Griba 
, Dunkeldeutschland, Samstag, 12.09.2015, 12:01 vor 3788 Tagen 3815 Views
Nachdem ich gestern über Stunden keinen Zugang zum DGF hatte, bekomme ich heute kryptische Mails mit der Adresse:
xxxshowslive.ml@dasgelbeforum.de.org
Liegt der Fehler bei mir oder beim Gelben?
--
Beste Grüße
GRIBA
Kamille , Samstag, 12.09.2015, 12:07 vor 3788 Tagen @ Griba 2628 Views
- kein Text -
--
Wenn du wüsstest, was ich weiß, wärst du auch Veganer.
kieselflink , Samstag, 12.09.2015, 13:19 vor 3788 Tagen @ Griba 2886 Views
Nachdem ich gestern über Stunden keinen Zugang zum DGF hatte, bekomme ich
heute kryptische Mails mit der Adresse:xxxshowslive.ml@dasgelbeforum.de.org
Ist das ist die Absenderadresse?
Schau mal im Mailheader nach (bei Mozilla/Thunderbird/Seamonkey Strg-U). Da siehst Du, welchen Weg die Mail genommen hat (von unten nach oben zu lesen)
Da sollte etwas in der Art zu finden sein:
Received: from dasgelbeforum.de.org (dasgelbeforum.de.org [89.146.210.210])
Wenn nicht, dann ist es ein Spammer. Quasi jeder kann Dir Mail mit beliebigem Absender zusenden. Genauso wie man einen herkömmlichen Brief absenden kann mit jeglichem Phantasie-Absender.
--
cheers - kieselflink
kieselflink , Samstag, 12.09.2015, 15:35 vor 3788 Tagen @ kieselflink 2530 Views
Hallo Elli,
dank Dir ist das DGF eine Institution im deutschen Internet geworden. Mittlerweile seit 15 Jahren.
Im alten Forum bei Parsimony gab es monatlich ein ZIP als Backup, welches man downloaden und auswerten konnte.
Wäre es nicht dringend angeraten, auf irgendeine Weise Redundanz herzustellen für den Content des Forums? Es würde ja die eine Tabelle aus der DB mit den Beiträgen ausreichen, bereinigt von den IP-Nummern der Poster...
Und ein kompletter Dump der DB sollte verschlüsselt auch bei mehreren Vertrauenspersonen hinterlegt sein. Oder gar GPG-verschlüsselt frei im Netz und nur die Keys+Codes zum Öffnen an die betreffenden Personen.
Andernfalls würde die Nachwelt recht schnell von der sich ganz nebenbei ergebenden Geschichtsschreibung befreit und die neuen Sieger hätten die Geschichte wieder im Griff. Nicht dass dann rauskommt, dass immer und immer wieder gewarnt wurde. So etwas stört nur bei TINA.
Wie schnell ein Server ausgeknipst wird, ist ja fast täglich zu beobachten. Notfalls platziert A ein paar JPGs und B entdeckt dann PfuiBäh - schon können die Guten wieder ihres Amtes walten und der Betreiber ist öffentlich diskreditiert und ruhiggestellt. Das spart Kosten für die geschlossene Unterbringung.
Ich fürchte, das Internet könnte sich bereits in 4 Wochen deutlich von dem heutigen unterscheiden. Wie sehr sich die Vertreter des Souverän an Recht und Gesetz gebunden sehen, wissen wir spätestens seit 2008 mit TINA und Systemrelevanz.
Oder man stelle sich mal vor, über Nacht wäre Google, Youtube, Facebook und Twitter abgeschaltet oder nur noch mit authentischen Accounts erlaubt...
Um den Anschein des Rechts zu wahren, braucht man ja nur das Recht an die aktuelle Lage anpassen. Das ist ja der Vorteil der demokratisch Auserwählten. Bislang wurde noch immer so ziemlich alles durchgewunken, was in den Hinterzimmern von Lobbyismus und Regierung zu Papier gebracht wurde. Der Theaterdonner der Bundestagsdebatten ist wohl eher zur Kultivierung der Eitelkeiten gedacht als auch für politisch interessierte "Brot-und-Spiele"-Fans...
--
cheers - kieselflink
Chef , Samstag, 12.09.2015, 17:23 vor 3788 Tagen @ kieselflink 2914 Views
Danke für den Hinweis, ich werde mir bezüglich eines Backups Gedanken machen.
Die Situation ist zurzeit so, dass täglich um Mitternacht die gesamte Datenbank gesichert wird. Ich habe sie bisher nur in größeren, unregelmäßigen Abständen gesichert (heruntergeladen), werde das aber zukünftig täglich tun. Und ich werde auch dafür sorgen, dass diese Datenbank auch noch bei einer anderen Vertrauenspersonen gespeichert wird.
Griba , Dunkeldeutschland, Samstag, 12.09.2015, 16:05 vor 3788 Tagen @ kieselflink 2792 Views
Ich stell das hier mal um meine Adresse bereinigt rein, vielleicht kann jemand, der mehr Ahnung als ich davon hat, damit etwas anfangen:
From - Sat Sep 12 11:38:47 2015
X-Account-Key: account8
X-UIDL: UID42855-1075363011
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <www-data@dasgelbeforum.de.org>
X-Original-To: "MEINE ADRESSE"
Received: from mail-in-04.arcor-online.net (mail-in-04.arcor-online.net [151.189.21.44])
by mail-in-12-z2.arcor-online.net (Postfix) with ESMTP id B47EC2E79AC
for <MEINE ADRESSE>; Fri, 11 Sep 2015 21:47:59 +0200 (CEST)
Received: from dasgelbeforum.de.org (dasgelbeforum.de.org [89.146.210.210])
by mx.arcor.de (Postfix) with ESMTPS id 3nCSL74sDbz9vdq
for <MEINE ADRESSE>; Fri, 11 Sep 2015 21:47:59 +0200 (CEST)
Received: from dasgelbeforum.de.org (dasgelbeforum.de.org [89.146.210.210])
by dasgelbeforum.de.org (8.14.3/8.14.3/Debian-5+lenny1) with ESMTP id t8BJlu5x030911
(version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-SHA bits=256 verify=NOT)
for <MEINE ADRESSE>; Fri, 11 Sep 2015 21:47:58 +0200
Received: (from www-data@localhost)
by dasgelbeforum.de.org (8.14.3/8.14.3/Submit) id t8BJlulA030910;
Fri, 11 Sep 2015 21:47:56 +0200
Date: Fri, 11 Sep 2015 21:47:56 +0200
Message-Id: <201509111947.t8BJlulA030910@dasgelbeforum.de.org>
To: Griba <MEINE ADRESSE>
Subject: AYFSyHnvAzgr
From: xxxshowslive.ml@dasgelbeforum.de.org,
<bjjcvbjn@ddteoehr.com.internic.de>
Reply-To: xxxshowslive.ml@dasgelbeforum.de.org,
<bjjcvbjn@ddteoehr.com.internic.de>
X-Mailer: PHP/5.2.6-1+lenny16
X-Sender-IP: 146.185.234.48
Content-Type: text/plain
Mime-Version: 1.0
X-Arcor-Antispam: SPF_NONE SIGNATURE_IN_SUBJECT
X-ArcorSpamBlocker: Spamcount: 4 Sensitivity: 13
<a href="http://xxxshowslive.ml/#2111">xxxshowslive.ml,</a>, xxxshowslive.ml,, http://xxxshowslive.ml/#2111 xxxshowslive.ml,,
---
Diese E-Mail wurde ueber das Forum (http://www.dasgelbeforum.net/) gesendet.
--
Beste Grüße
GRIBA
kieselflink , Samstag, 12.09.2015, 16:33 vor 3788 Tagen @ Griba 2725 Views
Ich stell das hier mal um meine Adresse bereinigt rein, vielleicht kann
jemand, der mehr Ahnung als ich davon hat, damit etwas anfangen:
Soso - Du surfst also über Kabel Deutschland... 
" />
Zufrieden?
Received: from dasgelbeforum.de.org (dasgelbeforum.de.org [89.146.210.210])
Das ist die korrekte IP des Forenservers
Received: (from www-data@localhost)
by dasgelbeforum.de.org (8.14.3/8.14.3/Submit) id t8BJlulA030910;
Das ist der PHP-Mailer mit Webserver-Rechten (Apache2)
Aber besonders das hier...:
From: xxxshowslive.ml@dasgelbeforum.de.org,
<bjjcvbjn@ddteoehr.com.internic.de>
sowie das hier...
<a href="http://xxxshowslive.ml/#2111">xxxshowslive.ml,</a>,
xxxshowslive.ml,,
http://xxxshowslive.ml/#2111 xxxshowslive.ml,,
dürfte aber kein normaler Foren-Mailverkehr sein.
Es sieht IMHO sehr danach aus, dass hier jemand eine Lücke in der Forensoftware gefunden oder den Webserver anderweitig gehackt hat. Zumal die Mailadressen des Forums ja als Zieladresse verwendet werden. zumindest in Deinem Fall...
Wäre noch die Frage an den @Chef, ob ihm die Mailadressen irgend etwas sagen im Zusammenhang mit der Accountverwaltung des Forums.
Wenn nicht, dann sollte jetzt die rote Lampe angehen. Die Authentizität von Postings wären dann im Moment auch zu hinterfragen...
--
cheers - kieselflink
Chef , Samstag, 12.09.2015, 17:19 vor 3788 Tagen @ kieselflink 3066 Views
Wäre noch die Frage an den @Chef, ob ihm die Mailadressen irgend etwas
sagen im Zusammenhang mit der Accountverwaltung des Forums.Wenn nicht, dann sollte jetzt die rote Lampe angehen. Die Authentizität
von Postings wären dann im Moment auch zu hinterfragen...
Diese E-Mail-Adressen sagen mir nichts; ich habe den Provider diesbezüglich einmal angeschrieben mit der Bitte um Aufklärung.
Dragonfly , Samstag, 12.09.2015, 20:57 vor 3788 Tagen @ kieselflink 2116 Views
Einfach gefaelschte Absenderadresse.
Elli soll froh sein, dass es die Adresse unter seiner Domain nicht gibt, ansonsten haette er u.U. noch einige 1000 "backscatter spam" emails, emails, die bouncen und an Ihn zurueckgeschickt werden. ![[[top]]](images/smilies/top.gif)
Fazit: Ignorieren.
kieselflink , Samstag, 12.09.2015, 22:06 vor 3787 Tagen @ Dragonfly 2100 Views
Einfach gefaelschte Absenderadresse.
Wenn es nur das wäre, würde ich zustimmen.
Allerdings käme die Mail dann aus Weißrussland oder Holland oder UK oder dem Bundestag " /> oder der ISS - aber jedenfalls nicht von der IP 89.146.210.210
Fazit: Ignorieren.
Nein.
Denn es gibt ein kleines Problem: Die Mail(s) kam(en) definitiv vom Forenserver. Wenn man mal annimmt, dass da kein offener Mailrelay läuft, ist das Mailsenden nur möglich, wenn man Zugang zu einem Useraccount und irgendeiner API oder Shell hat. Im vorliegenden Fall war es der User www-data - also der User für den Webserver, der hier einfach mit mod_php läuft...
Im einfachsten Fall reicht es, wenn das USO (Unbekannte Spammende Objekt) auf irgend eine Weise auf die PHP-funktion mail() zugreifen kann - entweder durch einen Bug oder weil er eigene Scripte auf den Webserver legen kann. Auch für letzteres gibt es mehrere Optionen.
Ignorieren hieße hier Kopf in Sand und Daumen drücken. Und das ist keine gute Idee.
--
cheers - kieselflink
Romeo , Somalia 2.0, Samstag, 12.09.2015, 23:14 vor 3787 Tagen @ kieselflink 2055 Views
Received: (from www-data@localhost)
by dasgelbeforum.de.org (8.14.3/8.14.3/Submit) id t8BJlulA030910;
Das ist der PHP-Mailer mit Webserver-Rechten (Apache2)
Ja.
Aber besonders das hier...:
From: xxxshowslive.ml@dasgelbeforum.de.org,
<bjjcvbjn@ddteoehr.com.internic.de>
Das hat jemand halt so ins PN-Formular als Absender reingeschrieben.
Gribas Forums-Einstellungen sind bezüglich PN offen, sodass jeder beliebig vorbeikommende Leser ihr eine PN schreiben kann, nicht nur angemeldete Benutzer.
Dazu muss der Server nicht gehackt werden.
Beste Grüße,
R.
--
Klagt nicht, kämpft!
kieselflink , Sonntag, 13.09.2015, 00:30 vor 3787 Tagen @ Romeo 2014 Views
Das hat jemand halt so ins PN-Formular als Absender reingeschrieben.
Die Lösung ist so einfach, dass man erst mal drauf kommen muss.
Danke!
--
cheers - kieselflink
Chef , Samstag, 12.09.2015, 13:43 vor 3788 Tagen @ Griba 3957 Views
… war ein Hardwarefehler beim Provider, kein Hackerangriff.