to us with your baking information,

Full Names:
Country:
Direct Number:
Bank Name:
Bank Address:
Bank Account Number:
Routing Number:
Swift Code:

I have a very limited time to stay here so I would like you to urgently
respond to this message so that I can advise you on how best to confirm
your fund in your account within the next 42 hours.

Quickly call me on this number which I just acquired today:+2348129284088

Sincerely yours,
Mrs.Inga-Britt Ahlenius

Kommentar: Wer fällt noch auf son Müll rein? Gibt es da wirklich noch jemanden, der über mehr als 10 € Taschengeld verfügt?

Text 1a :

Reference # PP-004-015-913-154

UPDATING ACCOUNT STATUS
COMMENT REQUIRED

Confirm Your Account Information
With A Receipt

SIGN IN TO YOUR PAYPAL ACCOUNT TO RESOLVE A LIMITATION

Sign in to PayPal to confirm your identity and review all your recent
activity. The quick response will help restore your account.

To help protect your PayPal account, no one can send money or withdraw
funds. Additionally, no one can add money to your account, remove bank
accounts, remove credit cards, send refunds, or close your account.

Confirm My Account [1]

WHAT'S GOING ON?

Your credit card issuer will let us know that someone has used your card
without your permission. We want to make sure you are authorized for all
recent PayPal payments.

WHAT TO DO?

Sign in to your PayPal account as soon as possible. We may ask you to
confirm the information you provided when you created your account to
verify that you are the account owner. You should also do the following
for your protection:

* PLEASE CHECK YOUR ACCOUNT INFORMATION (Address, email, phone, etc.)
to make sure they are accurate.
* CHECK YOUR ACCOUNT ACTIVITY To make sure you recognize recent
transactions.
* REPORT ANY UNKNOWN OR UNAUTHORIZED ACTIVITY. Go to Solution Center
and click SHARE ON A TRANSACTION.

WHAT NEXT?

Once you have completed all the tasks, we will respond within 72 hours.

Thank you for choosing PayPal. If you need help or have any questions,
please call us at 1809 477 777, 9:00 - 18:00 Sunday through Thursday.

Sincerely,
PayPal

Help Center | Security Center

Please do not reply to this email because we are not following this
inbox. To contact us, please sign in to your account and click "Contact
Us" at the bottom of each page.

Kommentar: Genau, weil das eine echte Email ist, sollte man nicht drauf antworten und PayPal unterschreibt bestimmt „Hochachtungsvoll, PayPal“ seine Emails 😀

Text 2:

Ja, die kam als „text/plain; charset=iso-8859-2;“ mit den Kommentarzeichen drin  rein 😉 Das sollte wohl das RICH-Textformat nachahmen oder sowas 🙂

/*Sehr geehrte Damen/Herren,*/


ich interressiere mich für eine offene Stelle als Servierer. Hiermit 
sende ich mein Lebenslauf und Bewerbungsschreiben.

Ich habe Tourism und Gastgewerbe an der Universität von Debrecen 
studiert und dann Erfahrungen als Rezeptionist in einem Hotel gesammelt.

In eine neue Aufgabe bei Ihnen kann ich verschiedene Stärken einbringen. 
Ich mache meine Aufgaben sehr zuverlässig, verantwortungsbewusst und 
präzise.

Mit mir gewinnt Ihr Team einen Mitarbeiter, der flexibel, motiviert und 
teamorientiert ist.
Außerdem habe ich in früheren Positionen insbesondere hohe 
Lernbereitschaft und viel Kreativität unter Beweis stellen können.

Es wäre sehr gut meine gastgewerbliche Fähigkeiten bei Ihnen einzubringen.

Für weitere Fragen stehe ich gerne zur Verfügung. Auf eine Stelle, in 
der ich Sie von meinen fachlichen Kenntnissen und Motivation überzeugen 
kann, freue ich mich.

/*Telefunnummer: +36-20-391-80-50 *//*
*//*
*//*Mit freundlichen Grüßen,*//*
*//*
*//*N<E1>ndor Vas*/

Kommentar: Da ich Text 3 vor Text 2 gelesen hatte, kam mir der Word-Virus und das Gaststättengewerbe so bekannt vor … 😉

Text 3:

Sehr geehrte Damen und Herren, hiermit bewerben ich mich bei Ihnen und 
sende mein CV. Momentan möchte ich neue und spannende Herausforderungen 
in Österreich finden. Ich habe Berufserfahrung in der Gastgewerbe als 
Unternehmer und auch als Angestellter gesammelt. Ich arbeite fast 3 
Jahren in Deutschland. Ich habe gute Anpassungs- und 
Kommunikationsfähigkeiten und bin fleißig, präzis und zuverlässig. Ich 
kann mich auf Deutsch verständigen. Mein Ziel ist es, Ihr Team mit 
meinen Fähigkeiten unterstützen, deshalb würde ich mich auf eine 
positive Rückmeldung freuen. Mit freundlichen Grüßen Attila Simon

Kommentar: Das merk man, besonders was das Senden von Viren verseuchten Worddokumenten betrifft 😀

Jetzt mal ernsthaft gefragt, da ja Bewerbungsschreiben wirklich immer öfters per EPost kommen, kann man sowas ja nicht wirklich „einfach“ öffnen, außer man ist alter Linuxer  und gar kein Word drauf 😉 Wie regeln Unternehmen das jetzt eigentlich so ?

Ihr wisst ja, wo die Emailaddresse zu finden ist, falls jemandem was schlaues einfällt 😉

Ihr habt WordPress und FastCGI im Einsatz?

Dann wird Euch sicher interessieren, wie man das reaktiver bekommt.

Das Problem

Wenn eine Seite mit FASTCGI läuft, wird PHP als CGI ausgeführt, also EXTERN vom Apache aus gesehen. Daher kann der Apache nur für native Files die GZIP Komprimierung übernehmen, nicht aber für die Webseiten selbst. PHP muß das tun, da es für den Datenstrom selbst zuständig ist.

Damit es das tut, fügen wir eine eigene php.ini mit diesem Inhalt im Hauptpfad ein:

zlib.output_compression = On
zlib.output_compression_level = 6

z.b. so “ echo ‚zlib.output_compression = On‘ > php.ini; echo ‚zlib.output_compression_level = 6‘ >> php.ini
Das wars. Fertig. Jetzt werden die PHP Seiten mit GZIP vom Server komprimiert und z.b. im Mobilfunknetz schneller übertragen. Alle werden es Euch danken 😉

Aus der Serie: Spaß mit Scammern

Deutschland klagt ja gerne über den selbst verschuldeten Fachkräftemangel und davor sind selbst aufstrebende Verbrecherbanden nicht gefeit 🙂

Mit Zahlen müßte man sich auskennen…

Die hier wohl maschinell gemachte Übersetzung ist ja gar nicht mal so schlecht, nur „leider“ konnten die Scammer wohl mit großen Zahlen nicht richtig umgehen, denn der ach so verlockende Kontostand von 22,30 Pfund, so ca. 26 €, ist ja jetzt nicht gerade der Hammer 😉

Absender:  martinpeter@onet.eu :

 

Ich bin Dr. Martin Peter, Manager für operationelle Risikokontrolle und Mitglied der Konzernleitung der UBS-Gruppe. Ich suche nach einem internationalen Geschäftspartner, der mit mir bei einer Finanztransaktion zusammenarbeitet, wie kürzlich bei der Prüfung von Bankkonten und Dienstleistungen unserer Bank; Ich entdeckte gebietsfremde Bankkonten, die seit langem nicht mehr geführt wurden. Dies gehört zu einem verspäteten Business-Mogul, der am 7. Juni 2012 bei einem Flugzeugabsturz zum Opfer fiel und zum Tode führte. Bisher weiß niemand von seinem Bankkonto bei der UBS Investment Bank. Dieses Konto hält £ 22,3 GBP (nur zweiundzwanzig Millionen, nur dreihunderttausend GBP Sterling) und ich möchte, dass Sie Ihr Interesse angeben, damit Sie als „ausländischer Begünstigter“ auftreten können. Ich werde jedoch auf Ihr Gefühl der Vertraulichkeit und Vertraulichkeit zählen, um eine risikobehaftete Auseinandersetzung zu vermeiden, angesichts der Empfindlichkeit und des Umfangs dieses Projekts.

Ich freue mich sehr auf Ihre dringende Antwort.

Danke und viele Grüße,

Dr. Martin Peter
Operational Risk Control Manager
UBS Investment Bank, London.

 

Ich freu mich ja immer, wenn unsere Antispam Lösung sowas alle paar Jahre mal durchläßt, weil man dann mal wieder einen Grund hat was davon ins Block zu packen 😉 Jetzt gibt es leider keinen Grund den Emailheader auseinander zu pflücken, der ist dummerweise unauffällig. Ok, es kommt aus Portugal, aber bei einer EU Adresse, ist das jetzt nicht gerade was besonderes.

Da bleibt nicht viel zu sagen, außer: Hab in die digitale Mülltonne!