• Willkommen im Forum „Tintenzirkel - das Fantasyautor:innenforum“.
 

Tizi-Server wurde vermutlich gehackt

Begonnen von Maja, 11. September 2017, 22:13:19

« vorheriges - nächstes »

0 Mitglieder und 1 Gast betrachten dieses Thema.

Maja

Ich freue mich, dass nach einer Woche nur noch drei obskure Blacklists übrig sind und so ziemlich jeder auf der Welt wieder Mails von mir empfangen können sollte. :)
Niemand hantiert gern ungesichert mit kritischen Massen.
Robert Gernhardt

chaosqueen

Ich möchte keine Geister heraufbeschwören, aber der TiZi scheint Viren zu versenden ... Siehe Anhang. Das waren zwei verschiedene Mails, eine Warnung erreichte mich um 20:55h, die zweite um 22:05h. Gerade gesehen.

[Dateianhang durch Administrator gelöscht]

Volker

Der TiZi versendet immer mit "forum@tintenzirkel.de".
Deine  Mail ist vmtl. nur eine einfache Fälschung der Absenderzeile, was keinen geknackten Server braucht.

Für Genaueres müste ich die Header-Zeilen der Mail sehen können.

Maja

#33
Ich habe auch ein paar von diesen Mails bekommen. Sie sind an obermotz@tintenzirkel.de gegangen, die Adresse, die an unsere privaten Mailaccounts weitergeleitet wird. Die Spammer haben den Absender aus der Zieldomain generiert. Aus den Headerdaten geht hervor, dass unser Server nichts mit dem Versenden zu tun hatte. Da Spammer grundsätzlich gefälschte Absendeadressen verwenden, ist es eine gängige Praxis, zu tun, als wäre die Zieldomain auch der Absender, in der Hoffnung, damit per Whitelist an den Spamfiltern vorbeizukommen.

Return-Path: <noreply@tintenzirkel.de>
X-Original-To: maja@ilisch.de
Delivered-To: maja@ilisch.de
Received: by mail.gottfabrik.de (Postfix, from userid 30)
id 5098B63C91; Wed, 27 Sep 2017 22:05:00 +0200 (CEST)
X-Original-To: obermotz@tintenzirkel.de
Delivered-To: obermotz@tintenzirkel.de
Received: from static.vnpt.vn (unknown [113.163.187.102])
by mail.gottfabrik.de (Postfix) with ESMTP id BA5E263C83
for <obermotz@tintenzirkel.de>; Wed, 27 Sep 2017 22:04:59 +0200 (CEST)
From: <noreply@tintenzirkel.de>
To: <obermotz@tintenzirkel.de>
Subject: Scanned image from MX-2600N
Date: Thu, 28 Sep 2017 03:05:02 +0700
Message-ID: <20170818533998.12D9.noreply@tintenzirkel.de>
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_7688_110E95AC.9AFD3EA1"
X-Mailer: Microsoft Office Outlook 12.0
Thread-Index: 0e1d635B8c3D81254389bB866950f2==


Aus der Absender-IP 113.163.187.102 geht hervor, dass die Mail über einen gehackten Server in Vietnam verschickt wurde.

Wenn ihr Spam bekommt - schaut nicht auf die Absenderadresse. Die hat nichts mit dem Versenden der Mail zu tun. Auch der Spam, der über unseren gehackten Server verschickt wurde, hatte sonstwas als Absender, keine von meinen Adressen. Aber in den Headerdaten findet man immer einen Eintrag, der so aussieht
Received: from static.vnpt.vn (unknown [113.163.187.102])
Das ist die Adresse des Servers, über den die Mail verschickt wurde, und die Domain des Providers. Mail, die von meinem Server aus verschickt wurde, erkennt man immer an dem Eintrag
Received: from mail.gottfabrik.de
Wenn ihr Spam bekommt, der auf mail.gottfabrik.de als Absender verweist, dann gebt mir bitte Bescheid.
Niemand hantiert gern ungesichert mit kritischen Massen.
Robert Gernhardt

flowrite

Schön, dass das Problem gelöst wurde.  :prost:

Eigentlich müsste man dazu übergehen, alle Mails von vornherein im Quelltext öffnen zu lassen, so dass man gleich die Header sieht. Dann könnte es einen Button geben »Vertrauenswürdig – springe zum Textteil«, danach ggf. »Noch vertrauenswürdiger – im HTML-Modus öffnen«. ... Und dann hätte ich gerne noch ein Frühstück ans Bett gebracht, liebes Universum.

Viele Mailclients bieten immerhin ein Feature, um gleich alle Mail-Header anzuzeigen. Wer das einschaltet, sieht aber ein, dass das nicht die Voreinstellung sein kann. Und auch obiger Vorschlag ist leider kaum praktikabel angesichts nicht gerade üppig gesähten technischen Verständnisses bei Leuten (davon hab ich zwar ein bisschen mehr, dafür aber bisschen weniger Lebenserfahrung und so Zeug). Wenn schon mein Request »Weniger Kriege auf der Welt« ewig beim Universum in der Pipeline liegt, brauche ich gar nicht erst damit kommen.

Luna

Ah, sorry, habe ich leider nicht gesehen - hatte viel zu tun.
Bei dringenden Fällen entweder eine PM, oder eine Mail. Aber Volker hat dir ja helfen können. Bin froh, dass ihr das geschafft habt, ohne den Server neu aufzusetzen (mag ich auch nicht gerne - vor allem daten sichern und backups einspielen dauert so extrem lange).