Hallo ich habe einen Server ausfingig gemacht, welcher für das Versenden von Phishing Mails verwendet wird. Im Header einer solchen e-Mail fanden sich Spuren auf folgenden Server mit eien php-Mailer. http://oovavootesting.co.uk/s.php Das Script beiie nicht benutzen, den auch die IP-Adresse des Benutzers wird im Header der Phishing - E-Mail abgelegt. An wen kann man sich hier nun wenden? Beim Ebay-Service ließt eh kein Mensch mehr mit. Da der Server im UK steht hat man es auch schwer der Registrar über Whois aufzulösen. ################## MAILHEADER ########################## X-Spam-Level: ** Received: from xsmail-dmz9.prod.vfnet.de (LHLO smtp-03.vodafone.de) (10.215.254.40) by xsmbox11.prodml.vfnet.de with LMTP; Wed, 7 Oct 2015 13:35:53 +0200 (CEST) Received: from localhost (localhost.localdomain [127.0.0.1]) by smtp-03.vodafone.de (Postfix) with ESMTP id 25D43E55DA for <masei1202@vodafone.de>; Wed, 7 Oct 2015 13:35:53 +0200 (CEST) Received: from smtp-03.vodafone.de ([127.0.0.1]) by localhost (xsmail-dmz9.prod.vfnet.de [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id bYAkcnySgJco for <masei1202@vodafone.de>; Wed, 7 Oct 2015 13:35:47 +0200 (CEST) Received: from mail-out1.kundencontroller.de (mail-out1.kundencontroller.de [85.31.184.34]) by smtp-03.vodafone.de (Postfix) with ESMTPS id DE635E55D1 for <masei1202@vodafone.de>; Wed, 7 Oct 2015 13:35:47 +0200 (CEST) Received: from airwave.kundencontroller.de (airwave.kundencontroller.de [85.31.185.15]) (using TLSv1.2 with cipher DHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (No client certificate requested) by mail-out1.kundencontroller.de (Postfix) with ESMTPS id 3CEA1180046A for <masei1202@vodafone.de>; Wed, 7 Oct 2015 13:35:47 +0200 (CEST) Received: from server1.thehostingserver.co.uk (server1.thehostingserver.co.uk [212.38.168.21]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (No client certificate requested) by airwave.kundencontroller.de (Postfix) with ESMTPS id BA99B307C179 for <inhaber@yulos.de>; Wed, 7 Oct 2015 13:35:38 +0200 (CEST) Received: from gbsteels by server1.thehostingserver.co.uk with local (Exim 4.85) (envelope-from <gbsteels@server1.thehostingserver.co.uk>) id 1ZjlGU-0001Fv-Ee for inhaber@yulos.de; Wed, 07 Oct 2015 10:44:02 +0100 X-Isppro-Greylist: delayed 6699 seconds by greylisting service; Wed, 07 Oct 2015 13:35:41 CEST X-Dnswl: No X-Antiabuse: This header was added to track abuse, please include it with any abuse report X-Antiabuse: Primary Hostname - server1.thehostingserver.co.uk X-Antiabuse: Original Domain - yulos.de X-Antiabuse: Originator/Caller UID/GID - [542 553] / [47 12] X-Antiabuse: Sender Address Domain - server1.thehostingserver.co.uk Return-Path: gbsteels@server1.thehostingserver.co.uk Mime-Version: 1.0 X-Virus-Scanned: amavisd-new at vodafone.de Message-Id: <130746999999.2324@server1.thehostingserver.co.uk> X-Amavis-Alert: BAD HEADER SECTION, Non-encoded 8-bit data (char F6 hex): Subject: ...eines Artikels oder ich m\366chte dem Verk\344u[...] X-Spam-Score: 2.667 X-Php-Script: oovavootesting.co.uk/s.php for 84.181.1.44 Content-Transfer-Encoding: 8bit X-Spam-Flag: NO X-Spam-Status: No, score=2.667 tagged_above=-10 required=5 tests=[BAYES_00=-0.001, HTML_MESSAGE=0.001, HTML_MIME_NO_HTML_TAG=0.377, MIME_HTML_ONLY=0.723, SUBJECT_NEEDS_ENCODING=0.049, SUBJ_ILLEGAL_CHARS=1.518] autolearn=no Content-Type: text/html X-Get-Message-Sender-Via: server1.thehostingserver.co.uk: authenticated_id: gbsteels/primary_hostname/system user X-Policyd-Weight: using cached result; rate: -8.1 Ich habe eine Frage zur Verwendung meines Artikels oder ich möchte dem Verkäufer eine Nachricht senden: autoteilekaenguruha17 hat eine Nachricht zu Artikelnummer 30125986301 ############################ MAILHEADER ENDE ################## Der Benutzer des PHP Scriptes lässt sich bei der Deutschen Telekom verorten. Falls das jmd von Ebay lesen sollte, bitte legt diesen Idioten das Handwerk. Diese Spammerei mit den Phishing E-Mails nervt langsam. Hochachtungsvoll Yulos
... Mehr anzeigen
9tgCHU~$(KGrHqIH-DoEsK+HSKe)BLFQ5hoEu!~~_7.JPG "devlinvanhorn"){kind=avatar}
