Bank-Phish

[Michael Unger]

Nicht, dass das Thema an sich fürchterlich neu wäre -- aber in diesem
Phish sind mir ein paar "merkwürdige" Header aufgefallen:

| Return-Path: <wail...@cygnet.websitewelcome.com>
| Received: from mailin55.aul.t-online.de
| (mailin55.aul.t-online.de [172.20.27.4])
| by mhead205 (Cyrus v2.3.15-fun-3.2.14.0-1) with LMTPA;
| Wed, 10 Apr 2013 05:57:53 +0200
| X-Sieve: CMU Sieve 2.3
| Received: from cygnet.websitewelcome.com ([184.173.246.11])
| by mailin55.aul.t-online.de
| with esmtp id 1UPmAL-0PcZXM0; Wed, 10 Apr 2013 05:57:45 +0200
| Received: from wail123w by cygnet.websitewelcome.com
| with local (Exim 4.80)
| (envelope-from <wail...@cygnet.websitewelcome.com>)
| id 1UPmAJ-00031R-Au
| for vorname....@provider.example;
| Tue, 09 Apr 2013 22:57:43 -0500

Sieht zumindest für mich bis hierhin plausibel aus.

| To: vorname....@provider.example
| Subject: Konto gesperrt, mithilfe erforderlich.
| X-PHP-Script: building-code.biz/wp-content/plugins/tv1/gmail.php
| for 195.94.38.227

Wer oder was bindet da ein (offenbar) fremdes Script ein?

Whois von RIPE.NET meint zu 195.94.38.227:

inetnum: 195.94.38.224 - 195.94.38.255
netname: JEANGAL-CH
descr: JEAN GALLAY SA
descr: Plan Les Ouates
country: CH
admin-c: MLC13-RIPE
tech-c: MLC13-RIPE

| From: Information Kontosicherheit <...>
| [...]
| Date: Tue, 09 Apr 2013 22:57:43 -0500
| X-AntiAbuse: This header was added to track abuse,
| please include it with any abuse report

Leider kein Hinweis, _wer_ diese Header eingefügt hat.

| X-AntiAbuse: Primary Hostname - cygnet.websitewelcome.com
| X-AntiAbuse: Original Domain - provider.example
| X-AntiAbuse: Originator/Caller UID/GID - [2703 32007] / [47 12]
| X-AntiAbuse: Sender Address Domain - cygnet.websitewelcome.com
| [...]
| X-Source:
| X-Source-Args: /usr/bin/php
| /home/wail123w/public_html/wp-content/plugins/tv1/gmail.php

Wieder ein Verweis auf das Script, diesmal aber lokal.

| X-Source-Dir:
| building-code.biz:/public_html/wp-content/plugins/tv1
| X-Source-Sender:
| X-Source-Auth: wail123w
| X-Email-Count: 284
| [...]
| X-ENVELOPE-TO: <vorname....@provider.example>

Im Body, nur wenige Zeilen lang, das übliche Schicksal: "auffällige
Aktivitäten". Interessanter ist da wohl der angegebene Link:

| http://wwwbanksa.net/?
| meine.deutsche-bank.de/trxm/db/pbc/
| ser-onlinebanking-sicherheit.html

Der übergebene String mit einem "https://" davor führt nur zu einem 404,
mit "http://" gibt es einen Timeout; ob man da etwas zu sehen bekäme,
wenn man eingeloggt ist, kann ich mangels Kundenstatus nicht überprüfen.

Gehackter Server und geklautes Script?

Michael

--
Real names enhance the probability of getting real answers.
My e-mail account at DECUS Munich is no longer valid.

[Karl-Josef Ziegler]

Am 10.04.2013 17:34, schrieb Michael Unger:

> Gehackter Server und geklautes Script?

Ich w�rde mal vermuten: gecrackte Wordpress-Installation mit
Mailer-PHP-Skript auf 184.173.246.11, die von 195.94.38.227 'bef�ttert'
wird. Diese Kombination sehe ich heutzutage relativ h�ufig.

> Der �bergebene String mit einem "https://" davor f�hrt nur zu einem

> 404, mit "http://" gibt es einen Timeout; ob man da etwas zu sehen

> bek�me, wenn man eingeloggt ist, kann ich mangels Kundenstatus nicht
> �berpr�fen.

Auch dies sieht man jetzt h�ufiger: meldet sich da der Browser nicht mit
dem 'richtigen' Referrer, so bekommt man auf der Schadseite gar nichts
zu sehen. Also quasi eine Phisher-Browser-Weiche.

Viele Gr��e,

- Karl-Josef

[Michael Unger]

On 2013-04-10 18:20, "Karl-Josef Ziegler" wrote:

> [...]
>
> Auch dies sieht man jetzt häufiger: meldet sich da der Browser nicht mit

> dem 'richtigen' Referrer, so bekommt man auf der Schadseite gar nichts
> zu sehen. Also quasi eine Phisher-Browser-Weiche.

Reden wir womöglich aneinander vorbei? Ich sehe _das_ jetzt nicht als
"Schadseite" an:

<https://meine.deutsche-bank.de/trxm/db/pbc/ser-onlinebanking-sicherheit.html>

[Burkhard Ott]

On Wed, 10 Apr 2013 18:20:40 +0200, Karl-Josef Ziegler wrote:

> Am 10.04.2013 17:34, schrieb Michael Unger:
>
>> Gehackter Server und geklautes Script?
>

> Ich würde mal vermuten: gecrackte Wordpress-Installation mit
> Mailer-PHP-Skript auf 184.173.246.11, die von 195.94.38.227 'befüttert'
> wird. Diese Kombination sehe ich heutzutage relativ häufig.
>
>> Der übergebene String mit einem "https://" davor führt nur zu einem

>> 404, mit "http://" gibt es einen Timeout; ob man da etwas zu sehen

>> bekäme, wenn man eingeloggt ist, kann ich mangels Kundenstatus nicht
>> überprüfen.
>
> Auch dies sieht man jetzt häufiger: meldet sich da der Browser nicht mit

> dem 'richtigen' Referrer, so bekommt man auf der Schadseite gar nichts
> zu sehen. Also quasi eine Phisher-Browser-Weiche.

In diesem Fall jedoch nicht, sicherlich ein Anfaenger:

http://building-code.biz/wp-content/plugins/tv1/gmail.php

Oh und mod_index ist an, viel Spass beim stoebern :).

cheers

[Burkhard Ott]

Ach lecker:
http://building-code.biz/wp-content/plugins/tv1/hfaq.php


cheers

[Burkhard Ott]

On Wed, 10 Apr 2013 18:30:03 +0200, Michael Unger wrote:

> On 2013-04-10 18:20, "Karl-Josef Ziegler" wrote:
>
>> [...]
>>
>> Auch dies sieht man jetzt häufiger: meldet sich da der Browser nicht
>> mit dem 'richtigen' Referrer, so bekommt man auf der Schadseite gar
>> nichts zu sehen. Also quasi eine Phisher-Browser-Weiche.
>
> Reden wir womöglich aneinander vorbei? Ich sehe _das_ jetzt nicht als
> "Schadseite" an:
>
> <https://meine.deutsche-bank.de/trxm/db/pbc/ser-onlinebanking-
sicherheit.html>

Wieso nicht?
Hat die Deutsche Bank Server in den USA um deutsche Kunden zu bedienen?

cheers

[Hans Hasselbeck]

Burkhard Ott wrote:

>> <https://meine.deutsche-bank.de/trxm/db/pbc/ser-onlinebanking-
> sicherheit.html>
>
> Wieso nicht?
> Hat die Deutsche Bank Server in den USA um deutsche Kunden zu bedienen?

Wie kommst du auf USA?
meine.deutsche-bank.de -> 129.35.230.2

Sieht nach einem Server in .de aus.

[Michael Unger]

On 2013-04-10 18:53, "Burkhard Ott" wrote:

> On Wed, 10 Apr 2013 18:30:03 +0200, Michael Unger wrote:
>

>> [...]

>
>> Reden wir womöglich aneinander vorbei? Ich sehe _das_ jetzt nicht als
>> "Schadseite" an:
>>
>> <https://meine.deutsche-bank.de/trxm/db/pbc/ser-onlinebanking-
> sicherheit.html>
>
> Wieso nicht?
> Hat die Deutsche Bank Server in den USA um deutsche Kunden zu bedienen?

Ich kenne deren interne IT-Struktur natürlich nicht. Ein "ping
www.deutsche-bank.de" führt zu "Ping deutschebank.tec.db.com
[160.83.8.79]". 160/8 wird von der ARIN verwaltet, ein WhoIs-Tool finde
ich dort jedoch nicht.

<https://www.deutsche-bank.de> und
<https://www.deutsche-bank.de/index.htm> sehen dagegen korrekt aus.

[Burkhard Ott]

On Wed, 10 Apr 2013 17:14:42 +0000, Hans Hasselbeck wrote:

> Wie kommst du auf USA?
> meine.deutsche-bank.de -> 129.35.230.2
>
> Sieht nach einem Server in .de aus.

Der Block ist offiziell in NC via ARIN angemeldet, aber hast Recht die
route geht ueber Colt Berlin.

cheers

[Hans Hasselbeck]

Burkhard Ott wrote:
> On Wed, 10 Apr 2013 17:14:42 +0000, Hans Hasselbeck wrote:
>
>> Wie kommst du auf USA?
>> meine.deutsche-bank.de -> 129.35.230.2
>>
>> Sieht nach einem Server in .de aus.
>
> Der Block ist offiziell in NC via ARIN angemeldet,

Najaaa. Bei einem /16 würde ich keine Schlüsse über die Installationsorte
einzelner Adressen treffen. Ausserdem:

NetName: IBM-EMEA

Das deutet ebenfalls darauf hin, daß der Server irgendwo in Europe, the
Middle East and Africa steht aber nicht in USA.

> aber hast Recht die route geht ueber Colt Berlin.

Ich wollte ja nur mal wieder Recht haben. :-)

[Karl-Josef Ziegler]

Am 10.04.2013 18:30, schrieb Michael Unger:

> | http://wwwbanksa.net/?
> | meine.deutsche-bank.de/trxm/db/pbc/
> | ser-onlinebanking-sicherheit.html

> Reden wir wom�glich aneinander vorbei? Ich sehe _das_ jetzt nicht

> als "Schadseite" an:
>
> <https://meine.deutsche-bank.de/trxm/db/pbc/ser-onlinebanking-sicherheit.html>

Dann habe ich den Link falsch gelesen, ich nahm an (alles in einer Zeile
zusammen):

http:// wwwbanksa .
net/?meine.deutsche-bank.de/trxm/db/pbc/ser-onlinebanking-sicherheit.html

Und das d�rfte dann definitiv nicht die Deutsche Bank sein. Wie sah denn
die URL im Quellcode aus?

[Juergen]

Am 10.04.2013 17:34, schrieb Michael Unger:

> paar "merkwürdige" Header aufgefallen:

etwas Ähnliches, manche Zeilen sehen noch "etwas unvollständig" aus ;-)

> Received: from mx4.cloud-service24.ch ([80.82.215.222]) by mx-ha.gmx.net
> (mxgmx107) with ESMTP (Nemesis) id 0MQ8XX-1UKlsI0HFj-005FXr for
> <##username##@gmx.de>; Thu, 14 Mar 2013 11:14:41 +0100
> DKIM-Signature: v=1; a=rsa-sha256; c=simple/simple;
> d=facebook-mittelstand.ch; s=2012; t=##10-stelliges-Etwas##;
> bh=##hex-oder-UTF-8-Kauderwelsch##=;
> h=To:Subject:Date:From:Reply-To:Message-ID:MIME-Version:
> Content-Type;
> b=##hex-oder-UTF-8-Kauderwelsch-seehr-lang##=
> To: ##username##@gmx.de
> Subject: Starterpaket für Sparfüchse
> X-PHP-Originating-Script: 1000:phpmailer.php
> Date: Wed, 13 Mar 2013 ###########
> From: Facebook Mittelstand <in...@facebook-mittelstand.ch>
> Reply-To: in...@facebook-mittelstand.ch
> Message-ID: <##################@infoservice-schweiz.ch>

mittelstand -> myLoc -> cloud-service24... -> hetzner.de ... ;-)
verwendet wird NS von Vautron, Regensburg

Vielleicht findest du mit 80.82.x.x auch Zugriffe in Webseiten-Logs ;-)

Oder Zeilen einer anderen Mail
> X-PHP-Script: blomberg-regensburg###de/.dfbd.php for 127.0.0.1
> From: "Express Mail" <352...@anchorage.com>
> X-Mailer: AOL9.0forWindowsUSsub541

etwas unklickable gemacht, die gemütliche Bar in Regensburg ;-)
und noch ein Beispiel

> X-PHP-Script: www.blindscapes.com/images/rotate/jackl.jpg.php for 196.46.246.58
> From: AEON FUNDS <x...@gmail.com>
> Reply-to: aeonfu...@hotmail.com
[...]
> X-Mailer: PHPMailer [version ]
> MIME-Version: 1.0
> Content-Transfer-Encoding: 8bit
> Content-Type: text/html; charset="iso-8859-1"

> X-AntiAbuse: This header was added to track abuse, please include it with any abuse report

> X-AntiAbuse: Primary Hostname - whm.q2im.com
> X-AntiAbuse: Original Domain - gmx.de
> X-AntiAbuse: Originator/Caller UID/GID - [512 509] / [47 12]
> X-AntiAbuse: Sender Address Domain - whm.q2im.com
> X-Get-Message-Sender-Via: whm.q2im.com: authenticated_id: blindsca/only user confirmed/virtual account not confirmed

extrem "nette" IP-for... ;-)
und Blindscape gehört zu CloudFlare (EU), Admin in Frisco ;-)

Jürgen

[Helmut Hullen]

Hallo, Karl-Josef,

Du meintest am 10.04.13:


>> | http://wwwbanksa.net/?
>> | meine.deutsche-bank.de/trxm/db/pbc/
>> | ser-onlinebanking-sicherheit.html

> http:// wwwbanksa.
> net/?meine.deutsche-bank.de/trxm/db/pbc/ser-onlinebanking-sicherheit.
> html

> Und das d�rfte dann definitiv nicht die Deutsche Bank sein. Wie sah
> denn die URL im Quellcode aus?

"wwwbanksa.net": "host not found"

Viele Gruesse!
Helmut

[Helmut Hullen]

Hallo, Michael,

Du meintest am 10.04.13:

> Ich kenne deren interne IT-Struktur nat�rlich nicht. Ein "ping
> www.deutsche-bank.de" f�hrt zu "Ping deutschebank.tec.db.com

> [160.83.8.79]". 160/8 wird von der ARIN verwaltet, ein WhoIs-Tool
> finde ich dort jedoch nicht.

160.83.0.0/16 ist (sagt mein "whois") das "DBIPNET1", Sitz Jersey City,
NJ.

Viele Gruesse!
Helmut

[Hans Hasselbeck]

Juergen wrote:

>> X-PHP-Script: www.blindscapes.com/images/rotate/jackl.jpg.php for 196.46.246.58
>
> extrem "nette" IP-for... ;-)

Endlich mal Phish aus Nigeria.

> und Blindscape gehört zu CloudFlare (EU), Admin in Frisco ;-)

"benutzt einen Proxy von" statt "gehört zu". Die IP-Adresse des echten
Servers steht vermutlich im Received Header.
Vgl. https://www.cloudflare.com/overview

[Karl-Josef Ziegler]

Am 10.04.2013 21:07, schrieb Hans Hasselbeck:

> "benutzt einen Proxy von" statt "gehört zu". Die IP-Adresse des echten
> Servers steht vermutlich im Received Header.
> Vgl. https://www.cloudflare.com/overview

Ja, es wird gemeldet: cloudflare-nginx, also ein Reverse Proxy. So hat
Cloudflare ja auch wahrscheinlich den dDoS auf Spamhaus abgewehrt.

Viele Grüße,

- Karl-Josef

[Karl-Josef Ziegler]

Am 10.04.2013 20:40, schrieb Helmut Hullen:

> "wwwbanksa.net": "host not found"

Die Domain BANKSA.NET (evtl. Phishki-Schreibfehler mit dem www?) gibt es
schon, aber dort ist der Status: redemptionPeriod.

[Michael Unger]

On 2013-04-10 20:15, "Karl-Josef Ziegler" wrote:

> Am 10.04.2013 18:30, schrieb Michael Unger:
>

>> [...]
>
>> Reden wir womöglich aneinander vorbei? Ich sehe _das_ jetzt nicht

>> als "Schadseite" an:
>>
>> <https://meine.deutsche-bank.de/trxm/db/pbc/ser-onlinebanking-sicherheit.html>
>
> Dann habe ich den Link falsch gelesen, ich nahm an (alles in einer Zeile
> zusammen):
>
> http:// wwwbanksa .
> net/?meine.deutsche-bank.de/trxm/db/pbc/ser-onlinebanking-sicherheit.html
>

> Und das dürfte dann definitiv nicht die Deutsche Bank sein.

Dem bin ich gar nicht weiter nachgegangen, denn das stank heftigst gegen
den Wind.

> Wie sah denn
> die URL im Quellcode aus?

Die Mail kam als "text/plain" -- da war also nichts zu verstecken.

[Juergen Ilse]

Hallo,

Michael Unger <spam.t...@spamgourmet.com> wrote:
> Ich kenne deren interne IT-Struktur natï¿œrlich nicht. Ein "ping
> www.deutsche-bank.de" fï¿œhrt zu "Ping deutschebank.tec.db.com

> [160.83.8.79]". 160/8 wird von der ARIN verwaltet, ein WhoIs-Tool finde
> ich dort jedoch nicht.

"A fool with a tool is still a fool ..."

Warum versuchst du es nicht einfach mal mit "whois -h whois.arin.net"?

OrgName: Deutsche Bank
OrgId: DEUTSC-7
Address: 100 Plaza One
Address: 7th Floor
City: Jersey City
StateProv: NJ
PostalCode: 07311
Country: US
RegDate:
Updated: 2011-09-24
Ref: http://whois.arin.net/rest/org/DEUTSC-7

Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)
--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.

[Juergen Ilse]

Hallo,

Helmut Hullen <Hel...@hullen.de> wrote:
> Hallo, Michael,
>
> Du meintest am 10.04.13:

<SEUFZ>

>> Ich kenne deren interne IT-Struktur natï¿œrlich nicht. Ein "ping

>> www.deutsche-bank.de" fï¿œhrt zu "Ping deutschebank.tec.db.com

>> [160.83.8.79]". 160/8 wird von der ARIN verwaltet, ein WhoIs-Tool
>> finde ich dort jedoch nicht.
>
> 160.83.0.0/16 ist (sagt mein "whois") das "DBIPNET1", Sitz Jersey City,
> NJ.

"Namen sind Schall und Rauch", das trifft insbesondere auf Netznamen
zu. Die weitaus interessantere Information (die du allerdings verschwiegen
hast, warum eigentlich?) ist der Eigentuemer des Netzes. Und was den
Domainnamen betrifft, ueber den sich Michael anscheinen gewunert hat:
"db.com" ist nicht etwa auf "die Bahn" registriert, sondern auf?
Ach sucht doch selbst ...

Insgesamt kann man an den eher klaeglichen Diagnoseversuchen wieder
sehen, dass der erste Eindruck bei der "Verfolgung vermeindlichen
phishings" nur allzu oft auf die falsche Faehrte fuehrt.

[Juergen Ilse]

Burkhard Ott <news...@derith.de> wrote:
> On Wed, 10 Apr 2013 17:14:42 +0000, Hans Hasselbeck wrote:
>> Wie kommst du auf USA?
>> meine.deutsche-bank.de -> 129.35.230.2
>> Sieht nach einem Server in .de aus.
> Der Block ist offiziell in NC via ARIN angemeldet,

Der whois-server vom Ripe behauptet etwas anderes:

inetnum: 129.35.0.0 - 129.35.255.0
netname: EU-IBMEBUSSINESS-NET
descr: Network of IBM E-business Hosting Delivery
country: EU
admin-c: PA3952-RIPE
tech-c: PA3952-RIPE
status: ASSIGNED PA
remarks: E-business Hosting Delivery
mnt-by: AS12980-MNT
mnt-routes: ELISA-MNT
source: RIPE # Filtered

> aber hast Recht die route geht ueber Colt Berlin.

Das Netz wird laut whois von AS12980 announced, und das ist
"AT&T Global Network Services Nederland B.V." ...

% Information related to '129.35.228.0/22AS12980'

route: 129.35.228.0/22
descr: IBM E-business Hosting Delivery
origin: AS12980
mnt-by: AS12980-MNT
source: RIPE # Filtered

[Juergen]

Am 10.04.2013 21:07, schrieb Hans Hasselbeck:

>> und Blindscape gehört zu CloudFlare (EU), Admin in Frisco;-)

^^^^

> "benutzt einen Proxy von" statt "gehört zu". Die IP-Adresse des echten
> Servers steht vermutlich im Received Header.

ok, das wusste ich noch nicht.

Ich dachte eher an Europe... siehe whois zu Blindscape

> Vgl.https://www.cloudflare.com/overview

| We also block threats and limit abusive bots and crawlers from
| wasting your bandwidth and server resources

Hmmm ;-)
Was hat z.B. der Greplerbot mit CloudFlare und Hetzner zu tun?
Und was hat inferno.name mit CloudFlare zu tun?

Im Nigeria-Phish waren übrigens 127 Adressen im TO: (!)
Da hat jemand gefischt in Mailingliste oder Google :-(
Aber wie die Adressen z.T. vermanscht sind, der hat nur "gelernt", dass
alles vor und nach einem "@" eine Adresse sein muss ;-)))
Ein paar gemanschte hab ich via Google in einer Mailingliste gefunden,
nö, hab ich nie abonniert gehabt, ich nicht.

Jürgen

[Hans Hasselbeck]

Juergen wrote:

> Am 10.04.2013 21:07, schrieb Hans Hasselbeck:
>>> und Blindscape gehört zu CloudFlare (EU), Admin in Frisco;-)
> ^^^^
>> "benutzt einen Proxy von" statt "gehört zu". Die IP-Adresse des echten
>> Servers steht vermutlich im Received Header.
>
> ok, das wusste ich noch nicht.
> Ich dachte eher an Europe... siehe whois zu Blindscape

Im whois zu blindscapes.com steht "Domains By Proxy, United States".

Wenn du die IP-Adresse meinst, dann hat das "EU" im whois nicht viel zu
bedeuten. CloudFlare benutzt Anycast auch für HTTP, d.h. dein Request wird
von der topologisch nächstliegenden Serverfarm beantwortet.

traceroute to blindscapes.com (141.101.116.179), 30 hops max, 60 byte packets

[...]
7 ae2-50g.ar1.lax1.us.nlayer.net (69.31.127.142) 10.067 ms 9.747 msv 11.376
8 as13335.xe-11-0-6.ar1.lax1.us.nlayer.net (69.31.125.106) 12.268 ms 12.109
9 141.101.116.179 (141.101.116.179) 8.159 ms 8.507 ms 8.415 ms

[...]
7 gi3-0-0.gw1.syd2.asianetcom.net (202.147.55.82) 23.553 ms 23.522 ms 23.5
8 CDF-0011.asianetcom.net (203.192.167.86) 33.101 ms 32.723 ms 32.647 ms
9 141.101.116.179 (141.101.116.179) 23.825 ms 23.800 ms 23.789 ms

[...]
8 eth1-6.core1.ams2.nl.atrato.net (78.152.34.14) 27.383 ms 26.577 ms 26.50
9 eth9-1.r1.ams2.nl.atrato.net (78.152.44.95) 28.854 ms 34.845 ms 34.663
10 141.101.116.179 (141.101.116.179) 14.413 ms 14.211 ms 14.156 ms

>> Vgl.https://www.cloudflare.com/overview
>
>| We also block threats and limit abusive bots and crawlers from
>| wasting your bandwidth and server resources

Der Server wird vor Kommentarspam und SQL Injections geschützt. Das offene
Mailformular ist total sicher.

> Was hat z.B. der Greplerbot mit CloudFlare und Hetzner zu tun?

Vermutlich soviel wie CloudFlare mit Hetzner.

> Und was hat inferno.name mit CloudFlare zu tun?

Der eine ist Kunde, der andere Dienstleister.

[Andreas Kohlbach]

Karl-Josef Ziegler wrote on 10. April 2013:
>
> Am 10.04.2013 17:34, schrieb Michael Unger:
>

>> Der übergebene String mit einem "https://" davor führt nur zu einem

>> 404, mit "http://" gibt es einen Timeout; ob man da etwas zu sehen

>> bekäme, wenn man eingeloggt ist, kann ich mangels Kundenstatus nicht
>> überprüfen.
>
> Auch dies sieht man jetzt häufiger: meldet sich da der Browser nicht mit

> dem 'richtigen' Referrer, so bekommt man auf der Schadseite gar nichts
> zu sehen. Also quasi eine Phisher-Browser-Weiche.

Sehe ich auch oft seit einigen Monaten. Man scheint sich gegen das
Bombardieren mit Müll schützen zu wollen.
--
Andreas
7. If you see food lying on the ground, eat it.
- Arcade Wisdom

[Thomas Hochstein]

Michael Unger schrieb:

> Reden wir wom�glich aneinander vorbei? Ich sehe _das_ jetzt nicht als
> "Schadseite" an:
>
> <https://meine.deutsche-bank.de/trxm/db/pbc/ser-onlinebanking-sicherheit.html>

Das ist allerdings nicht der Link, sondern nur der Parameter, der dem
Link �bergeben wurde.

[Juergen]

Am 11.04.2013 01:06, schrieb Hans Hasselbeck:
> Wenn du die IP-Adresse meinst, dann hat das "EU" im whois nicht viel zu
> bedeuten. CloudFlare benutzt Anycast auch für HTTP, d.h. dein Request wird
> von der topologisch nächstliegenden Serverfarm beantwortet.

ok, danke

> traceroute to blindscapes.com (141.101.116.179), 30 hops max, 60 byte packets
...

> Der Server wird vor Kommentarspam und SQL Injections geschützt. Das offene
> Mailformular ist total sicher.

Welcher Server? Der, auf dem _meine_ Webseite liegt? Aber wohl nicht
das, was _von_ blindscapes ausgeht, oder?

>> Und was hat inferno.name mit CloudFlare zu tun?
> Der eine ist Kunde, der andere Dienstleister.

Ich will nicht zu tief "buddeln", nur...

Ich hab nix gegen .uk im Allgemeinen, dort wohl inferno.name zu Hause.
Ich hab nix gegen Serbien im Allgemeinen, dort sitzt scheinbar der
Inhaber der Domain, mit ner Tel-Nr. in USA ;-)

Wenn von inferno.name auf meine Webseite zugegriffen wird, mach ich mir
bei diesen Zusammenhängen schonmal ein paar Gedanken ;-) nicht immer,
aber öfter, habe nix mit Tauschbörsen, Bildern o.ä. zu tun.

| We also block threats and limit abusive bots and crawlers from
| wasting your bandwidth and server resources

gilt wohl nicht, wenn Bots _aus_ dem "geschützten" Bereich via
inferno/cloudflare auf andere Webseiten zugreifen, egal ob "abusive"
oder nicht? ;-) Natürlich müssen Bot-Seiten gegen Spammer geschützt
werden... logo.

>> Was hat z.B. der Greplerbot mit CloudFlare und Hetzner zu tun?
> Vermutlich soviel wie CloudFlare mit Hetzner.

Sicher ist grepler.com auch "nur" ein Kunde von CloudFlare und schickt
seinen Bot in die Welt ;-)

Kennst du schon...? (darüber kam der greplerbot, die Zugriffs-IP aus
Hetzner-Range löste "zufällig" auf xxx.gonzb.com auf, also Hetzner-Kunde)

| www.gonzb.com/
| Search engine that allows NZB file generation from usenet posts. Also
features
| RSS feeds, advanced multicriteria search and personalization.

Damit möchte ich es bei den Zusammenhängen belassen, hab ja trotzdem
wieder was dazugelernt. Hat jetzt nix mehr "direkt" mit Bank-Phish zu tun.

Jürgen

[Michael Unger]

On 2013-04-10 22:37, "Juergen Ilse" wrote:

> [...] Und was den

> Domainnamen betrifft, ueber den sich Michael anscheinen gewunert hat:
> "db.com" ist nicht etwa auf "die Bahn" registriert, sondern auf?
> Ach sucht doch selbst ...

Nein, _darüber_ hatte ich mich nicht gewundert. Bei denen geht es mit
"deutsche-bank.de", "deutschebank.com" und "db.com" schon auf der
deutschen Webpräsenz recht bunt durcheinander.

> Insgesamt kann man an den eher klaeglichen Diagnoseversuchen wieder
> sehen, dass der erste Eindruck bei der "Verfolgung vermeindlichen

^^^^^^^^^^^^^^^^^^^^^^^^^

> phishings" nur allzu oft auf die falsche Faehrte fuehrt.

^^^^^^^^^

Starke Worte! Wieso "vermeintlich"?? Hast Du auch noch etwas Erhellendes
beizutragen? Ich lerne ja gerne dazu.

[Michael Unger]

On 2013-04-11 07:30, "Thomas Hochstein" wrote:

> Michael Unger schrieb:
>

>> Reden wir womöglich aneinander vorbei? Ich sehe _das_ jetzt nicht als

>> "Schadseite" an:
>>
>> <https://meine.deutsche-bank.de/trxm/db/pbc/ser-onlinebanking-sicherheit.html>
>
> Das ist allerdings nicht der Link, sondern nur der Parameter, der dem

> Link übergeben wurde.

Ich weiß. Ich interpretiere das als URL, an die man "durchgereicht"
werden soll, wenn der Phisher sein Ziel erreicht hat. Nur bekommt man
_ohne_ Login halt nur ein "404" angeboten.

[Juergen Ilse]

Hallo,

Michael Unger <spam.t...@spamgourmet.com> wrote:

>> Insgesamt kann man an den eher klaeglichen Diagnoseversuchen wieder
>> sehen, dass der erste Eindruck bei der "Verfolgung vermeindlichen
> ^^^^^^^^^^^^^^^^^^^^^^^^^
>> phishings" nur allzu oft auf die falsche Faehrte fuehrt.
> ^^^^^^^^^
> Starke Worte! Wieso "vermeintlich"?? Hast Du auch noch etwas Erhellendes
> beizutragen? Ich lerne ja gerne dazu.

Das bezog sich eher auf die Versuche, aus der IP-Adresse auf den
Serverstandort zu schliessenund den Schlussfolgerungen aus diesen
"Erkenntnissen" ...

[Andreas Kohlbach]

Thomas Hochstein wrote on 11. April 2013:
>
> Michael Unger schrieb:
>

>> Reden wir womöglich aneinander vorbei? Ich sehe _das_ jetzt nicht als

>> "Schadseite" an:
>>
>> <https://meine.deutsche-bank.de/trxm/db/pbc/ser-onlinebanking-sicherheit.html>
>
> Das ist allerdings nicht der Link, sondern nur der Parameter, der dem

> Link übergeben wurde.

Erinnert mich an den Thread, den ich in <87hajvd...@usenet.ankman.de>
startete. Offenbar ein misslungener Phishing Versuch.

Btw. hatte heute einen Bank Phisher (IGN), und natürlich habe ich dort
ein Konto, wie bei Millionen anderen Banken, und "muss" daher das
Formular ausfüllen (ein Skript macht das natürlich). Und wie ich ihn noch
bombardiere, hatte ich ein Complaint verfasst, und die Seite auch im
Browser als Phish markiert. Hat keine 20 Minuten gedauert, bis das
Verzeichnis, dass der Phisher anlegte, entfernt wurde. Das war doch mal
schnell. :-)
--
Andreas
92. What software license?
--Top 100 things you don't want the sysadmin to say

[Thomas Hochstein]

Michael Unger schrieb:

>| X-PHP-Script: building-code.biz/wp-content/plugins/tv1/gmail.php
>| for 195.94.38.227
>
> Wer oder was bindet da ein (offenbar) fremdes Script ein?

Das Problem mit E-Mails, die von (PHP-)Scripts auf dem Webserver
generiert werden, ist, dass man nicht ohne weiteres aus den Logs sehen
kann, *welches* Script sie generiert. Daher scheint dieser Anbieter
seine Umgebung so konfiguriert zu haben, dass der Mail Trace-Header
mitgegeben werden, aus denen sich ergibt, welches Script sie generiert
hat.

Das d�rfte demnach eine gehackte Wordpress-Installation sein, der man
ein PHP-Script untergeschoben hat, mit dem die Spam-Mails versandt
werden, wie schon in <aslhqv...@mid.individual.net> geschrieben.

Mit den o.g. Headern kann der Provider dann die "schuldige" Datei
ausfindig machen.

-thh
--
BITTE *vor* dem Posten in de.admin.net-abuse.mail die Hinweise unter
<http://th-h.de/faq/danam-intro.html> und ggf. die dort genannten FAQs lesen!

Weitere kleine Texte rund um das Thema E-Mail: <http://th-h.de/infos/email/>