eBay

Hallo

ich habe einen Server ausfingig gemacht, welcher für das Versenden von Phishing Mails verwendet wird.

Im Header einer solchen e-Mail fanden sich Spuren auf folgenden Server mit eien php-Mailer.

http://oovavootesting.co.uk/s.php

Das Script beiie nicht benutzen, den auch die IP-Adresse des Benutzers wird im Header der Phishing - E-Mail abgelegt.

An wen kann man sich hier nun wenden? 

Beim Ebay-Service ließt eh kein Mensch mehr mit.

Da der Server im UK steht hat man es auch schwer der Registrar über Whois aufzulösen.

################## MAILHEADER  ##########################

X-Spam-Level: **

Received: from xsmail-dmz9.prod.vfnet.de (LHLO smtp-03.vodafone.de) (10.215.254.40) by xsmbox11.prodml.vfnet.de with LMTP; Wed, 7 Oct 2015 13:35:53 +0200 (CEST)

Received: from localhost (localhost.localdomain [127.0.0.1]) by smtp-03.vodafone.de (Postfix) with ESMTP id 25D43E55DA for <masei1202@vodafone.de>; Wed,  7 Oct 2015 13:35:53 +0200 (CEST)

Received: from smtp-03.vodafone.de ([127.0.0.1]) by localhost (xsmail-dmz9.prod.vfnet.de [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id bYAkcnySgJco for <masei1202@vodafone.de>; Wed,  7 Oct 2015 13:35:47 +0200 (CEST)

Received: from mail-out1.kundencontroller.de (mail-out1.kundencontroller.de [85.31.184.34]) by smtp-03.vodafone.de (Postfix) with ESMTPS id DE635E55D1 for <masei1202@vodafone.de>; Wed,  7 Oct 2015 13:35:47 +0200 (CEST)

Received: from airwave.kundencontroller.de (airwave.kundencontroller.de [85.31.185.15]) (using TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (No client certificate requested) by mail-out1.kundencontroller.de (Postfix) with ESMTPS id 3CEA1180046A for <masei1202@vodafone.de>; Wed,  7 Oct 2015 13:35:47 +0200 (CEST)

Received: from server1.thehostingserver.co.uk (server1.thehostingserver.co.uk [212.38.168.21]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (No client certificate requested) by airwave.kundencontroller.de (Postfix) with ESMTPS id BA99B307C179 for <inhaber@yulos.de>; Wed,  7 Oct 2015 13:35:38 +0200 (CEST)

Received: from gbsteels by server1.thehostingserver.co.uk with local (Exim 4.85) (envelope-from <gbsteels@server1.thehostingserver.co.uk>) id 1ZjlGU-0001Fv-Ee for inhaber@yulos.de; Wed, 07 Oct 2015 10:44:02 +0100

X-Isppro-Greylist: delayed 6699 seconds by greylisting service; Wed, 07 Oct 2015 13:35:41 CEST

X-Dnswl: No

X-Antiabuse: This header was added to track abuse, please include it with any abuse report

X-Antiabuse: Primary Hostname - server1.thehostingserver.co.uk

X-Antiabuse: Original Domain - yulos.de

X-Antiabuse: Originator/Caller UID/GID - [542 553] / [47 12]

X-Antiabuse: Sender Address Domain - server1.thehostingserver.co.uk

Return-Path: gbsteels@server1.thehostingserver.co.uk

Mime-Version: 1.0

X-Virus-Scanned: amavisd-new at vodafone.de

Message-Id: <130746999999.2324@server1.thehostingserver.co.uk>

X-Amavis-Alert: BAD HEADER SECTION, Non-encoded 8-bit data (char F6 hex): Subject: ...eines Artikels oder ich m\366chte dem Verk\344u[...]

X-Spam-Score: 2.667

X-Php-Script: oovavootesting.co.uk/s.php for 84.181.1.44

Content-Transfer-Encoding: 8bit

X-Spam-Flag: NO

X-Spam-Status: No, score=2.667 tagged_above=-10 required=5 tests=[BAYES_00=-0.001, HTML_MESSAGE=0.001, HTML_MIME_NO_HTML_TAG=0.377, MIME_HTML_ONLY=0.723, SUBJECT_NEEDS_ENCODING=0.049, SUBJ_ILLEGAL_CHARS=1.518] autolearn=no

Content-Type: text/html

X-Get-Message-Sender-Via: server1.thehostingserver.co.uk: authenticated_id: gbsteels/primary_hostname/system user

X-Policyd-Weight: using cached result; rate: -8.1

Ich habe eine Frage zur Verwendung meines Artikels oder ich möchte dem Verkäufer eine Nachricht senden: autoteilekaenguruha17 hat eine Nachricht zu Artikelnummer 30125986301

############################  MAILHEADER ENDE  ##################

Der Benutzer des PHP Scriptes lässt sich bei der Deutschen Telekom verorten.

Falls das jmd von Ebay lesen sollte, bitte legt diesen Idioten das Handwerk. Diese Spammerei mit den Phishing E-Mails nervt langsam.

Hochachtungsvoll

Yulos