OVH Community, your new community space.

SPAM an Email-Adresse die nur OVH hat!


denis
17.10.13, 13:29
Hab wohl auch so eine mail bekommen.
Allerdings hätte ich das dank Spamschutz ohne den Thread hier garnicht gemerkt.
So who cares.
tecsup
17.10.13, 12:21
Na dann warte ich mal auf Mails

ChrisX, lass dich nicht von Schnackern entmutigen. Du hattest Recht und den richtigen Riecher
NETONE
17.10.13, 07:46
Ich bekomme auch diesen mist. Und nur an Mailadressen die OVH bekannt sind. Grade eben angeblich von UPS. Das ist die 2. Mail auf 2 verschiedene Mailaddys die nur OVH kennt!!!!

invoiceCM0V9ORWJF23KX8PAP.PDF.exe Gelöscht: HEUR:Trojan.Win32.Generic 17.10.2013 08:36:52
ALiEn
17.10.13, 06:18
Zitat Zitat von ChrisX
Mittlerweile habe ich an 3 Adressen (2 davon kennt nur OVH), solche SPAM-Mails bekommen...

Betreffzeilen der 3 Mails:
Order Acknowledgement : JHDODDF514JHDODDF781
Order Acknowledgement : IKEMXM870IKEMXM116
Order Acknowledgement : GJNLLAM522GJNLLAM839
Kann ich auch bestätigen.
ChrisX
17.10.13, 06:09
Und die nächste Adresse mit Virenalarm die nur OVH hat...also für mich wäre das alles zu viel Zufall...da kann ich nicht mehr an Zufall glauben! Ansonsten müsste ich heute schon die Lottozahlen für Samstag wissen, dann wäre das in etwa vom Zufall her gleich... Also glaubt mir, dass es vom OVH Leak kommt, oder nicht

X-Kaspersky: Checking
Received: (qmail 24104 invoked by uid 110); 16 Oct 2013 17:20:02 +0200
Delivered-To: **************@*****.***
Received: (qmail 24100 invoked from network); 16 Oct 2013 17:20:02 +0200
Received: from ns2.trigger-h.net (HELO mail.isobar.co.za) (41.72.152.212) by ************** with (AES256-SHA encrypted) SMTP; 16 Oct 2013 17:20:00 +0200
Received: from www-data by mail.isobar.co.za with local (Exim 4.69) (envelope-from ) id 1VWNYW-0003bj-Ao for ***********@******.***; Wed, 16 Oct 2013 11:38:16 +0200
To: <**********@******.***>
Subject: Suspicious part has been quarantined : UPS Delivery Notification Tracking Number : IEEFKII512IEEFKII206
Date: Wed, 16 Oct 2013 11:38:16 +0200
From: "UPS Quantum View"
Message-ID: <2b2d7e472ebf8c4799c9246939f89f4e@localhost.locald omain>
X-Priority: 3
X-Mailer: PHPMailer 5.1 (phpmailer.sourceforge.net)
Message-ID:
Received-SPF: pass (google.com: domain of no-replay@ups.com does designate 192.123.32.83 as permitted sender) client-ip=192.123.32.83;
Received: from 192.123.32.83 (EHLO mailer.ups.com) (192.123.32.83)
Received: by mailer.ups.com (Postfix, from userid 1000) id A838D7824B;
X-Mailer: MIME-tools 5.41 (Entity 5.404)
X-MimeOLE: Produced By Microsoft MimeOLE V6.1.7601.17609
X-Message-Status: s1:0
X-SID-PRA: UPS Quantum View
X-SID-Result: TempError
Conversion-With-Loss: Yes
Sensitivity: 3
Expiry-Date: Never
X-MSMail-Priority: High
X-Originating-Email: UPS Quantum View
x-originating-ip: [92.123.32.83]
X-iGspam-global: Unsure, spamicity=0.748491 - pe=7.48e-01 - pf=0.748491 - pg=0.748491
X-oemPro-CSID: MjgxXzI3NA==
Received: UPS Quantum View
Errors-To: UPS Quantum View
DomainKey-Status: good
Received-SPF: pass
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_01C5_01CECA94.39586CF0"
Sender: "www-data"
KS16G
16.10.13, 13:13
Ich fürchte, ChrisX wird recht haben.
Mir geht es seit einigen Tagen auch so, das Spam an die, ebenfalls nur OVH bekannte, Email-adresse kommt.
Mich juckt das nicht weiter, landen halt alle im spam und gehn ungelesen in den Müll.
Aber der zeitliche zusammenhang, genauso wie die absender (der 1. ist exakt identisch, der 3. unterscheidet sich in der IP des Sende-servers) legt den schluss nahe, das diese Spammer durch den Leak bei OVH an unsre Email-addys gekommen sind.
LG
KS16G
ChrisX
16.10.13, 12:49
Hi tecsup!

2 Email-Adressen laufen über meinen OVH-Rootserver und die entsprechenden Email-Konten wurden nicht direkt angelegt, sondern nach einem bestimmten/persönlichen Schema (so ähnlich wie von dir mit dem "+" beschrieben) bei OVH als Kontakt eingegeben und landen bei mir über einen Catchall.
Die andere Email-Adresse läuft über einen privaten Mailserver bei einem Kumpel zu Hause und ist, wie gesagt, auch nur bei OVH bekannt.

Und aus diesen genannten Gründen kann ich mir so sicher sein, dass ich den aktuellen Spam dem Leak bei OVH zu verdanken habe. Was kein aufregen oder sowas ist, sondern eine Feststellung und traurige Wahrheit...

MfG,
Chris
tecsup
16.10.13, 12:41
Wenn ich Spam an eine nur einem Anbieter / Person bekannte Email-Adresse erhalten würde, würde es mich auch wundern.

Leider muss man hier wohl mehrere Aspekte in Betracht ziehen, als bisher getan: Auch wenn OVH ein Leak hatte, so scheinst du bisher der einzige zu sein, dem entweder der Spam aufgefallen ist oder der welchen erhalten hat.
Es muss also nicht der OVH-Hack gewesen sein, der deine Email-Adresse verraten hat. Klar, ist deine Email bei einem großen Anbieter wie z.B. Gmail registriert, lohnt es sich natürlich zu Bruteforcen und einfach Emails an random strings zu senden.

Ein Fall der hier bis jetzt jedoch nicht aufgeführt wurde, ist die Möglichkeit, dass dein Email-Anbieter gehackt wurde oder dein Email-Login. Frag doch gegebenenfalls mal dort nach ungewöhnlichen Aktivitäten auf deinem Konto, falls du diese nicht einsehen kannst.

Interessant wäre auch das Email-Format, welches du verwendest. Solltest du beispielsweise eine Gmail-Adresse verwenden und ein "+" gefolgt von einer Zeichenkette drin haben und die Email auch an genau diese Adresse gehen, würde ich bruteforce ausschließen. (Emails an +asdf0123@gmail.com kommen ebenfalls bei @gmail.com an).
ChrisX
16.10.13, 11:44
Deshalb meide ich es aktiv an den meisten Foren teilzunehmen... Danke für die Erinnerung und einen wunderschönen restlichen Tag
EvilMoe
16.10.13, 11:36
Warum sollte es kein Zufall sein? Nimmst einen x belieben String, dazu eine vergebene Domain und schaust ob die E-Maill angenommen wird vom Mailserver, das ist kein Aufwand.

Man kann sich auch um "nichts" einen Kopf machen

Vielleicht interessiert es ja doch den ein oder anderen, ansonsten kann der Thread geschlossen werden, bevor hier noch mehr so geistreiche Kommentare > kommen ;-)
Sagt jemand der sich über Spam wundert?
ChrisX
16.10.13, 11:20
Hi EvilMoe,

echt? Spam bekommt man einfach so? Wow...wer hätte das gedacht :-D

Spaß beiseite. Natürlich kann man Spam an beliebige Adressen auch mal einfach so bekommen. aber nicht an diese speziellen Email-Adressen mit besonderem Namen für die Zuordnung zu OVH und Domains. Das ist also garantiert KEIN Zufall!

Und ja ich verwende Spamfilter und ja es ist auch kein Weltuntergang. Ich hatte den Daten Leak bei OVH vergessen, sagte ja schon, unschön aber eben leider nicht zu ändern...

Vielleicht interessiert es ja doch den ein oder anderen, ansonsten kann der Thread geschlossen werden, bevor hier noch mehr so geistreiche Kommentare kommen ;-)

MfG,
Chris
EvilMoe
16.10.13, 11:16
Spam kannst du an jede xyz Adresse bekommen. Das heißt nicht das sie öffentlich bekannt sein muss. Es wird einfach "geraten" und verschickt. Mehr nicht.
Dagegen kannst du nichts tun, dafür gibt es Spamfilter.
ChrisX
16.10.13, 11:13
Hallo tester,

a) Mailserver Sicherheitslücke - NEIN (sonst würden nicht nur OVH Mailadressen den SPAM bekommen, sondern auch die vielen anderen)
b) Brute Force - LOL - NEIN
c) Daten Leak von OVH - vermutlich...leider...sehr unschön

MfG,
Chris
tester
16.10.13, 10:41
evtl. der Mailserver eine Sicherheitslücke oder die adressen per brute force herausgefunden?
oder der Daten leak seitens OVH... siehe tecsup's post
ChrisX
16.10.13, 10:22
Hallo Marius,

wie bereits geschrieben hat 2 dieser 3 Adressen nur OVH und sonst niemand. Und auch nicht die OVH Mailingliste oder sonst irgendwas/irgendwer. Diese beiden Adressen sind nur im OVH Manager eingetragen als Kontaktadressen und sonst nichts und niemandem bekannt!

MfG,
Chris
marius
16.10.13, 10:09
Hab solche mails nicht bekommen.
Du hast die Adressen aber nicht zufällig bei einer mailingliste angegeben oder?
ChrisX
16.10.13, 05:55
Guten Morgen!

Von dem Hack habe ich gelesen. Den SSH Key gibts auf meinem Server schon lange nicht mehr und die Passwörter wurden auch geändert.

Mittlerweile habe ich an 3 Adressen (2 davon kennt nur OVH), solche SPAM-Mails bekommen...

Betreffzeilen der 3 Mails:
Order Acknowledgement : JHDODDF514JHDODDF781
Order Acknowledgement : IKEMXM870IKEMXM116
Order Acknowledgement : GJNLLAM522GJNLLAM839


Header:

Received: (qmail 19065 invoked from network); 15 Oct 2013 13:47:50 +0200
Received: from ************** (HELO *************) (91.10.61.42)
by ************* with SMTP; 15 Oct 2013 13:47:46 +0200
Received: from [*************] by ***
((***************************************; Tue, 15 Oct 2013 13:47:43 +0200
Received: from [*************] by ***
(****************************************; Tue, 15 Oct 2013 13:47:42 +0200
Received: from gggomobile.com (gggomobile.com [127.0.0.1])
by gggomobile.com (8.13.8/8.13.8) with ESMTP id r9FBleTC022014
for <***************>; Tue, 15 Oct 2013 07:47:40 -0400
Received: (from jboss@localhost)
by gggomobile.com (8.13.8/8.13.8/Submit) id r9FBldqe021998;
Tue, 15 Oct 2013 07:47:39 -0400
X-Authentication-Warning: gggomobile.com: jboss set sender to no-replay@biospluslifes.com using -f
To: ******************
Subject: Order Acknowledgement : JHDODDF514JHDODDF781
Date: Tue, 15 Oct 2013 07:47:39 -0400
From: Rebecca Morgan
Message-ID: <5be292b8918ab713f228a0540e3adf72@localhost.locald omain>
X-Priority: 3
X-Mailer: PHPMailer 5.1 (phpmailer.sourceforge.net)
Received-SPF: pass (google.com: domain of no-replay@biospluslifes.com does designate 192.123.32.83 as permitted sender) client-ip=192.123.32.83;
Received: from 192.123.32.83 (EHLO mailer.biospluslifes.com) (192.123.32.83)
Received: by mailer.biopluslife.com (Postfix, from userid 1000) id A838D7824B;
X-Mailer: MIME-tools 5.41 (Entity 5.404)
X-Message-Status: s1:0
X-SID-PRA: Rebecca Morgan
X-SID-Result: TempError
Conversion-With-Loss: Yes
Sensitivity: 3
Expiry-Date: Never
X-MSmail-Priority: High
X-Originating-Email: Rebecca Morgan
X-Originating-IP: [92.123.32.83]
X-iGspam-global: Unsure, spamicity=0.748491 - pe=7.48e-01 - pf=0.748491 - pg=0.748491
X-oemPro-CSID: MjgxXzI3NA==
Received: Rebecca Morgan
Errors-To: Rebecca.Morgan@gggomobile.com
DomainKey-Status: good
Received-SPF: pass
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="b1_5be292b8918ab713f228a0540e3adf72"

Received: (qmail 18815 invoked by uid 110); 15 Oct 2013 19:16:30 +0200
Delivered-To: ********************
Received: (qmail 18811 invoked from network); 15 Oct 2013 19:16:30 +0200
Received: from unknown (HELO NX.localdomain) (122.155.55.100)
by **************** with SMTP; 15 Oct 2013 19:16:27 +0200
Received: from NX (localhost.localdomain [127.0.0.1])
by NX.localdomain (Postfix) with ESMTP id 4B739254028A
for <**********************>; Wed, 16 Oct 2013 00:21:34 +0700 (ICT)
Received: (from root@localhost)
by NX (8.13.8/8.13.8/Submit) id r9FHLXw5023617;
Wed, 16 Oct 2013 00:21:33 +0700
To: **************************
Subject: Order Acknowledgement : IKEMXM870IKEMXM116
Date: Wed, 16 Oct 2013 00:21:33 +0700
From: Rebecca Morgan
Message-ID: <23a6a11321e49cd61d596dab3dece1ff@localhost.locald omain>
X-Priority: 3
X-Mailer: PHPMailer 5.1 (phpmailer.sourceforge.net)
Received-SPF: pass (google.com: domain of no-replay@biospluslifes.com does designate 192.123.32.83 as permitted sender) client-ip=192.123.32.83;
Received: from 192.123.32.83 (EHLO mailer.biospluslifes.com) (192.123.32.83)
Received: by mailer.biopluslife.com (Postfix, from userid 1000) id A838D7824B;
X-Mailer: MIME-tools 5.41 (Entity 5.404)
X-Message-Status: s1:0
X-SID-PRA: Rebecca Morgan
X-SID-Result: TempError
Conversion-With-Loss: Yes
Sensitivity: 3
Expiry-Date: Never
X-MSmail-Priority: High
X-Originating-Email: Rebecca Morgan
X-Originating-IP: [92.123.32.83]
X-iGspam-global: Unsure, spamicity=0.748491 - pe=7.48e-01 - pf=0.748491 - pg=0.748491
X-oemPro-CSID: MjgxXzI3NA==
Received: Rebecca Morgan
Errors-To: Rebecca.Morgan@NX.localdomain
DomainKey-Status: good
Received-SPF: pass
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="b1_23a6a11321e49cd61d596dab3dece1ff"

Received: (qmail 11426 invoked from network); 16 Oct 2013 05:13:12 +0200
Received: from static-24-243-226-77.ipcom.comunitel.net (HELO mercadoactual.es) (77.226.243.24)
by ************** with (DHE-RSA-AES256-SHA encrypted) SMTP; 16 Oct 2013 05:13:12 +0200
Received: from mercadoactual.es (SRV-WWW2 [127.0.0.1])
by mercadoactual.es (8.14.4/8.14.4) with ESMTP id r9G3DAwB019554
for <****************>; Wed, 16 Oct 2013 05:13:10 +0200
Received: (from root@localhost)
by mercadoactual.es (8.14.4/8.14.4/Submit) id r9G3DAZY019405;
Wed, 16 Oct 2013 05:13:10 +0200
To: *********************
Subject: Order Acknowledgement : GJNLLAM522GJNLLAM839
X-PHP-Originating-Script: 0:class.phpmailer.php
Date: Wed, 16 Oct 2013 05:13:10 +0200
From: Rebecca Morgan
Message-ID: <84711daad2c04116113a61bb4188b6f0@localhost.locald omain>
X-Priority: 3
X-Mailer: PHPMailer 5.1 (phpmailer.sourceforge.net)
Received-SPF: pass (google.com: domain of no-replay@biospluslifes.com does designate 192.123.32.83 as permitted sender) client-ip=192.123.32.83;
Received: from 192.123.32.83 (EHLO mailer.biospluslifes.com) (192.123.32.83)
Received: by mailer.biopluslife.com (Postfix, from userid 1000) id A838D7824B;
X-Mailer: MIME-tools 5.41 (Entity 5.404)
X-Message-Status: s1:0
X-SID-PRA: Rebecca Morgan
X-SID-Result: TempError
Conversion-With-Loss: Yes
Sensitivity: 3
Expiry-Date: Never
X-MSmail-Priority: High
X-Originating-Email: Rebecca Morgan
X-Originating-IP: [92.123.32.83]
X-iGspam-global: Unsure, spamicity=0.748491 - pe=7.48e-01 - pf=0.748491 - pg=0.748491
X-oemPro-CSID: MjgxXzI3NA==
Received: Rebecca Morgan
Errors-To: Rebecca.Morgan@mercadoactual.es
DomainKey-Status: good
Received-SPF: pass
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="b1_84711daad2c04116113a61bb4188b6f0"
Gruß,
Chris
Taiga-san
15.10.13, 20:37
Bitte poste mal die E-Mail-Header. Anleitungen für diverse Programme findest du unter http://spamcop.net/fom-serve/cache/19.html
tecsup
15.10.13, 16:57
Wäre interessant, wenn sich hier ein erstes Opfer des OVH-Hacks meldet. Siehe: http://forum.ovh.de/showthread.php?t=12015
marius
15.10.13, 13:19
Wie war der genau Betreff der mail?
ChrisX
15.10.13, 13:04
Hallo,

ich habe eben eine SPAM-Mail mit einem "bösen Anhang" auf eine Email-Adresse bekommen, die außer OVH niemand hat!

OVH...sollte ich etwas wissen? Gingen euch Kundendaten "verloren"? Sonstige Infos? Haben noch mehr diesen oder anderen Spam bekommen?

Gruß,
Chris


------------------------------------------------------------------------
Anhang: invoicBQW8............doc

Email-Inhalt:
We acknowledge & confirm your order for ***.ovh@***.** , as follows:
Find herewith the attached order invoice JHDODDF514JHDODDF781 .

Regards,
Patricia Richard
Sales Co-ordinator
Estates Industry PVT. LTD.