Hallo,
ich habe vor ein paar Tagen eine gefälschte Mail bekommen, die angeblich von Ebay versandt wurde; ich habe mir die Header- Informationen genauer angeschaut. Mich würde nun interessieren (a) ob meine Analyse richtig ist bzw. ob und was ich übersehen habe und (b) ob, und wenn ja, wo man solche vermutlich kompromittierten Hosts melden kann/ soll. Früher hätte ich eine Mail an root@host geschickt, aber heutzutage ist das ja anscheinend eher Alltag und es kümmert sich keiner mehr drum...?
So sah die Mail von "eBay <[email protected]>" aus:
(grössere Abbildung: http://www.kefk.net/Shopping/Auktionen/Ebay/Ebay-versendet-Spam/Screenshots/2003-09-23_Ebay-Fake.jpg).
Man wundert sich zunächst über die ungewöhnlich kleine Schrift und stellt dann fest, dass es sich gar nicht um Text handelt, sondern nur um eine in HTML eingebettete Grafik (pic.gif von einer kruden und ellenlangen Location, die etwa wie folgt aussieht: http://[email protected]...; ich glaube, der URL ist einfach nur UTF-8 encoded?):
Die vollständige Mail habe ich vorsichtshalber archiviert (wen es interessiert: (http://www.kefk.net/Shopping/Auktionen/Ebay/Ebay-versendet-Spam/message.txt)
Was zunächst wie ein offizieller Host von Ebay (scgi.ebay.com) aussieht, entpuppt sich bei näherem Hinsehen als Account (@) bei dem Host 211.217.224.102:34; der URL zeigt auf ein Verzeichnis /update mit der Datei index.htm.
Der zu dieser IP-Adresse gehörende Netblock gehört folgendem Eigentümer:
Schaut man sich dann einmal den vollständigen Header der Mail an, sieht man auch, welchen Weg die Mail genommen hat:
(Mail mit vollständigem Header: http://www.kefk.net/Shopping/Auktio.../Screenshots/2003-09-23_Ebay-Fake-Headers.jpg).
Der echte Absender ist also user243.kks-kamnik.si auf dem Host 212.13.231.243.
Der zu dieser IP-Adresse gehörende Netblock gehört folgendem Eigentümer:
Es handelt sich also vermutlich um eine kompromittierte Maschine entweder in einem Netblock von APNIC oder RIPE. Ist das so halbwegs richtig? Was kann man noch aus der Mail herauslesen? Tipps oder Kommentare?
Gruss & Danke, -asb
ich habe vor ein paar Tagen eine gefälschte Mail bekommen, die angeblich von Ebay versandt wurde; ich habe mir die Header- Informationen genauer angeschaut. Mich würde nun interessieren (a) ob meine Analyse richtig ist bzw. ob und was ich übersehen habe und (b) ob, und wenn ja, wo man solche vermutlich kompromittierten Hosts melden kann/ soll. Früher hätte ich eine Mail an root@host geschickt, aber heutzutage ist das ja anscheinend eher Alltag und es kümmert sich keiner mehr drum...?
So sah die Mail von "eBay <[email protected]>" aus:
(grössere Abbildung: http://www.kefk.net/Shopping/Auktionen/Ebay/Ebay-versendet-Spam/Screenshots/2003-09-23_Ebay-Fake.jpg).
Man wundert sich zunächst über die ungewöhnlich kleine Schrift und stellt dann fest, dass es sich gar nicht um Text handelt, sondern nur um eine in HTML eingebettete Grafik (pic.gif von einer kruden und ellenlangen Location, die etwa wie folgt aussieht: http://[email protected]...; ich glaube, der URL ist einfach nur UTF-8 encoded?):
Die vollständige Mail habe ich vorsichtshalber archiviert (wen es interessiert: (http://www.kefk.net/Shopping/Auktionen/Ebay/Ebay-versendet-Spam/message.txt)
Was zunächst wie ein offizieller Host von Ebay (scgi.ebay.com) aussieht, entpuppt sich bei näherem Hinsehen als Account (@) bei dem Host 211.217.224.102:34; der URL zeigt auf ein Verzeichnis /update mit der Datei index.htm.
Der zu dieser IP-Adresse gehörende Netblock gehört folgendem Eigentümer:
Code:
09/23/03 19:15:30 IP block 211.217.224.102
Trying 211.217.224.102 at ARIN
Trying 211.217.224 at ARIN
OrgName: Asia Pacific Network Information Centre
OrgID: APNIC
Address: PO Box 2131
City: Milton
StateProv: QLD
PostalCode: 4064
Country: AU
ReferralServer: whois://whois.apnic.net
NetRange: 210.0.0.0 - 211.255.255.255
CIDR: 210.0.0.0/7
NetName: APNIC-CIDR-BLK2
NetHandle: NET-210-0-0-0-1
Parent:
NetType: Allocated to APNIC
NameServer: NS1.APNIC.NET
NameServer: NS3.APNIC.NET
NameServer: NS.RIPE.NET
NameServer: RS2.ARIN.NET
NameServer: DNS1.TELSTRA.NET
Comment: This IP address range is not registered in the ARIN database.
Comment: For details, refer to the APNIC Whois Database via
Comment: WHOIS.APNIC.NET or http://www.apnic.net/apnic-bin/whois2.pl
Comment: ** IMPORTANT NOTE: APNIC is the Regional Internet Registry
Comment: for the Asia Pacific region. APNIC does not operate networks
Comment: using this IP address range and is not able to investigate
Comment: spam or abuse reports relating to these addresses. For more
Comment: help, refer to http://www.apnic.net/info/faq/abuse
Comment:
RegDate: 1996-07-01
Updated: 2002-09-11
OrgTechHandle: AWC12-ARIN
OrgTechName: APNIC Whois Contact
OrgTechPhone: +61 7 3858 3100
OrgTechEmail: [email][email protected][/email]
# ARIN WHOIS database, last updated 2003-09-22 19:15
Schaut man sich dann einmal den vollständigen Header der Mail an, sieht man auch, welchen Weg die Mail genommen hat:
Code:
from UserMail1.FreeCity.De [81.88.35.51] by ndmail4.name-server.de with ESMTP (SMTPD32-6.06) id A1A577101E4; Tue, 23 Sep 2003 11:25:57 +0200
from microsoft.com (user243.kks-kamnik.si [212.13.231.243]) by UserMail1.FreeCity.De (Postfix) with SMTP id C979957F2D4 for <[email protected]>; Tue, 23 Sep 2003 11:23:24 +0200 (CEST)
(Mail mit vollständigem Header: http://www.kefk.net/Shopping/Auktio.../Screenshots/2003-09-23_Ebay-Fake-Headers.jpg).
Der echte Absender ist also user243.kks-kamnik.si auf dem Host 212.13.231.243.
Der zu dieser IP-Adresse gehörende Netblock gehört folgendem Eigentümer:
Code:
09/23/03 19:13:12 IP block 212.13.231.243
Trying 212.13.231.243 at ARIN
Trying 212.13.231 at ARIN
OrgName: RIPE Network Coordination Centre
OrgID: RIPE
Address: Singel 258
Address: 1016 AB
City: Amsterdam
StateProv:
PostalCode:
Country: NL
ReferralServer: whois://whois.ripe.net
NetRange: 212.0.0.0 - 212.255.255.255
CIDR: 212.0.0.0/8
NetName: RIPE-NCC-212
NetHandle: NET-212-0-0-0-1
Parent:
NetType: Allocated to RIPE NCC
NameServer: NS.RIPE.NET
NameServer: NS2.NIC.FR
NameServer: SUNIC.SUNET.SE
NameServer: AUTH03.NS.UU.NET
NameServer: SEC1.APNIC.NET
NameServer: SEC3.APNIC.NET
NameServer: TINNIE.ARIN.NET
Comment: These addresses have been further assigned to users in
Comment: the RIPE NCC region. Contact information can be found in
Comment: the RIPE database at http://www.ripe.net/whois
RegDate: 1997-11-14
Updated: 2003-09-19
OrgTechHandle: RIPE-NCC-ARIN
OrgTechName: RIPE NCC Hostmaster
OrgTechPhone: +31 20 535 4444
OrgTechEmail: [email][email protected][/email]
# ARIN WHOIS database, last updated 2003-09-22 19:15
Es handelt sich also vermutlich um eine kompromittierte Maschine entweder in einem Netblock von APNIC oder RIPE. Ist das so halbwegs richtig? Was kann man noch aus der Mail herauslesen? Tipps oder Kommentare?
Gruss & Danke, -asb