Hallo Leute,

Meine Frage: Ist mein Betriebssystem kompromittiert?

Ich hab mich ausgiebig mit dem RFC 822, ubuntuusers-forum, google-suche, e-mail-analyse artikel usw. auseinander gesetzt und komme nicht auf einen Nennen.

Ich habe im E-Mail header eine IP, die vom RIPE oder t-com(?) geblockt wurde.

Hier der Code mit verdächtiger IP:

From - Fri Dec  9 22:29:11 2011
X-Account-Key: account4
X-UIDL: 1008-1292336137
X-Mozilla-Status: 0001
X-Mozilla-Status2: 10000000
X-Mozilla-Keys:                                                                                 
Return-path: <egal@foo-bar.de>
MIME-version: 1.0
Content-type: multipart/mixed; boundary="Boundary_(ID_e3DCfBZxW/pKRQNlqVc1Lg)"
Return-path: <egal@foo-bar.de>
Received: from [192.168.xxx.xxx] ([unknown] [87.181.74.94])
 by mailproggy.university.de
 (Sun Java(tm) System Messaging Server 7u3-12.01 64bit (built Oct 15 2009))
 with ESMTPSA id <0LVY00ARKF33Q640@mailproggy.university.de>; Fri,
 09 Dec 2011 21:47:34 +0100 (CET)
Message-id: <4EE2738B.3030306@university.de>
Date: Fri, 09 Dec 2011 21:46:03 +0100
From: Egal <egal@foo-bar.de>
User-Agent: egal...

Ich habe diese Link (http://www.visualware.com/resources/tutorials/email.html) soweit verstanden, dass diese "verdächtige" IP die original-IP ist, von dem es verschickt wurde. Was hat das nun zu bedeuten? Ich habe noch weitere E-Mails gefunden mit anderen IP, die ich bei whois[dot]sc untersucht habe und auch vom RIPE/t-com gesperrt wurden. Es sind aber nicht alle.

Vielen Dank für eure Antworten. Bin sehr gespannt darauf.

Grüße, rix.

Hi

Wenn das die Absender-IP darstellt, ist das, wenn, ein Versuch Dich zu kompromittieren.

Wärst Du kompromittiert, stünde dort wohl Deine IP-Adresse und Dein Rechner verschickte jetzt die Mails - meiner Meinung nach.

MfG

Der Sender der Mail hat sich beim Mailserver "mailproggy.university.de" als "192.168.xxx.xxx" gemeldet und hatte die Adresse 87.181.74.94 ohne zugehörigen rDNS-Eintrag. 87.181.74.94 gehört der Telekom. War also vermutlich jemand, der sich per Telekom eingewählt hat und dabei hinter einem Router saß, der NAT macht.

Was genau meinst du mit "Ich habe im E-Mail header eine IP, die vom RIPE oder t-com(?) geblockt wurde"?

rix schrieb:

Ich habe im E-Mail header eine IP, die vom RIPE oder t-com(?) geblockt wurde.

... soweit verstanden, dass diese "verdächtige" IP die original-IP ist, von dem es verschickt wurde. Was hat das nun zu bedeuten? Ich habe noch weitere E-Mails gefunden mit anderen IP, die ich bei whois[dot]sc untersucht habe und auch vom RIPE/t-com gesperrt wurden. Es sind aber nicht alle.

Wo hast Du diese eMails gefunden? Hast Du diese eMails erhalten oder sind diese eMails von deinem Betriebssystem verschickt worden?

Hi dietsch, mickydoutza und Posti.

Danke für euer Interesse.

Die E-Mail habe ich von meinen Thunderbird-Client geholt. Dieser Client besitzt zwei Konten, die jeweils mit dem gleichen Mailserver kommunizieren. Das Mail-Konto A ist berechtigt auf einen Uni-Verteiler, der mehr als 5000 Adressen beinhaltet, zu nutzen. Von diesem Konto habe ich auch den E-Mail-Header kopiert. Es gibt noch weitere mit "geblockten" IPs im Header. Ich habe noch nicht ausführlich mein anderes Mail-Konto B nach verdächtigen IPs im Header angeschaut. Werde das noch die Tage erledigen.

Kann es sein, dass ich mit diesem Uni-Verteiler bei der T-Com aufmerksam geworden bin, denkt ihr...? Leider sagen die anderem Mails das nicht. Ich habe nur bei wenigen Mail die verdächtigen Spuren entdeckt (Stichproben). Vielleicht muss ich meine Spuren auf die Mail beschränken, die nur den Uni-Verteiler verwendet haben.

diesch schrieb:

Der Sender der Mail hat sich beim Mailserver "mailproggy.university.de" als "192.168.xxx.xxx" gemeldet und hatte die Adresse 87.181.74.94 ohne zugehörigen rDNS-Eintrag. 87.181.74.94 gehört der Telekom. War also vermutlich jemand, der sich per Telekom eingewählt hat und dabei hinter einem Router saß, der NAT macht.

Was genau meinst du mit "Ich habe im E-Mail header eine IP, die vom RIPE oder t-com(?) geblockt wurde"?

http://www.whois.sc/ sagt zu diese IP folgendes:

remarks:        ******************************************************************
remarks:        * Abuse Contact: http://www.t-com.de/ip-abuse in case of Spam,   *
remarks:        * Hack Attacks, Illegal Activity, Violation, Scans, Probes, etc. *
remarks:        ******************************************************************

Meine interne(LAN) IP ist die 192.168.xxx.xxx und die IP 87.181.74.94 ist wahrscheinlich meine externe(WAN?) IP von der Telekom. Aber bei den anderen E-Mails ist der Header nicht mit dieser zweiten IP (nach der Sektion "from") bestückt. Das ist mir nicht koscher.

mickydoutza schrieb:

rix schrieb:

Ich habe im E-Mail header eine IP, die vom RIPE oder t-com(?) geblockt wurde.

... soweit verstanden, dass diese "verdächtige" IP die original-IP ist, von dem es verschickt wurde. Was hat das nun zu bedeuten? Ich habe noch weitere E-Mails gefunden mit anderen IP, die ich bei whois[dot]sc untersucht habe und auch vom RIPE/t-com gesperrt wurden. Es sind aber nicht alle.

Wo hast Du diese eMails gefunden? Hast Du diese eMails erhalten oder sind diese eMails von deinem Betriebssystem verschickt worden?

Es geht um meine E-Mails. Nicht jede hat diesen verdächtigen E-Mail-Header. Vom meinem Betriebssystem (Thunderbird-Client) ist diese Mail verschickt worden.

Grüße, rix.

Die E-Mail habe ich von meinen Thunderbird-Client geholt. Dieser Client besitzt zwei Konten, die jeweils mit dem gleichen Mailserver kommunizieren. Das Mail-Konto A ist berechtigt auf einen Uni-Verteiler, der mehr als 5000 Adressen beinhaltet, zu nutzen. Von diesem Konto habe ich auch den E-Mail-Header kopiert. Es gibt noch weitere mit "geblockten" IPs im Header. Ich habe noch nicht ausführlich mein anderes Mail-Konto B nach verdächtigen IPs im Header angeschaut. Werde das noch die Tage erledigen.

Was verstehst du unter "geblockt"? Wer blockiert diese IP und wie macht sich diese Blockade bemerkbar?

diesch schrieb:

Der Sender der Mail hat sich beim Mailserver "mailproggy.university.de" als "192.168.xxx.xxx" gemeldet und hatte die Adresse 87.181.74.94 ohne zugehörigen rDNS-Eintrag. 87.181.74.94 gehört der Telekom. War also vermutlich jemand, der sich per Telekom eingewählt hat und dabei hinter einem Router saß, der NAT macht.

Was genau meinst du mit "Ich habe im E-Mail header eine IP, die vom RIPE oder t-com(?) geblockt wurde"?

http://www.whois.sc/ sagt zu diese IP folgendes:

remarks:        ******************************************************************
remarks:        * Abuse Contact: http://www.t-com.de/ip-abuse in case of Spam,   *
remarks:        * Hack Attacks, Illegal Activity, Violation, Scans, Probes, etc. *
remarks:        ******************************************************************

Das ist ein Hinweis, wie du Die Telekom über Missbrauch informieren kannst.

Meine interne(LAN) IP ist die 192.168.xxx.xxx und die IP 87.181.74.94 ist wahrscheinlich meine externe(WAN?) IP von der Telekom. Aber bei den anderen E-Mails ist der Header nicht mit dieser zweiten IP (nach der Sektion "from") bestückt. Das ist mir nicht koscher.

Wie sieht der Header bei diesen anderen Mails aus?

An dem geposteten Header ist eigentlich nichts außergewöhnliches.

Das ist ein ganz normaler Email-Header und da wurde nichts geblockt. Wie weiter oben glaube schon gesagt wurde, klappte einfach nur das ReverseDNS nicht. Deshalb steht dort "unbekannt" und die IP dahinter. Unbekannt heißt der Mailserver konnte die Domain zur IP nicht herausfinden.

Puh. Safety first, deshalb meine Frage, mein Verdacht.

Danke euch!