30. Juli 200223 j Hier der Header: Ich kann daraus sowieso nichts erkennen.... Received: from mail.gmx.net (mail.gmx.net [213.165.64.20]) by mailbox-15.st1.spray.net (8.8.8/8.8.8) with SMTP id NAA04523 for <meineE-MAIL>; Mon, 29 Jul 2002 13:12:31 +0200 (DST) Posted-Date: Mon, 29 Jul 2002 13:12:31 +0200 (DST) Received-Date: Mon, 29 Jul 2002 13:12:31 +0200 (DST) Received: (qmail 8556 invoked by uid 0); 29 Jul 2002 11:12:31 -0000 Received: from hdhm-d9b928c4.pool.mediaways.net (HELO baitronic.local) (217.185.40.196) by mail.gmx.net (mp016-rz3) with SMTP; 29 Jul 2002 11:12:31 -0000 Received: from baitronic (localhost [127.0.0.1]) by baitronic.local (8.10.2/8.10.2/SuSE Linux 8.10.0-0.3) with ESMTP id g6TBAqX00912 for <meineE-MAIL>; Mon, 29 Jul 2002 13:10:52 +0200 X-Authentication-Warning: baitronic.local: Host localhost [127.0.0.1] claimed to be baitronic Date: Mon, 29 Jul 2002 13:10:52 +0200 From: Andreas Baier <baitronic@gmx.net> To: meineE-MAIL Subject: here we are Message-ID: <20020729131052.A676@baitronic.local> References: <20020722205622.E688@baitronic.local> Mime-Version: 1.0 Content-Type: text/plain; format=flowed; charset=ISO-8859-1 Content-Transfer-Encoding: 8bit In-Reply-To: <20020722205622.E688@baitronic.local>; from baitronic@gmx.net on Mon, Jul 22, 2002 at 20:56:22 +0200 X-Mailer: Balsa 1.2.1 Lines: 26
30. Juli 200223 j hab ihn angerufen... er sagte es wäre mißbrauch seines namens und mail-kontos... was kann ich jetz machen ???
30. Juli 200223 j Vermutlich hat er Recht, denn der Header scheint gefaked zu sein: X-Authentication-Warning: baitronic.local: Host localhost [127.0.0.1] claimed to be baitronic . Ich würde den Header trotzdem an GMX und mediaways.net schicken (Received: from hdhm-d9b928c4.pool.mediaways.net (HELO baitronic.local) (217.185.40.196). Ob die aber viel unternehmen, wage ich zu bezweifeln. Sonst kannst Du praktisch nichts machen. Da weiß einer, wie man Header faked und jetzt meit er, sich damit aufspielen zu können/ müssen. Ich würde ihn einfach ignorieren. Dann wird ihm das ganze schon langweilig! GG
30. Juli 200223 j Message-ID: <20020729131052.A676@baitronic.local> Die Email ist gefaked, sie wurde nicht ueber gmx versandt.
30. Juli 200223 j Original geschrieben von hades Die Email ist gefaked, sie wurde nicht ueber gmx versandt. Hi. Ich habe mich auch eine Weile mit Mails faken etc beschäftigt. HAdes hat recht. Wenn er nicht den Zugang zu deinem E-Mail konto kennt, kann er auch keine Fake-Mails verschicken. Gmx ist einer der wenigen Dienste der POP3-Authentication fordert um per SMTP ( Telnet ) eine Mail zu verschicken. Jedoch könnte er einen Server bei sich zu Hause stehen haben, und sich ganz einfach die Email Addy angeignet haben. Was ich leider überhaupt nicht verstehe ist : Wieso er nicht seine Adresse über nen Proxy bzw. Anymizer verschwinden lässt ( --> hdhm-d9b928c4.pool.mediaways.net ). Anscheinend ist der Meister doch nicht so ein guter Mann wie er vorgeben zu scheint... Nunja was soll man da sagen.. Noob @ work
30. Juli 200223 j wo ist da was gefaked? hier habt ihr die ip 217.185.40.196. kann ja sein, dass gmx nur ein relaying after pop oder besser gesagt auf ihrem webinterface mit imap erlauben, aber dass heisst doch noch lange nicht, dass man nicht über andere relayhosts eine mail mit einer gmx adresse verschicken kann. ich kann dir ja auchmal eine mail schicken mit deiner adresse als absender, wo ist da das problem? mailserver sollten natuerlich nicht jede mail annehmen, deren absender durch einen reverslookup kein ergebnis liefert, aber tun die meisten dennoch. falls das ziel diesen check trotzdem durchführt, dann nimmt man einen relayenden server. diesen hat jeder von uns, denn jeder provider bietet solch einen und diese erlauben nunmal in den meisten fällen auch ein relaying mit email absender adressen jeder wahl (ausmahmen können bekannte spam adressen sein). diese vorgehensweise soll ermöglichen auch anderen smtps das ausliefern der mails lokal auf dem system zu erstatten und das sicherheitsrisiko auf die ausliefernden, registrierten smtps zu schieben. die absender in deinem fall ist klar :217.185.40.196. diese ip wurde von gmx angenommen, weil sie tatsächlich die richtige ist, denn der absender durfte ganz einfach bei gmx lokal ausliefern. seine ip gehört zu dem adress bereich von mediaways.net und der absender benutze, wenn man seiner smtp signifikation glauben will suse linux. X-Authentication-Warning: baitronic.local: Host localhost [127.0.0.1] claimed to be baitronic . da shat garnichts zu bedeuten, er hat ganz einfach lokal auf seinem system mit einem MUA per smtp wiederrum an sein eigenes auch lokal auf dem system befindliches smtprelay die mail versand, welche dann an gmx ausgeliefert wurde.
31. Juli 200223 j also kann ich nix anderes machen als -> abuse@gmx.net zu schreiben und von mediways (wie ist da die "abuse"-adresse ? abuse@mediways.net ?) thx
31. Juli 200223 j du kannst mit mediaways rücksprache halten und versuchen durch die ip 217.185.40.196 und die ungefähre uhrzeit des attentats an den "übeltäter" ranzukommen.
31. Juli 200223 j danke ! Hat sich nun wieder gemeldet, hier die Mail (vom gleichen konto aus): Betreff: Here we are 2 Here we are, Hallo Tobias, Meldest dich ja gar nicht, was ist denn los? Nicht mehr online? Oder hat dich ein anderer schon plattgemacht? - Schade...irgendwie langweilig... na, hast du dich mittlerweile schon schlau gemacht über mich? Ich geb dir nen Tipp: such mal in google nach Baitronic *g*... Sagt dir eigentlich IP-Spoofing was? Und weißt du das man Absenderadressen von Emails ganz leicht fälschen kann? Viel spaß bei der Suche, schau auch mal in meinen Mailheader...steht meine IP drin ;-) Warum meldest du dich eigentlich nicht? BaItRoNiC muaahhaaa! Was sagt ihr dazu ? Was meint ihr ? Gibt es eigentlich Programme mit denen man sich noch schützen kann ausser firewalls ?
31. Juli 200223 j Original geschrieben von Ranger81 wie halte ich rücksprache mit mediways ??? per e-mail ? wenn ja, welche ? abuse@mediaways.net
31. Juli 200223 j Also... Der Mail entnehme ich schon mal dass dein Skript-Kiddie _nicht_ weiß, was IP-Spoofing ist und in welchem Zusammenhang es funktioniert und in welchem nicht (siehe dazu die Details zum Fall Kevin Mitnick) Desweiteren glaube ich nicht, dass Andreas Baier (aka Baitronic) derjenige ist, der dir diese Mails geschrieben hat, der scheint nämlich im Gegensatz zu deinem Mail-Freund kompetent zu sein. WAS sein kann ist, dass er Andreas' email-Account gephisht hat, um evtl. Antworten abzufangen, aber da du ihn ja eh schon angerufen hast (keine schlechte Idee übrigens), weiß er wohl eh schon bescheid. Bezeichnend ist, dass dein Script-Kid offensichtlich von der Diskussion hier nichts mitbekommen hat. Soviel zum Thema, dein Rechner wäre gehackt. Mach Dir keine Sorgen, da steckt nur ein dicker Haufen pubertierender Hormone dahinter, und die Technik und das Hintergrundwissen reicht wohl kaum weiter als das, was eh schon auf TschiTschis Trojanerseite steht <g>
31. Juli 200223 j jo, ich werd das jetz auch mal einfach ruhen lassen, keine mails beantworten und nachher eine mail an abuse@gmx und abuse@mediways senden... wenn es was neues gibt poste ich es auf jeden fall wieder hier !
31. Juli 200223 j toll, so eben hat der hacker auch meine geschäfts e-mail-adresse herausgefunden und mir gleich geschrieben.... angeblich hat er sie von google.... aber ich hab nirgendwo im i-net jemals diese Adresse eingetragen !!!! Was soll jetz das ??? Wie kommt der bitte an die Adresse ? Mein Kumbl der hat seinen Linux Rechner gerade daheim laufen und der hat die adresse gespeichert... ob der sich bei dem reingehackt hat.... ???? Und soll der bei mir dann nicht reinkommen... bezweifle ich, denn mein kumbl ist experte in sachen linux und sicherheit..... :confused:
31. Juli 200223 j Dass er deine Geschäftsadresse herausgefunden hat läßt fogende Möglichkeiten offen: 1) er kennt dich soweit, dass er weiß wo du arbeitest und herausgefunden, wie die E-Mail-Addys dort aussehen. Ein Kollege, "Freund", Bekannter der dich ärgern will 2) er kennt dich nicht, sondern hat die Adresse von einem angeblich gehackten Rechner ausgelesen (ob bei dir oder einem deiner Freunde) 3) er hat Zugang zu deinem Mailkonto und kann dort gesendete/ empfangene EMails sehen. Hast du schonmal Mails von deiner privaten an die geschäftliche Adresse geschickt oder umgekehrt? Im Zweifelsfall immer Passwort ändern (gilt für alle Passwörter) 4) er ist Mitglied eines E-Mailverteilers, in welchem auch Du als Empfänger mit der geschäftlichen Adresse drin stehst 5) vielleicht findet google doch irgendwas über dich in Verbindung mit der Mail-Adresse es gibt sicher noch andere Möglichkeiten. Musst du halt schauen was du ganz klar ausschliessen kannst. Und vor allem: da das Scriptkiddie dich ganz offen anschreibt und es hartnäckig bleibt liegt es nahe, dass es jemand ist den du auch kennst, der auch neugierig ist wie du reagierst. Denk mal drüber nach, wer von deinen Bekannten mit dem Internet umgehen kann und sowas machen könnte, evtl. auch über dessen Motive
31. Juli 200223 j ich kenn da schon einen.... sonst kann ich eigntlich fast alles ausschliessen ! Ich denke es ist n Bekannter "Freund" der mit mir das machen will...
31. Juli 200223 j wollte mich an abuse@gmx.net und abuse@mediway.net wenden, aber beim versenden erhalte ich kurz danach einen Nachricht mit diesem Inhalt: Ihre Nachricht hat einige oder alle Empfänger nicht erreicht. Betreff: Mißbrauch der Adresse baitronic@gmx.net durch Hacker Gesendet am: 31.07.2002 16:12 Folgende Empfänger konnten nicht erreicht werden: 'abuse@mediaways.net' am 31.07.2002 16:12 554 <abuse@mediaways.net>: Recipient address rejected: Relay access denied Warum geht das nicht ?
31. Juli 200223 j Hier ist die Rätsels Lösung: Lösung mfg hexdump P.S.: Wenn das mein Freund wäre, würde ich ganz gewaltig die Meinung sagen. Und wenn er es nicht unterlässt nuja dann gibts halt mal HAUE
31. Juli 200223 j Original geschrieben von Ranger81 wollte mich an abuse@gmx.net und abuse@mediway.net wenden, aber beim versenden erhalte ich kurz danach einen Nachricht mit diesem Inhalt: Warum geht das nicht ? Vermutlich existiert die Empfängeradresse nicht.
31. Juli 200223 j die ip gehört zu dem einwahl-pool von medianet und ist auf keinem fall ein proxy oder ähnliches. dein spammer kann die ip im mailheader nicht fälschen, er kann höchstens eine adresse benutzen, auf der zB. ein socks proxy läuft und diesen für sein spamming benutzen. da das aber nicht der fall ist, hast du ihn schon an der angel. also mail an abuse@medianet.net und fertig. er wird eine abmarnung bekommen und wenn du eine anzeige für nötig hälst kannst du auch rechtlich gesehen weiter vorgehen. die anzeige ist auch nur die einzigste möglichkeit seinen namen herauszubekommen. eine einfache beschwerde an medianet wird ihn aber sehr wahrscheinlich schon genug abschrecken, so dass du in zukunft ruhe haben wirst.
31. Juli 200223 j nochmal eine mail an : abuse@mediaways.net nicht mediway und auch nicht meditonsin!
31. Juli 200223 j die adresse ist erreichbar, ich habe es eben selbst ausprobiert. was benutzt du, um deine mail zuzustellen?
Archiv
Dieses Thema wurde archiviert und kann nicht mehr beantwortet werden.