Google schickt Mails, dass diverse Domains für Phising missbraucht sein
_könnten_.

Surfe ich zu dieser Seite, so existiert die Seite nicht, Fehler 404. Ich
verstehe nicht, was das für einen Sinn machen soll. Prüft Google nicht, ob
die Seite überhaupt existiert, d.h. mit 200 antwortet?

Verwendet wird immer

domain.tld/~dbean/components/com_letterman/images/hsbc.co.uk12personal/httpwww.hsbc.co.uk12personalcredit-
cards;jsessionid=0000pDFvvK08lyoIpQOFOAhC_Ct11j74l 29q/

# find / -name *dbean*
# find / -name *com_letterman*

ergibt nichts.

# grep -r dbean /

ergibt auch nichts, falls da irgendwie mit rewrite gearbeitet werden sollte.

Irgendwelche Tipps, das ich noch prüfen könnte?

Ich kann mir schwer vorstellen, dass der Host wirklich übernommen wurde und
frage mich vor allem über den Sinn solcher Aktionen. Natürlich kann man von
einer fremden Seite einen ungültigen Link setzen, der Begriffe enthält, die
verdächtig sind. Aber was hat man davon?

Al


F'up de.comm.abuse (bei Bedarf ändern)

Hallo, A.,

noreply-address-delete-spam-by-root*...pinguin.uni.cc meinte am 29.10.09 in de.comm.abuse zum Thema Unverständliche Phising-Warnung auf nicht existierende Seite:

> Google schickt Mails, dass diverse Domains für Phising missbraucht
> sein _könnten_.

Sicher, dass diese Hinweise von Google kommen?
Ich habe nichts dergleichen bekommen.

Viele Gruesse!
Helmut

Helmut Hullen wrote:

> noreply-address-delete-spam-by-root*...pinguin.uni.cc meinte am
> 29.10.09 in de.comm.abuse zum Thema Unverständliche Phising-Warnung auf
> nicht existierende Seite:
>
>> Google schickt Mails, dass diverse Domains für Phising missbraucht
>> sein _könnten_.
>
> Sicher, dass diese Hinweise von Google kommen?
> Ich habe nichts dergleichen bekommen.

Gute Frage, aber ich denke schon, dass das Mail echt ist. Es wäre gut, wenn
so etwas auch bei den Webmaster-Tools erwähnt würde. Dann bräuchte man sich
über die Echtheit keine Gedanken machen. Die Mailheader sehen ok aus.

Jedenfalls war eine Seite nach einem Report bei
http://sb.google.com/safebrowsing/report_error/ innerhalb eines Tages
ausgetragen. Zugriff auf den ungültigen Link erfolgte _nach dem Warnmail_ 2x
aus Indien, davor fand ich keinen Zugriff auf die ungültige Seite.

Solange die Seite nicht ausgetragen ist, kommt:
Als Betrugsversuch gemeldete Website!
Die Website auf **** wurde als Betrugsversuch gemeldet und gemäß Ihrer
Sicherheitseinstellungen blockiert
Mit Betrugsseiten versuchen Kriminelle Sie dazu zu bringen, persönliche oder
finanzielle Daten preiszugeben. Dabei ahmen sie in betrügerischer Absicht
Webseiten oder E-Mails nach, denen Sie eventuell vertrauen.
Falls Sie hier persönliche Daten eingeben, müssen Sie mit
Identitätsdiebstahl oder sonstigem Betrug rechnen.

Klickt man auf "Diese Warnung ignorieren", kommt eine 404-Seite.
Page not found
The requested page could not be found.
oder ähnlich

Ich erahne nicht im entferntesten, was so ein ungültiger Link für einen Sinn
haben kann, außer mich zu ärgern ;-)

Al

Al,
> Gute Frage, aber ich denke schon, dass das Mail echt ist. Es wäre gut,
> wenn
> so etwas auch bei den Webmaster-Tools erwähnt würde. Dann bräuchte man
> sich
> über die Echtheit keine Gedanken machen. Die Mailheader sehen ok aus.

Google hat bisher noch nie irgendwelche E-Mails verschickt. Auch nicht an
alle Leute, welche ich rundum befragt habe. Somit fängt die schlechte Sache
schon mit der Mail an...

> Klickt man auf "Diese Warnung ignorieren", kommt eine 404-Seite.
> Page not found
> The requested page could not be found.
> oder ähnlich

Und somit hast Du Dir dann gleich mal einen Trojaner eingefangen. Oder
sonstwas schlechtes. Oder Du bist jetzt definitv als "vorhanden"
registriert. Auch eine 404er- Seite kann man fälschen und gleich darauf
etwas verstecken.
Peter

Peter Koerber wrote:

> Al,
>> Gute Frage, aber ich denke schon, dass das Mail echt ist. Es wäre gut,
>> wenn
>> so etwas auch bei den Webmaster-Tools erwähnt würde. Dann bräuchte man
>> sich
>> über die Echtheit keine Gedanken machen. Die Mailheader sehen ok aus.
>
> Google hat bisher noch nie irgendwelche E-Mails verschickt. Auch nicht an
> alle Leute, welche ich rundum befragt habe. Somit fängt die schlechte
> Sache schon mit der Mail an...


Return-Path:
<3dc7oSgcKCncijmZkgtbjjbgZ.XjhkjnohVnoZmWjbiZm.kmd q.Vo*phishing.bounces.google.com>
X-Original-To: $localuser*localhost.local.localdomain.tld
Delivered-To: $localuser*localhost.local.localdomain.tld
Received: from localhost (localhost [127.0.0.1])
by sv.local.localdomain.tld (Postfix) with ESMTP id BCCE942D9F4
for <$localuser*localhost.local.localdomain.tld>; Thu, 29 Oct 2009
00:15:18 +0100 (CET)
X-Virus-Scanned: amavisd-new at local.localdomain.tld
Authentication-Results: sv.local.localdomain.tld (amavisd-new); dkim=pass
header.i=*google.com
Authentication-Results: sv.local.localdomain.tld (amavisd-new);
domainkeys=pass
header.from=noreply*google.com
Received: from sv.local.localdomain.tld ([127.0.0.1])
by localhost (sv.local.localdomain.tld [127.0.0.1]) (amavisd-new,
port 10024)
with ESMTP id Rm4CVSAbWaIF for
<$localuser*localhost.local.localdomain.tld>;
Thu, 29 Oct 2009 00:15:12 +0100 (CET)
Received: from sv.local.localdomain.tld (localhost [127.0.0.1])
by sv.local.localdomain.tld (Postfix) with ESMTP id C824D2BDC09
for <$localuser*localhost>; Thu, 29 Oct 2009 00:15:12 +0100 (CET)
Delivery-date: Thu, 29 Oct 2009 00:06:32 +0100
Received: from mail.utanet.$ [213.90.36.103]
by sv.local.localdomain.tld with POP3 (fetchmail-6.3.9-rc2 polling
mail.utanet.$ account $username)
for <$localuser*localhost> (single-drop); Thu, 29 Oct 2009 00:15:12
+0100 (CET)
Received: from solitaire.xoc.tele2net.at ([213.90.36.15])
by mary.xoc.tele2net.at with esmtp (Exim 4.69)
(envelope-from
<3dc7oSgcKCncijmZkgtbjjbgZ.XjhkjnohVnoZmWjbiZm.kmd q.Vo*phishing.bounces.google.com>)
id 1N3Hb6-0006Zu-KV
for $localpart*utanet.$; Thu, 29 Oct 2009 00:06:32 +0100
Received: from m1.dnsix.com ([66.11.225.176])
by solitaire.xoc.tele2net.at with esmtp (Exim 4.69)
(envelope-from
<3dc7oSgcKCncijmZkgtbjjbgZ.XjhkjnohVnoZmWjbiZm.kmd q.Vo*phishing.bounces.google.com>)
id 1N3Hb5-0003U2-KF
for $localpart*utanet.$; Thu, 29 Oct 2009 00:06:32 +0100
Received: from [209.85.222.227] (helo=mail-pz0-f227.google.com)
by m1.dnsix.com with esmtp (Exim 4.63)
(envelope-from
<3dc7oSgcKCncijmZkgtbjjbgZ.XjhkjnohVnoZmWjbiZm.kmd q.Vo*phishing.bounces.google.com>)
id 1N3Hb4-0002CR-R9
for postmaster*angebliche.phishing.domain; Wed, 28 Oct 2009
16:06:30 -0700
Received: by pzk24 with SMTP id 24so371179pzk.11
for <postmaster*angebliche.phishing.domain>; Wed, 28 Oct 2009
16:06:29 -0700 (PDT)
Received-SPF: neutral (solitaire.xoc.tele2net.at: domain of
3dc7oSgcKCncijmZkgtbjjbgZ.XjhkjnohVn...ces.google.com
is neutral about designating 66.11.225.176 as permitted sender)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=google.com; s=beta;
h=domainkey-signature:mime-version:auto-submitted:received:message-
id
:date:subject:from:to:content-type;
bh=4c5t09T4RP/cuZbb7N0jWmErmFmdbKncIEznpX/1HAA=;
b=hl7pZH/+M61gOw+JN6KJfR8kqG4OXt8OtmDIannysmu/LLYprX3JUzmJ9w7Ch6gjxD
edfFA4Cxus/eDtcAARjA==
DomainKey-Signature: a=rsa-sha1; c=nofws;
d=google.com; s=beta;
h=mime-version:auto-submitted:message-id:date:subject:from:to
:content-type;
b=uhkkRsNvNi6hPVbMFeRqlU1e/qRO1Pm3cVW/oOx2oUSUNZERomyYqKS7GK6OXzBh7k
B8ZLi7eLNzEp3HT4yl6w==
MIME-Version: 1.0
Auto-Submitted: auto-generated
Received: by 10.142.74.4 with SMTP id w4mr2363299wfa.5.1256771189788; Wed,
28
Oct 2009 16:06:29 -0700 (PDT)
Message-ID: <001636e1fbb054d317047706d8d5*google.com>
Date: Wed, 28 Oct 2009 23:06:29 +0000
Subject: Phishing notification regarding angebliche.phishing.domain
From: noreply*google.com
To: abuse*angebliche.phishing.domain,
admin*angebliche.phishing.domain,
administrator*angebliche.phishing.domain,
contact*angebliche.phishing.domain,
info*angebliche.phishing.domain,
postmaster*angebliche.phishing.domain,
support*angebliche.phishing.domain,
webmaster*angebliche.phishing.domain
Content-Type: multipart/alternative;
boundary=001636e1fbb054d307047706d8d2
X-DCC-UTA-Metrics: solitaire.xoc.tele2net.at 32731; Body=1 Fuz1=1 Fuz2=1
X-TELE2-DKIM-Check: header.i=*google.com result:good
X-Virus-Scanned: Yes, on solitaire.xoc.tele2net.at
X-Spam-Score-Int: 30
X-Spam-Checker: Spamassassin 3.2.5 on solitaire.xoc.tele2net.at
X-TELE2-Spam-Relay-Countries: US US
X-UIDL: J\B!!(/d"!1mM"!Q;o"!
Status: R
X-Status: N
X-KMail-EncryptionState:
X-KMail-SignatureState:
X-KMail-MDN-Sent:

Dear site owner or webmaster of angebliche.phishing.domain,

We recently discovered that some pages on your site look like a probable
phishing attack, in which users are encouraged to give up sensitive
information such as login credentials or banking information. We have begun
showing a warning page to users who visit this site in certain browsers
that receive anti-phishing data from Google, as well as users redirected to
this site from various Google properties.

Below are one or more example URLs on your site which appear to be part of
a phishing attack:

http://www.angebliche.phishing.domai...ersonalcredit-
cards;jsessionid=0000pDFvvK08lyoIpQOFOAhC_Ct11j74l 29q/

Here is a link to a sample warning page:
http://www.google.com/interstitial?u...ersonalcredit-
cards%3Bjsessionid%3D0000pDFvvK08lyoIpQOFOAhC_Ct11 j74l29q/

We strongly encourage you to investigate this immediately to protect users
who are being directed to a suspected phishing attack being hosted on your
web site. Although some sites intentionally host such attacks, in many
cases the webmaster is unaware because:

1) the site was compromised
2) the site doesn't monitor for malicious user-contributed content

If your site was compromised, it's important to not only remove the content
involved in the phishing attack, but to also identify and fix the
vulnerability that enabled such content to be placed on your site. We
suggest contacting your hosting provider if you are unsure of how to
proceed.

Once you've secured your site, and removed the content involved in the
suspected phishing attack, or if you believe we have made an error and this
is not actually a phishing attack, you can request that the warning be
removed by visiting
http://sb.google.com/safebrowsing/report_error/
and reporting an "incorrect forgery alert." We will review this request and
take the appropriate actions.

Sincerely,
Google Search Quality Team




>> Klickt man auf "Diese Warnung ignorieren", kommt eine 404-Seite.
>> Page not found
>> The requested page could not be found.
>> oder ähnlich
>
> Und somit hast Du Dir dann gleich mal einen Trojaner eingefangen. Oder
> sonstwas schlechtes. Oder Du bist jetzt definitv als "vorhanden"
> registriert. Auch eine 404er- Seite kann man fälschen und gleich darauf
> etwas verstecken.

Als was vorhanden? Die Domain exisitiert? Ich bin mir jedenfalls sicher,
dass ich auf einer Google-Seite die URL ausgetragen habe.

Hmmh,

Die Warnseite führt je nach Browser zu diesen Links
http://www.mozilla.com/en-US/firefox...ng-protection/
http://help.opera.com/Linux/10.00/de...rotection.html

Wenn du willst, schicke ich dir das Mail. Erwarte aber, dass du die Domain
vertraulich behandelst.

Al

On this special day, A. Bogner wrote:

> Received: from m1.dnsix.com ([66.11.225.176])
> by solitaire.xoc.tele2net.at with esmtp (Exim 4.69)
> (envelope-from
> <3dc7oSgcKCncijmZkgtbjjbgZ.XjhkjnohVnoZmWjbiZm.kmd q.Vo*phishing.bounces.google.com>)
> id 1N3Hb5-0003U2-KF
> for $localpart*utanet.$; Thu, 29 Oct 2009 00:06:32 +0100
> Received: from [209.85.222.227] (helo=mail-pz0-f227.google.com)
> by m1.dnsix.com with esmtp (Exim 4.63)
> (envelope-from
> <3dc7oSgcKCncijmZkgtbjjbgZ.XjhkjnohVnoZmWjbiZm.kmd q.Vo*phishing.bounces.google.com>)
> id 1N3Hb4-0002CR-R9
> for postmaster*angebliche.phishing.domain; Wed, 28 Oct 2009
> 16:06:30 -0700

Die Google-Zeile scheint erst einmal zu stimmen (IP-Nummer passt;
Zeitzone kommt auch hin), aber wieso kommt danach eine Station namens
DNSIX? Wenn sich DNSIX erklären lässt, dürfte die Mail authentisch
sein, ansonsten ist die Google-Received-Zeile hinein gefälscht worden.


Gabriele Neukam

Gabriele.Spamfighter.Neukam*t-online.de

--
If everybody started to do what they think should be done for the
common
good, democracy would not exist anymore.
-
Guillermito in alt.comp.virus

Gabriele Neukam wrote:

>
> On this special day, A. Bogner wrote:
>
>> Received: from m1.dnsix.com ([66.11.225.176])
>> by solitaire.xoc.tele2net.at with esmtp (Exim 4.69)
>> (envelope-from
>>
<3dc7oSgcKCncijmZkgtbjjbgZ.XjhkjnohVnoZmWjbiZm.kmd q.Vo*phishing.bounces.google.com>)
>> id 1N3Hb5-0003U2-KF
>> for $localpart*utanet.$; Thu, 29 Oct 2009 00:06:32 +0100
>> Received: from [209.85.222.227] (helo=mail-pz0-f227.google.com)
>> by m1.dnsix.com with esmtp (Exim 4.63)
>> (envelope-from
>>
<3dc7oSgcKCncijmZkgtbjjbgZ.XjhkjnohVnoZmWjbiZm.kmd q.Vo*phishing.bounces.google.com>)
>> id 1N3Hb4-0002CR-R9
>> for postmaster*angebliche.phishing.domain; Wed, 28 Oct 2009
>> 16:06:30 -0700
>
> Die Google-Zeile scheint erst einmal zu stimmen (IP-Nummer passt;
> Zeitzone kommt auch hin), aber wieso kommt danach eine Station namens
> DNSIX? Wenn sich DNSIX erklären lässt, dürfte die Mail authentisch
> sein, ansonsten ist die Google-Received-Zeile hinein gefälscht worden.

m1.dnsix.com ist erklärlich. Das ist der Mailserver von mycomain.com wo eine
Email-Weiterleitung eingerichtet ist.

Al

"A. Bogner" schrieb:

> Google schickt Mails, dass diverse Domains für Phising
> missbraucht sein _könnten_.
>
> Surfe ich zu dieser Seite, so existiert die Seite nicht, Fehler 404.

Dann handelt es sich offenbar um gehackte Server unter der angegebenen
Domain, auf die der Phisher seine Seiten abgelegt hat. Der Betreiber
des Servers hat den Hack bemerkt (oder wurde darauf aufmerksam gemacht)
und die Phishing-Seiten entfernt. Das passierte aber vermutlich erst,
nachdem Google die Warn-Mails bereits verschickt hat.

Gruß

Michael

Michael Landenberger wrote:

> "A. Bogner" schrieb:
>
>> Google schickt Mails, dass diverse Domains für Phising
>> missbraucht sein _könnten_.
>>
>> Surfe ich zu dieser Seite, so existiert die Seite nicht, Fehler 404.
>
> Dann handelt es sich offenbar um gehackte Server unter der angegebenen
> Domain, auf die der Phisher seine Seiten abgelegt hat. Der Betreiber
> des Servers hat den Hack bemerkt (oder wurde darauf aufmerksam gemacht)
> und die Phishing-Seiten entfernt. Das passierte aber vermutlich erst,
> nachdem Google die Warn-Mails bereits verschickt hat.

Nein, es handelt sich um einen VPS und root bin ich. Der VPS-Hoster meint,
der Server wurde höchstwahrscheinlich nicht gehackt, falsche Phishing-
Warnungen sind häufig.

Denkbar wäre, dass jemand root-Zugriff erhalten hat, Logging deaktiviert hat
und nachdem die Seite entdeckt wurde, alles entfernt hat. Die Frage wäre mir
dann, wie ist der rein gekommen. Ãœber ein Passwort kaum.

Al

* A. Bogner:

> Irgendwelche Tipps, das ich noch prüfen könnte?

Wo steht die Box? Verwaltest Du die Maschine komplett selbst, oder ist
das irgend so ein Web-Paket?

Wie lautet "domain.tld" wirklich?

> Irgendwelche Tipps, das ich noch prüfen könnte?

Das Access-Log, ob es die Dateien mal gab.