symlink.ch
Wissen Vernetzt - deutsche News für die Welt
 
symlink.ch
FAQ
Mission
Über uns
Richtlinien
Moderation
Einstellungen
Story einsenden
Suchen & Index
Ruhmeshalle
Statistiken
Umfragen
Redaktion
Themen
Partner
Planet
XML | RDF | RSS
PDA | WAP | IRC
Symbar für Opera
Symbar für Mozilla

Freunde
Benutzergruppen
LUG Switzerland
LUG Vorarlberg
LUGen in DE
SIUG
CCCZH
Organisationen
Wilhelm Tux
FSF Europe
Events
LinuxDay Dornbirn
BBA Schweiz
CoSin in Bremgarten AG
VCFe in München
Menschen
maol
Flupp
Ventilator
dawn
gumbo
krümelmonster
XTaran
maradong
tuxedo

 
Sober.G: Rechtsextremer Spam u.a. über SourceForge (Update)
Veröffentlicht durch XTaran am Freitag 11. Juni 2004, 09:42
Aus der Stehen-zufälligerweise-Wahlen-vor-der-Tür? Abteilung
Internet Seit gestern morgen verteilt sich Sober.G nicht mehr selbst weiter, sondern spammt stattdessen mit rechtsextremen und rassistischen Inhalten, das ganze "praktischerweise" 3 Tage vor der Europawahl. Details gibt's u.a. bei Heise in zwei Artikel: Spam-Welle mit ausländerfeindlichen Inhalten und Rassistischer Spam und der Mail-Wurm Sober.G. Auch Telepolis hat was dazu. Interessant ist aber, über welche Mail-Server sich das Teil verbreitet...

KingDom schreibt über seine Erfahrungen mit Sober.G: "Zugegeben, eine Spammeldung ist nicht mehr grosses Aufsehen wert. Wenn aber plötzlich Spam über die Sourceforge-MX verschickt wird, ist dies vielleicht doch eine nähere Betrachtung wert. Angefangen hat es vor zwei Tagen mit einem dubiosen Mail mit dem Subject: "So sieht die Wahrheit aus! #Id:6041" an undisclosed-recipients. Im Mail war nur ein Link auf einen rechtsextremen Artikel mit dem Kommentar "lese und sehe selbst". Der Thunderbird-Spamfilter reagierte nicht und so wurde dieses Mail einer genaueren Betrachtung unterzogen und siehe da (Auszüge aus den Headern unten): das Mail wurde über einen Sourceforge-MX versendet. Obwohl ich etwas erstaunt war, schenkte ich der Sache nicht weiter Beachtung.

Doch heute Morgen fand ich ein weiteres Mail in meiner Box mit dem Subject: "Skandalurteil in Darmstadt #Id:6481#" an isoladitenaviv@users.sourceforge.net (Ja, ich weiss da kann alles stehen.) und eine Analyse des Headers ergab wieder, dass der Spam über einen SF-Server kam (Header weiter unten). Der Inhalt war wieder ein Link mit dem selben Kommentar.

Nun würde mich interessieren, ob jemand von euch diese Art von Spam auch kennt und vor allem ob er in allen Fällen über SF-Server kam.

Die ersten zwei "received by"-Zeilen im ersten mail sahen folgendermassen aus:

Recieved: from sc8-sf-mx2.sourceforge.net (lists.sourceforge.net [66.35.250.206]) (using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)) (No client certificate requested) by mein.provider.net (Postfix) with ESMTP id D2D1822352 for ; Thu, 10 Jun 2004 13:56:58 +0200 (CEST) from sc8-sf-mx2.sourceforge.net (lists.sourceforge.net [66.35.250.206]) (using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)) (No client certificate requested) by mein.provider.net (Postfix) with ESMTP id D2D1822352 for ; Thu, 10 Jun 2004 13:56:58 +0200 (CEST)

Received: from p508f1dec.dip.t-dialin.net ([80.143.29.236] helo=qjdqcipgo.de) by sc8-sf-mx2.sourceforge.net with smtp (Exim 4.30) id 1BYOAw-0001Ou-Ms; Thu, 10 Jun 2004 04:56:54 -0700
Auszüge aus dem zweiten Mail:
received:from sc8-sf-mx2.sourceforge.net (lists.sourceforge.net [66.35.250.206]) (using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits)) (No client certificate requested) by mein.provider.net (Postfix) with ESMTP id 8EA7121D29 for ; Thu, 10 Jun 2004 19:14:06 +0200 (CEST)

received: from host64-78.pool8249.interbusiness.it ([82.49.78.64] helo=crvwvxqn.com) by sc8-sf-mx2.sourceforge.net with smtp (Exim 4.30) id 1BYT7s-0006hk-70; Thu, 10 Jun 2004 10:14:04 -0700"

Auch XTaran hat sich über die Header dieser Mails gewundert, allerdings nicht über SF-MXe sondern über MXe der Deutschen Welle: Kamen doch 8 von 9, die er bekam über den Nachrichten-Verteiler der Deutschen Welle. Wobei das dann vermutlich eher ein achtlos verkonfigurierter Mailinglistenmanager ist, als ein offenes Relay... (Mail an den entsprechenden Posthamster ist raus, Antwort aber leider noch keine da.)

Update 13:34 Uhr: Wie Golem berichtet ermittelt nun auch das Landeskriminalamt (LKA) Schwerin, da viele der Mails angeblich von einem bereits vom Netz genommenen Server der Uni Rostock stammen sollen.

Grösstes Linux Deployment der Schweiz? | Druckausgabe | Hackles.org und GentooUser.org defaced  >

 

 
symlink.ch Login
Login:

Passwort:

extrahierte Links
  • Golem
  • Heise
  • SourceForge
  • Telepolis
  • Spam-Welle mit ausländerfeindlichen Inhalten
  • Rassistischer Spam und der Mail-Wurm Sober.G
  • Telepolis hat was dazu
  • KingDom
  • Deutschen Welle
  • Nachrichten-Verteiler
  • Golem berichtet
  • Mehr zu Internet
  • Auch von XTaran
    •

    Diese Diskussion wurde archiviert. Es können keine neuen Kommentare abgegeben werden.
    MXe via Sourceforge (Score:2)
    Von ickiller (roli @ galaxy.ch) am Friday 11. June 2004, 10:39 MEW (#1)
    (User #245 Info) http://galaxy.ch/
    Hoi Zäme.

    Also ich habe einen solche Mail von einem Bluewin Dialup (oder ähnlichem) direkt an mich (keine Mailinglist) erhalten:

    ...
    Received: from wqpmvt.ch (131.85.62.81.cust.bluewin.ch [81.62.85.131]) by backupmail.galaxy.ch (Postfix) with SMTP id EA1666C; Fri, 11 Jun 2004 08:58:11 +0200 (CEST)
    Date: Fri, 11 Jun 2004 06:27:05 GMT
    MIME-Version: 1.0
    Subject: Wer an ein Tabu ruehrt, muss und darf vernichtet werden [8116]
    Importance: Normal
    X-Priority: 3 (Normal)
    Message-ID:
    Content-Transfer-Encoding: 7bit
    Content-Type: text/plain; charset="us-ascii"
    To: undisclosed-recipients: ;

    Deinen Received Zeilen an würde ich sagen der SPAM ging einfach an eine Sourceforge Mailinglist auf der Du subscribed bist. Entpsrechend ist klar, dass die Mail über SF Mailserver geht. Das selbe bei XTaran mit der deutschen Welle (schreibt er ja auch).

    Sind die SF mailinglists offen für jederman oder nur für eingetragene Absender? Wenn für alle ist es ja kein offenes Relay sondern die Adresse ist einfach in die SPAM Empfängerliste geraten und hat mit SF überhaupt nichts zu tun.

    Gruss,
     Roli

    Lücke in ML-Software? (was: MXe via Sourceforge) (Score:2)
    Von XTaran (symlink /at/ deux chevaux /dot/ org) am Friday 11. June 2004, 10:45 MEW (#2)
    (User #129 Info) http://abe.home.pages.de/
    Das wiederum klingt ja fast so, als hätte der Sober-Autor eine bislang unentdeckte Lücke in irgendeiner Mailinglisten-Software entdeckt.

    Bei der DW habe ich nicht rausgefunden, welche Software sie verwenden. Weiß jemand, was SF.net verwendet?

    Meine anderen Sober.G-Mails kamen IIRC auch über 'nen Dial-Up-Account.

    --
    There is no place like $HOME
    Re: Lücke in ML-Software? (was: MXe via Sourceforg (Score:1)
    Von ickiller (roli @ galaxy.ch) am Friday 11. June 2004, 10:49 MEW (#3)
    (User #245 Info) http://galaxy.ch/
    Hmm, wenn die Mailinglist öffentlich ist (was bei SF vermutlich der Fall ist), braucht es ja keinen Bug um zu posten.

    Und bei der DW könnte es natürlich durchaus wie Du vermutest ein Configfehler sein, dass jemand fremdes auf deren Verteilerliste posten darf.

    Gruss,
     Roli

    Re: Lücke in ML-Software? (was: MXe via Sourceforg (Score:3, Informativ)
    Von db (001@nurfuerspam.de) am Friday 11. June 2004, 10:55 MEW (#4)
    (User #1177 Info) http://www.bergernet.ch
    Wenn der gespoofte Absender aber in der Liste auch drin ist (was ja eine gute Erklärung wäre, wie der Wurm an die Listenadresse kommt), dann wird der Wurm auch in geschlossene Listen gesendet - auch ohne Configfehler oder Sicherheitslücke.
    Re: Lücke in ML-Software? (was: MXe via Sourceforg (Score:1)
    Von XTaran (symlink /at/ deux chevaux /dot/ org) am Friday 11. June 2004, 10:59 MEW (#6)
    (User #129 Info) http://abe.home.pages.de/
    Zumindest die DW-Liste ist eine reine Info-Liste ohne Diskussion (kommen zweimal täglich Nachrichten die Tagesnachrichten drüber), da sollten auch keine Abonnenten posten dürfen.

    --
    There is no place like $HOME
    Re: Lücke in ML-Software? (was: MXe via Sourceforg (Score:2, Tiefsinnig)
    Von Anonymer Feigling am Friday 11. June 2004, 11:10 MEW (#7)
    Aber ein infizierter Outlook Windows PC eines Mitarbeiters... Warum soll es abwegig sein, dass ein Virus Mails an Adressen im "Adressbuch" schickt und als Absender den konfigurierten des Mailclients verwendet? Und warum sollte dann eine ML-Software den Dreck ausfiltern?
    Re: Lücke in ML-Software? (Score:1)
    Von XTaran (symlink /at/ deux chevaux /dot/ org) am Friday 11. June 2004, 10:56 MEW (#5)
    (User #129 Info) http://abe.home.pages.de/
    Ok, ich dachte jetzt an eine der Announcement-MLs von SF, auf denen ich auch draufstehe. Aber Du hast recht, die hosten deutlich mehr offene MLs.

    --
    There is no place like $HOME
    Re: MXe via Sourceforge (Score:2)
    Von KingDom (kingdom auf weltuntergang punkt ch) am Friday 11. June 2004, 13:03 MEW (#9)
    (User #55 Info) http://home.datacomm.ch/kingdom
    Das mit den SF-Mailinglisten halte ich für unwahrscheinlich, da ich nur die SF Site Updates (Riesige Menge von Abonnenten) sowie eine Projekt-ML abonniert habe. Möglich wäre es trotzdem, denn das Relay scheint auf keinem der Server aus meinen Headern offen zu sein. Naja, vielleicht kommen da noch irgendwelche Neuigkeiten raus...
    --
    Alle Schreibfehler © by me, wer einen findet darf ihn behalten.
    Könnte sein... (Score:1)
    Von Allo am Friday 11. June 2004, 14:56 MEW (#10)
    (User #1379 Info)
    ich hab auch so Schrott bekommen.
    Praktisch keiner hat meine Adresse, die ist auch noch nicht sehr alt, auf der Adresse war das die erste Spam Mail...
    Aber bei SF ist sie eingetragen

    Linux User Group Schweiz
    Durchsuche symlink.ch:  

    Never be led astray onto the path of virtue.    		 trash.net

    Anfang | Story einsenden | ältere Features | alte Umfragen | FAQ | Autoren | Einstellungen