07-10-2015 14:02
Hallo
ich habe einen Server ausfingig gemacht, welcher für das Versenden von Phishing Mails verwendet wird.
Im Header einer solchen e-Mail fanden sich Spuren auf folgenden Server mit eien php-Mailer.
http://oovavootesting.co.uk/s.php
Das Script beiie nicht benutzen, den auch die IP-Adresse des Benutzers wird im Header der Phishing - E-Mail abgelegt.
An wen kann man sich hier nun wenden?
Beim Ebay-Service ließt eh kein Mensch mehr mit.
Da der Server im UK steht hat man es auch schwer der Registrar über Whois aufzulösen.
################## MAILHEADER ##########################
X-Spam-Level: **
Received: from xsmail-dmz9.prod.vfnet.de (LHLO smtp-03.vodafone.de) (10.215.254.40) by xsmbox11.prodml.vfnet.de with LMTP; Wed, 7 Oct 2015 13:35:53 +0200 (CEST)
Received: from localhost (localhost.localdomain [127.0.0.1]) by smtp-03.vodafone.de (Postfix) with ESMTP id 25D43E55DA for <masei1202@vodafone.de>; Wed, 7 Oct 2015 13:35:53 +0200 (CEST)
Received: from smtp-03.vodafone.de ([127.0.0.1]) by localhost (xsmail-dmz9.prod.vfnet.de [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id bYAkcnySgJco for <masei1202@vodafone.de>; Wed, 7 Oct 2015 13:35:47 +0200 (CEST)
Received: from mail-out1.kundencontroller.de (mail-out1.kundencontroller.de [85.31.184.34]) by smtp-03.vodafone.de (Postfix) with ESMTPS id DE635E55D1 for <masei1202@vodafone.de>; Wed, 7 Oct 2015 13:35:47 +0200 (CEST)
Received: from airwave.kundencontroller.de (airwave.kundencontroller.de [85.31.185.15]) (using TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (No client certificate requested) by mail-out1.kundencontroller.de (Postfix) with ESMTPS id 3CEA1180046A for <masei1202@vodafone.de>; Wed, 7 Oct 2015 13:35:47 +0200 (CEST)
Received: from server1.thehostingserver.co.uk (server1.thehostingserver.co.uk [212.38.168.21]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (No client certificate requested) by airwave.kundencontroller.de (Postfix) with ESMTPS id BA99B307C179 for <inhaber@yulos.de>; Wed, 7 Oct 2015 13:35:38 +0200 (CEST)
Received: from gbsteels by server1.thehostingserver.co.uk with local (Exim 4.85) (envelope-from <gbsteels@server1.thehostingserver.co.uk>) id 1ZjlGU-0001Fv-Ee for inhaber@yulos.de; Wed, 07 Oct 2015 10:44:02 +0100
X-Isppro-Greylist: delayed 6699 seconds by greylisting service; Wed, 07 Oct 2015 13:35:41 CEST
X-Dnswl: No
X-Antiabuse: This header was added to track abuse, please include it with any abuse report
X-Antiabuse: Primary Hostname - server1.thehostingserver.co.uk
X-Antiabuse: Original Domain - yulos.de
X-Antiabuse: Originator/Caller UID/GID - [542 553] / [47 12]
X-Antiabuse: Sender Address Domain - server1.thehostingserver.co.uk
Return-Path: gbsteels@server1.thehostingserver.co.uk
Mime-Version: 1.0
X-Virus-Scanned: amavisd-new at vodafone.de
Message-Id: <130746999999.2324@server1.thehostingserver.co.uk>
X-Amavis-Alert: BAD HEADER SECTION, Non-encoded 8-bit data (char F6 hex): Subject: ...eines Artikels oder ich m\366chte dem Verk\344u[...]
X-Spam-Score: 2.667
X-Php-Script: oovavootesting.co.uk/s.php for 84.181.1.44
Content-Transfer-Encoding: 8bit
X-Spam-Flag: NO
X-Spam-Status: No, score=2.667 tagged_above=-10 required=5 tests=[BAYES_00=-0.001, HTML_MESSAGE=0.001, HTML_MIME_NO_HTML_TAG=0.377, MIME_HTML_ONLY=0.723, SUBJECT_NEEDS_ENCODING=0.049, SUBJ_ILLEGAL_CHARS=1.518] autolearn=no
Content-Type: text/html
X-Get-Message-Sender-Via: server1.thehostingserver.co.uk: authenticated_id: gbsteels/primary_hostname/system user
X-Policyd-Weight: using cached result; rate: -8.1
Ich habe eine Frage zur Verwendung meines Artikels oder ich möchte dem Verkäufer eine Nachricht senden: autoteilekaenguruha17 hat eine Nachricht zu Artikelnummer 30125986301
############################ MAILHEADER ENDE ##################
Der Benutzer des PHP Scriptes lässt sich bei der Deutschen Telekom verorten.
Falls das jmd von Ebay lesen sollte, bitte legt diesen Idioten das Handwerk. Diese Spammerei mit den Phishing E-Mails nervt langsam.
Hochachtungsvoll
Yulos