Tag der offenen Türe – wenn Spammer zu Opfern werden – Fundstück der Woche

Update vom 31.07.2015 17.24 Uhr

An das InternetCrime-Complaint Center (IC3 – Zusammenschluss von zwei internen Ermittlungsgruppen des FBI und National White Collar Crime Center)  und GBP wurden weitere Informationen über so manche LLC, mit der sich so mancher „Experte“ schmückt, soeben verschickt.

Update 31.07.2015 17.00 Uhr

Der Spammer hat immer noch nicht bemerkt, das sein Server gehackt wurde. Hatten wir doch den Mailserver in seinen Funktionen bestehen lassen. Wir haben ihm nun noch ne Nachricht in sein Postfach gelegt und von seinem Postfach eine Mail an ihm selbst gesendet. Mal schauen was sich in den nächsten Minuten alles so tut.

 

Was sich gestern bei uns ereignete kann man als kleinen Schlag gegen Spammer bezeichnen. Wie immer hatten wir unsere gestern erhaltenen Spammails sortiert und dann analysiert. Wer kommt von wo, welche IP und halt so der übliche forensische Ablauf.

Die Spam-MailUnd die Falsche Adresse

Bei dieser Spammail aber stockte uns der Atem. Der von uns anvisierte Mailserver gigclicks[dot]org, auf dem wir unsere Adresse hätten austragen sollen, stand scheunentormäßig offen. Und nicht nur das, dieser war zuvor morgens (02.19 Uhr Westerntime) von einem „Tunesischen Hacker“ besucht worden, der dann wohl sämtliche Türen und Fenster offen gelassen hatte (Frische Luft soll ja gut tun). Der Spammer selbst hat bis zu diesem Beitrag wohl noch nichts davon bemerkt, denn dieser hatte uns ja im laufe des Tages noch über diesen Server die Spam-Mail gesendet. Was für ein Glücksfall.

tunesischer Hacker

Der gesamte Server (Orlando/Florida) lag frei vor uns. Elf in Amerika gehostete Domains lagen uns zu Füßen und dabei handelte es sich um Scam-Webseiten die teilweise über Clickbank[dot]com laufen. Vom Scamprogramm Lottocrusher – Diabeteswahn-Scam und binären Optionen – Scam und viele andere war alles dabei. PDF – Dateien die über die Domains teuer an den nächsten nichtsahnenden Kunden verscheuert wurden waren dabei noch das harmlose was wir vorfanden.

 

Tür offen auf dem ServerÜber die unscheinbare Datei wwr.php kamen wir plötzlich auf den Server, denn diese Datei erwies sich als Türe. Der Server wurde von uns komplett durchforstet und alles was nicht Niet- und Nagelfest war, wurde von uns zu Beweiszwecken kopiert. Dabei vielen uns zu jeder Domain auch Dateien auf, die sich unsubcription.txt nannten. Ungewöhnlich. Denn üblicherweise werden Mail-Adressen von jenen die sich austragen in einer Datenbank wo diese gespeichert sind, wieder gelöscht. Hier aber wurde ein kleiner Trick angewendet; die Mail-Adressen wurden zwar nach Durchsicht in der DB gelöscht und demjenigen wurde angezeigt, das er nun nicht mehr in der Mailingliste vertreten ist, aber sogleich wurde die ausgetragene Mail in diese unsubscription.txt. wieder eingetragen. Sprich unser Spammer hat diese Mailadressen über einen komplizierten Weg wieder gespeichert. Das hätte man auch leichter haben können. Aber so denn.

184.000 tausend Spammailadressen

Insgesamt haben wir ca. 1Millionen +- 1000 Spam-Mailadressen gefunden, die keine Übereinstimmung mit der Datenbank auf diesem Server ergaben. Stattdessen aber fanden sich alle Listen auf dem Mailserver wieder und wurden anscheinend von dort ausgehend versendet. Alleine das jemand offen auf seinem Server solche Liste gespeichert hatte zeugt von Dilettantismus erster Güte.

Letzter Besucher auf dem gehackten Server

Nun schauten wir uns einmal an, wer den nun wirklich der Letzte Besucher vor uns auf diesem Server war. Laut IP. war dies jemand von den Philippinen. Nichts desto trotz haben wir ca. 2 Gigabyte Daten kopieren und sicherstellen können.

Nach ersten Analysen aller Spam-Mail-Listen fanden wir drei unserer markierten e-Mail-Adressen. Auch bei Überprüfung unseres Blogs und den dort eingetragenen e-Mail-Adressen, die entweder bei Kommentaren oder beim Abonnieren hinterlegt wurden, fanden sich 36 Adressen-Übereinstimmungen. Nicht viel wenn man die Menge der Spam-Mail-Adressen bedenkt, aber schon mal ein Anfang.

Damit unser Spammer keinen Unfug mehr mit diesen Adressen mehr verrichten kann, haben wir vorsorglich alle Listen vom Server gelöscht, in der Hoffnung, das diese Listen nirgend woanders gespeichert wurden (Backup und Co). Auch jene Text Dateien haben wir gelöscht. Hat dieser jedoch die Listen woanders gespeichert, so können wir zumindest nun den Spammer oder seine Käufer der Listen identifizieren. Leider konnten wir in der kürze der Zeit den Code des Hackers nicht ausfindig machen. Da wir aber nette Menschen sind und nicht wollten, das für den Spammer weiterer großer Schaden auf seinem Server angerichtet wird, mussten wir um das Einfallstor wieder schließen zu können, die Rückwärtige Shell-Umgebung komplett löschen. Ok dumm gelaufen für den Spammer, denn unter Umständen muss der Server komplett neu aufgelegt werden damit dieser wieder reibungslos läuft. Aber das sollte nicht unser Problem sein.

Ehrenhalber haben wir natürlich unsere Visitenkarte in einer kleinen Textdatei mit der Anmerkung hinterlegt, das alle sichergestellten Daten umgehend an das FBI in Washington/DC weiterleitet wurden.

Fazit: Wenn Sie eine Spam-Mail erhalten, von der Sie wissen, das Sie sich dort niemals in eine Liste/Newsletter etc. eingetragen haben, dann niemals auf den „Aus den Newsletter“ oder „Unsubscript your Mail“ Link/Button klicken um vermeintlich der Hoffnung zu sein, man erhalte nun keine weiteren Spam-Mails. Weit gefehlt, denn jetzt geht der Spaß erst richtig los, denn mit dieser Handlung haben Sie lediglich die Existenz der Mail-Adresse bestätigt und der Spammer wird für eigene Zwecke und über den Verkauf dieser Adressen an andere Ihnen nun das Leben schwer machen. Da bleibt im Endeffekt nur noch die Löschung der Mailadresse. Nutzen Sie also immer eine sogenannte Trash-Mail (Wegwerf-Mailadresse). Kommt da plötzlich Spam an, können Sie diese Trash-Mail mit einem Klick beim jeweiligen Mail-Provider löschen.

 

Advertisements

3 Kommentare zu “Tag der offenen Türe – wenn Spammer zu Opfern werden – Fundstück der Woche

  1. MIR WURDEN UEBER 33 VERSCHIEDENE EMAIL KONTEN GEHACKT UND SAEMTLICHE GESCHAEFTSDATEN GEKLAUT UND AN DRITTE GUT VERKAUFT. DA ABER WEDER POLIZEI NOCH RICHTER AHNUNG VON SOLCH KRIMINALITAET HAT..SIND ANZEIGEN HINFAELLIG….TROTZDEM ANZEIGEN GEGEN DIESE PERSONEN GEMACHT.. ALLES AT ACTA GELEGT…UND ES WURDE IMMER SCHLIMMER SODASS SOGAR MEIN LAPTOP MIT ALLEN GESCHAEFTSDATEN MIR IN DER OEFFENTLICHKEIT UEBER MEINEM KOPF AUF DIE ERDE MIT DEM ARGUMENT..ICH BRINGE DICH UM.. ZERSCHLAGEN WURDE.
    GERICHTSURTEIL NACH 2 1/2 JAHREN 450.-€ SCHADENSERSATZ..LAPTOP 1000.-€ OHNE SCHADENSBERECHNUNG…UND OHNE ADRESSE DES TAETERS.. BEI U7.EU WURDE MEIN EMAILKONTO GESPERRT DA ICH SPAM VERSENDEN WUERDE….WUESSTE NICHT WIE DIES FABRIZIERT WUERDE…DREI EMAILS IM SEPTEMBER 2015 AUS DIESEM KONTO VERSCHICKT …NACH RUECKSPRACHE MIT DER GESELLSCHAFT STELLTE SICH EINE 80IGER IPN HERAUS DIE STAENDIG AUF DIESES KONTO MIT ZUGREIFT..DASS JA NICHT DAS EINZIGSTE IST ….

    Gefällt mir

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s