Spammail Analyse: Amazon, Chile, OVH

Moin 🙂

Aus der Reihe „Wie erkenne ich Spammails“ mal wieder eine schöne BlĂŒte!
Ich habe folgende Mail erhalten:

Das ĂŒbliche „Ihr Account wurde gesperrt“-Gedöns. Hier ein paar Tips fĂŒr Leute, die sich nicht immer so sicher sind, ob das eine echte oder gefĂ€lschte Mail ist, damit sie das in Zukunft unterscheiden können.. Außerdem ein paar Tipps fĂŒr Spammer um Ihre Mails besser zu machen. Fangen wir an.

Ich werde hier also direkt mit meinem echten Namen begrĂŒĂŸt, %Column_1%. Darunter dann Informationen zum angeblichen Angreifer. PrĂŒfen wir das doch einfach mal durch:
Angeblich wurde mit einem IE 10 auf einem Windows 8 auf mein Konto zugegriffen. Ich habe mich gefragt, ob es den IE 10 ĂŒberhaupt fĂŒr Windows 8 gab – ja, ist am 25.07.2012 geupdatet worden. Die angegebene IP Adresse soll angeblich aus Chile stammen, tatsĂ€chlich gehört sie aber zum United States Postal Service in North Caroline, USA. Im ĂŒbrigen: Wusstest ihr, dass „USA“ nicht fĂŒr United States of America steht, sondern fĂŒr unser seliger Adolf? Ehrlich, steht im Spiegel!

Weiter unten wird mein Vertrauen dadurch geweckt, dass der absolut notwendige Sicherheitsabgleich ĂŒber eine „SSL verschlĂŒsselte“ Verbindung geschieht. Also erstens ist SSL schon lange nicht mehr sicher, man nutzt dazu TLS, und zweitens ist selbst das gelogen. Der Button linkt auf die Adresse http://0ehbh.9rsxg.pw/. Frage: Was verbirgt sich dahinter? Antwort: Nichts 😀

Virustotal-Analyse: absolut sauber, 0/66
Snapito-Screenshot:

https://shrinktheweb.snapito.io/v2/webshot/spu-ea68c8-ogi2-3cwn3bmfojjlb56e?size=800x0&screen=1024x768&url=http%3A%2F%2F0ehbh.9rsxg.pw%2F

Hm? Nee, das muss ein Fehler sein. Also ancurlen:

root@server:~# docker run --rm byrnedo/alpine-curl http://0ehbh.9rsxg.pw/
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
  0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--     0<! DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>404 Not Found</title>
</head><body>



<h1>Not Found</h1>



The requested URL / was not found on this server.

</body></html>
100   198  100   198    0     0    400      0 --:--:-- --:--:-- --:--:--   400

TatsÀchlich, nichts. Vielleicht auf der HauptdomÀne?

root@server:~# docker run --rm byrnedo/alpine-curl http://9rsxg.pw/
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
  0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--     0curl: (6) Could not resolve host: 9rsxg.pw

Nicht einmal ein DNS-Eintrag 😀
So komme ich nicht weiter. Wer ist denn der Absender der Mail, vielleicht kann ich ja nach Support fragen? Ahja: Amаzon.de Sіcherheіtscenter <mailer@497813062-13.email> Na dann schauen wir uns mal diese Domain etwas genauer an. Erstmal curl:

root@server:~# docker run --rm byrnedo/alpine-curl 497813062-13.email
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
  0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--     0&lt;meta http-equiv="refresh" content="0;url=http://208356941-11.email/websites"&gt;
100    79  100    79    0     0    170      0 --:--:-- --:--:-- --:--:--   170

OK, redirect. Folgen wir dem mal:

fire - kill0rz.com
root@server:~# docker run --rm byrnedo/alpine-curl 208356941-11.email/websites
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
  0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--     0
&lt;!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"&gt;
&lt;html&gt;
  &lt;head&gt;
  &lt;meta http-equiv="content-type" content="text/html; charset=windows-1250"&gt;
  &lt;meta name="generator" content="PSPad editor, www.ATMautoresponder.com"&gt;
  &lt;meta name="keywords" content="E-MAIL MARKETING, PUBLICIDADE DIGITAL, LISTAS DE E-MAIL, SMTP, SERVIDORES, CAMPANHAS, E-MAIL, EMAIL, SERVIDOR DEDICADO"&gt;
  &lt;title&gt;ATMautoresponder.com&lt;/title&gt;
  &lt;/head&gt;
  &lt;body style="margin:0px;padding:0px;overflow:hidden"&gt;
     


&lt;h1&gt;Automated Mailing Server Installer &lt;a href="http://ATMautoresponder.com"&gt;ATMautoresponder.com&lt;/a&gt; Bulk Emailing Made Easy!&lt;/h1&gt;



  &lt;/body&gt;
&lt;/html&gt;

100   648  100   648    0     0   1361      0 --:--:-- --:--:-- --:--:--  1358

Und da wird es jetzt schon etwas interessanter. Da sitzt dann quasi eine Standard-Software irgendwo auf einem Server in Großbritannien und schickt fleißig Mails durch die Gegend, ohne sich zu verstecken. Viel Interessanter ist es, dass die Mails von Servern von OVH geschickt wurden. Aber halt kill0rz, du hast doch gar nicht die MX EintrĂ€ge angesehen, sondern nur die A-Records!!1!! Das stimmt, also bevor jemand meckert:

root@server:~# docker run -it tutum/dnsutils nslookup 208356941-11.email
Address:        213.186.33.99#53

Non-authoritative answer:
Name:   208356941-11.email
Address: 51.68.181.192

root@server:~# docker run -it tutum/dnsutils nslookup -type=mx 208356941-11.email
Server:         213.186.33.99
Address:        213.186.33.99#53

Non-authoritative answer:
208356941-11.email      mail exchanger = 0 208356941-11.email.

Ist also nur ein Alias. BĂ€h! 😛

Ich habe OVH daraufhin informiert, dass Spam von diesem Server aus gesendet wurde. Ich habe nach mehreren Monaten keine Antwort erhalten.

kill0rz

Posted in Allgemein, Phishing | Leave a comment

Das „neue“ Kismet: Konfigurieren und WiGLE-Upload einrichten

Ahoi!

Wir zigdutzenden Wardriver stehen vor einem minimalistischen Problem:

FrĂŒher haben wir von Kismet .netxml und .gpsxml-Dateien zurĂŒck bekommen, heute ist das eine SQLite DB mit Dateiendung .kismet. Diese können zwar zu WiGLE hochgeladen, dort aber nicht prozessiert werden.

Lösung: Wir konvertieren die Datei vorher in eine CSV-Datei, wofĂŒr uns Kismet dankenswerter Weise ein Tool zur VerfĂŒgung stellt.

kismetdb_to_wiglecsv --in input.kismet --out output.csv

fire - kill0rz.com

So, aber bevor wir da irgendwas machen können, habe ich beim Upgrade von kismet-2016 auf das neue Kismet festgestellt, dass die komplette Config den Bach runter geht. Rofl! Ich habe ewig rumprobiert, bis ich die scheiß Docs gelesen und festgestellt habe, dass es eigentlich ganz einfach ist. ZunĂ€chst erstellen wir die Datei /etc/kismet/kismet_site.conf und fĂŒllen diese mit folgendem Inhalt:

# capture source
source=wlan1
# gps source
gps=gpsd:host=localhost,port=2947,reconnect=true,name=GPSDot

Nun nur noch in der Include-Section der kismet.conf die Datei hinzufĂŒgen.
Zack, fertig!

kill0rz

Posted in Allgemein, Internet, Real-Life, Tutorials | Leave a comment

Display im Skoda Fabia II zeigt keine Zeichen mehr an

Hattet ihr das schonmal, dass bei eurem Fabia 2 das Display im Kombiinstrument nicht mehr ging? Also einfach nichts mehr angezeigt hat, die Beleuchtung aber geht?

Ihr habt dann zwei Möglichkeiten:

Entweder ihr fahrt zu Skoda und lasst euch das komplette Kombiinstrument fĂŒr horrend viel Geld wechseln und danach fĂŒr noch mehr Geld die Kilometer von eurem Auto auf 10 km genau einstellen.

Oder ihr klemmt einfach die Batterie fĂŒr 10 Minuten ab und wieder dran und alles geht wieder.

Muss man wissen!
kill0rz

Posted in Allgemein, Auto, Real-Life, Tutorials | Leave a comment

Scheiß Outlook ruft die verwichsten Mails von dem beschissenen Server nicht mehr automatisch ab, das Schwein!

So pass auf:

Outlook 2010
Microfick Exchange Server 2008 – nicht der R2, sondern die geballte Vista-Power!

Gehe in Kontoeinstellungen, Konto Àndern, weitere Einstellungen:

Nimm den viereckigen Hurensohn da raus, dann jehts wieder. Der Dreck! Affig sowas, ich hasse Microsoft!

kill0rz

Posted in Allgemein, kill0rz, Server, Tutorials, Wut-Artikel | Leave a comment