03 Oktober 2018

Und noch ein Erpresser

Und noch einer. Nachdem der letzte ja gleich 3000$ wollte, kommt dieser hier deutlich bescheidener daher - hier reichen 700$. Den letzten habe ich ja wie online empfohlen bei er Polizei in LB eingeworfen - von dort kam bisher nur ohrenbetäubende Stille. Egal, den hier werfe ich auch gleich ein. Schwärzung und Formatierung im Body-Part von mir.
Return-Path: «klaus@▓▓▓▓▓▓.▓▓»
Delivered-To: klaus@▓▓▓▓▓▓.▓▓
Received: from ▓▓▓▓▓▓▓.▓▓▓▓▓.▓▓
 by ▓▓▓▓▓▓▓.▓▓▓▓▓.▓▓ with LMTP id CJtaKuWls1tZHQAAB7Ichg
 for «klaus@▓▓▓▓▓▓.▓▓»; Tue, 02 Oct 2018 19:07:49 +0200
X-Spam-Flag: NO
X-Spam-Score: 3.124
X-Spam-Level: ***
X-Spam-Status: No, score=3.124 tagged_above=-999 required=5
 tests=[BAYES_00=-1.9, HELO_DYNAMIC_IPADDR=1.951, HTML_MESSAGE=0.001,
 RCVD_IN_RP_RNBL=1.31, RDNS_DYNAMIC=0.982, SPF_NEUTRAL=0.779,
 URIBL_BLOCKED=0.001] autolearn=no autolearn_force=no
Received: from bzq-109-65-128-3.red.bezeqint.net 
 (bzq-109-65-128-3.red.bezeqint.net [109.65.128.3])
 by ▓▓▓▓▓▓▓.▓▓▓▓▓▓▓▓ (Postfix) with ESMTP id A72921BC0090
 for «klaus@▓▓▓▓▓▓.▓▓»; Tue,  2 Oct 2018 19:07:48 +0200 (CEST)
Message-ID: «217856050125057027075696@▓▓▓▓▓▓.▓▓»
From: «klaus@▓▓▓▓▓▓.▓▓»
To: "▓▓▓▓▓▓▓▓▓" «klaus@▓▓▓▓▓▓.▓▓»
Subject: Dein Konto wurde gehackt!
Date: 2 Oct 2018 21:51:56 +0200
MIME-Version: 1.0
Content-type: multipart/ddternative;
 boundary="---7A7F4ED4974BE53FA00B094A94A248D7"
X-Mailer: Sghkir pstyt


Hallo, lieber Benutzer von ▓▓▓▓▓▓.▓▓.

Wir haben eine RAT-Software auf Ihrem Gerät installiert.  In diesem Moment
habe ich deinen Account gehackt klaus@▓▓▓▓▓▓.▓▓, dein Passwort ist
▓▓▓▓▓▓▓▓▓ Siehe , jetzt habe ich den Zugriff auf Ihre Konten).


Ich habe alle vertraulichen Informationen von Ihrem System heruntergeladen
und ich habe weitere Beweise erhalten.  Die interessantesten Sachen, die
ich entdeckt habe, sind Videos von Ihnen auf denen Sie masturbieren.

Ich habe meinen Virus auf die Pornoseite gepostet, und dann haben Sie ihn
auf Ihren Betriebssystem installiert.  Als Sie auf den Button "Play" auf
Porno-Video geklickt haben, wurde mein Trojaner in diesem Moment auf Ihr
Gerät heruntergeladen.  Nach der Installation nimmt Ihre Frontkamera jedes
Mal, wenn Sie masturbieren, ein Video auf; zusätzlich wird die Software mit
dem von Ihnen gewählten Video synchronisiert.

Zur Zeit hat die Software alle Ihre Kontaktinformationen aus sozialen
Netzwerken und E-Mail-Adressen gesammelt.  Wenn Sie alle Daten gesammelt
von Ihr System löschen müssen, senden Sie mir $700 in BTC (Kryptowährung).
Das ist mein Bitcoin Wallet: 1CMQMKmvT4hz2k2ijyxVxN7fHS62K7uQ7z Sie haben 2
Tage nach dem Lesen dieses Briefes.

Nach Ihrer Transaktion werde ich alle Ihre Daten löschen.  Ansonsten sende
ich Video mit deinen Streiche an alle deine Kollegen und Freunde!!!

Und von nun an, seien Sie vorsichtiger!
Bitte besuchen Sie nur sichere Webseiten!
Tschüss!
CC-BY 2.0 by lungstruck
Bemerkenswert an diesem hier ist der X-Mailer, Sghkir pstyt sieht Rot13 aus, ist es aber nicht. Auch den Begriff RAT musste ich erst nachsehen - Remote Access Tool. Ausgeschrieben macht das im Satz eher keinen Sinn...

Der Received-Eintrag scheint realistisch zu sein, Reverse Host und IP Block gehört zu einem Hoster in Israel, die Whois-Einträge enthalten einen Abuse Contact. Also diesmal an Polizei und Abuse - der einwerfende Rechner scheint eine Botnet-Drohne zu sein.

Das verwendete Passwort ist wieder aus irgend einem mindestens 2 Jahre alten Hack irgendeines Forums - ich verwende das nicht mehr und es war schon damals mein Unsafe-Passwort. Ich kann nur jedem einzelnen da draußen empfehlen, diese Mails als Anlass zu nehmen, alle Passwörter bei irgendwelchen Webservices jetzt in ein Zufallspasswort zu ändern und in einem Passwortmanager zu verwalten. Keepass2 find' ich ganz gut, für das Format gibt's Software für Linux, Windows und Android (iGedöhns gibt's sicher auch, hat mich aber nicht interessiert). Die Datenbank kann man dann über irgendeinen Cloud-Speicher Up-To-Date halten. Die Aktion hat bei mir einen Nachmittag gebraucht - und ich hatte damals schon ungemein viele Accounts. Bei dem Anlass kann man auch mal seit langer Zeit ungenutzte Account wegkärchern. Tut es. Jetzt!

Mal eine blöde Frage, ich kenn' mich mit Bitcoin gar nicht aus. Kann man einen einzelnen Satoshi überweisen und da eine Botschaft dranhängen? Und wieviel kostet mich das dann?

23 September 2018

Mein Passwort XXXXXXXXXX

Ok, ich hab' von dem Trick schon gehört. Aber in Aktion habe ich das noch nicht gesehen.

Das verwendete Passwort habe ich tatsächlich mal vor vielen Jahren benutzt, aber ich habe keine Ahnung wo. In meine Keepass-Datenbank steht es nicht mehr drin, das Passwort kommt aus einer Zeit, in der ich mir Passwörter noch gemerkt habe. Und es war damals schon eines der Unsicher-Passwörter. Auch die Höhe der Zahlung weiß zu erschrecken.
Return-Path: «Aaron834Smith@yahoo.jp»
Delivered-To: klaus@XXXXXX.xx
Received: from mein.mailserver.de
 by mein.mailserver.de with LMTP id gJgCEkfxplttMwAAB7Ichg
 for «klaus@XXXXXX.xx»; Sun, 23 Sep 2018 03:49:59 +0200
X-Spam-Flag: NO
X-Spam-Score: 3.808
X-Spam-Level: ***
X-Spam-Status: No, score=3.808 tagged_above=-999 required=5
 tests=[BAYES_40=-0.001, FREEMAIL_FROM=0.001, HTML_MESSAGE=0.001,
 HTML_MIME_NO_HTML_TAG=0.377, MIME_HTML_ONLY=0.723,
 RCVD_IN_RP_RNBL=1.31, SPF_HELO_SOFTFAIL=0.732, SPF_SOFTFAIL=0.665]
 autolearn=no autolearn_force=no
Received: from yahoo.jp (host-static-37-75-127-67.moldtelecom.md [37.75.127.67])
 by mein.mailserver.de (Postfix) with SMTP id 051981BC008E
 for «klaus@XXXXXX.xx»; Sun, 23 Sep 2018 03:49:37 +0200 (CEST)
Received: from unknown (104.129.52.128)
 by relay-x.misswldrs.com with SMTP; Sat, 22 Sep 2018 21:42:59 -0400
Received: from [37.245.186.202] by smtp-server1.cfdenselr.com with ESMTP; Sat, 22 Sep 2018 21:36:36 -0400
Message-ID: «E86E1074.3E40474A@yahoo.jp»
Date: Sat, 22 Sep 2018 21:36:36 -0400
From: "Klaus" «Aaron834Smith@yahoo.jp»
User-Agent: Mozilla/5.0 (Macintosh; U; Intel Mac OS X; en-GB; rv:1.8.1.17) Gecko/20080914 Thunderbird/2.0.0.17
X-Accept-Language: en-us
MIME-Version: 1.0
To: "XXXXXXXXXX" «klaus@XXXXXX.xx»
Subject: XXXXXXXXXX
Content-Type: text/html;
 charset="iso-8859-1"
Content-Transfer-Encoding: base64

Betreff: XXXXXXXXXX Datum: Sat, 22 Sep 2018 21:36:36 -0400 Von: Klaus «aaron834smith@yahoo.jp» An: «klaus@XXXXXXXXXX.xx» I know XXXXXXXXXX is your pass. Lets get directly to the point. You may not know me and you are most likely thinking why you're getting this email? There is no one who has compensated me to investigate you. Let me tell you, I actually setup a malware on the X streaming (porno) web-site and guess what, you visited this website to experience fun (you know what I mean). When you were viewing videos, your browser began functioning as a Remote control Desktop that has a key logger which provided me accessibility to your screen and webcam. Right after that, my software gathered all your contacts from your Messenger, FB, as well as e-mail . Next I created a double-screen video. 1st part shows the video you were watching (you've got a good taste lmao), and next part shows the recording of your cam, and its you. You actually have 2 solutions. Shall we explore each of these possibilities in details: First choice is to dismiss this message. In this scenario, I will send out your actual tape to all your your contacts and also visualize about the disgrace you will get. Keep in mind should you be in a loving relationship, exactly how it can affect? Next solution is to pay me $3000. We will regard it as a donation. In such a case, I will straightaway eliminate your videotape. You could continue your daily ro utine like this never occurred and you will not ever hear back again from me. You'll make the payment by Bitcoin (if you don't know this, search for "how to buy bitcoin" in Google). BTC Address: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX [CASE SENSITIVE copy & paste it] Should you are wondering about going to the law enforcement officials, good, this e-mail can not be traced back to me. I have covered my moves. I am not attempting to charge a fee much, I would like to be compensated. You have one day to pay. I have a special pixel in this message, and right now I know that you have read through this mail. If I do not receive the BitCoins, I will, no doubt send out your video recording to all of your contacts including close relatives, coworkers, and so forth. However, if I receive the payment, I'll destroy the recording immediately. If you need evidence, reply Yes! & I will certainly send your video to your 8 friends. This is a non:negotiable offer, so do not waste mine time and yours by replying to this e-mail.
Tatsächlich werden wir beiden Hübschen mal das Szenario  1 durchspielen - ich möchte die Aufnahmen sehen, die er mit einem gehackten Linux-Heimrechner gemacht hat. Ich frage mich echt, ob ich mal nachsehen sollte, was die Cyberforce der Polizei da macht, wenn ich Strafanzeige gegen unbekannt einwerfe. Soll ich? Grybel, grybel...

Bild von pixabay, von xuseru, CC0.

02 September 2018

RE: Deine 13.382,48 EUR Einzahlung

Gelegentlich glauben Spammer auch, ich sei strunzblöd:
Betreff:     RE: Deine 13.382,48 EUR Einzahlung
Datum:      29 Aug 2018 11:54:07 +0100
Von:         armenische.at(ät)jasmin-wagner-fans.de
Antwort an:  <eine meiner Adressen>
An:          <eine meiner Adressen>

Hallo,

wir wollten dich informieren, dass deine €13.382,48 heute Morgen in dein Bankkonto eingezahlt wurden.

Guck dir dieses kurze Video an um herauszufinden wie du an dein Geld kommst.

Dein Geld kann jederzeit ohne Verzögerung abgehoben werden.

Hier findest du heraus wie es funktioniert
Das Ganze kommt dann von armenische.at(ät)jasmin-wagner-fans.de (die hieß früher mal Blümchen) und die Links gehen zu quickercollege.com - die wissen dann wahrscheinlich auch nicht, dass man eine Unterseite bei ihnen eingerichtet hat...

Ich finde es ja toll, dass man Geld auf mein Konto überwiesen hat, aber wieso soll ich jetz ein Video angucken um rauszufinden, wie ich Geld von meinem Konto abhebe?

23 Juli 2018

Den Neckar entlang

Am Wochenende habe ich meine bisher längste Einradtour gemacht - 31km in unter drei Stunden. Nachdem es zwar warm aber nicht zu warm war, hab ich mich auf das Rad geschwungen und los geht's: Monrepos - Planetenweg - Favoritepark. Von dort aus steil runter zum Heilbad in Hoheneck und zum Neckar. Dann immer den Neckar entlang bis zur U-Bahn Haltestelle Aldinger Mühle.

Ab da wird es dann anstrengend: den Berg hoch nach Pettonville, dann weiter nach Grünbühl und am Salonwald entlang bis zur B27 und noch weiter bis zur Bahnlinie. Weiter an der Bahnlinie zum Schillerdurchlaß und dann zum Osterholz - von dort aus wieder heim.

Im Osterholz hat mich dann ein Regenschauer erreicht - war aber eher wenig und angenehm - so darf's gerne mal regnen.

Die ganze Strecke bin ich gerade mal zwei mal abgestiegen, einmal an einer Straße, das andere mal bin ich glatt neben das Pedal getreten und hab mich fast hingepackt. Aber halt nur fast.

Zwischendrin hab' ich mal mit meinem Handy rumgefilmt - das war direkt am Neckar. Die entgegenkommenden Radfahrer hatten offensichtlich Spass.

17 Juli 2018

Haifischbecken

Ich hab' ja schon lange keine Netzwerkkarte direkt ans Internet gesteckt. Mit dem Serverbasteln von letzter Woche hab' ich das seit langer Zeit mal wieder gemacht, ohne einen Router dazwischen zu haben.

Von Terry Goss, CC BY 2.5, Link
Was mich nicht wundert, ist, dass auf allen offenen Ports irgendwelche Anfragen sind. Das bin ich ja gewohnt. Was mich wundert, ist die Zeit, die es dauert, bis die Anfragen einrollen. Das sind gerade mal ein paar Sekunden.

Am zweiten Tag habe ich Portscans von mindestens 5 Rechnern gleichzeitig gezählt, alle mit so etwa einem Port alle 3-4 Sekunden. Ich hab mich gewundert, wieso sich syslog so unendlich aufbläht, bevor ich das Logging in ufw abgeschaltet habe. Interessiert mich ja wirklich nicht, wer hier an geschlossenen Türen rüttelt.

Erstaunlich ist auch, mit welcher Hartnäckigkeit einige Scripte versuchen, das root-Passwort auf ssh  zu erraten - der Default für PermitRootLogin ist ja eigenlich schon lange prohibit-password. Da können die also raten, bis sie schwarz werden. Ein Root Login ist nur mit dem richtigen Key möglich.

Nachdem auf sshd fröhlich auch alle möglichen anderen Logins ausprobiert werden, überlege ich, in naher Zukunft PasswordAuthentication gleich ganz auf no zu stellen.

Auf den anderen offenen Ports sieht es nicht besser aus. Ich kann mir gut vorstellen, was passiert, wenn man eine MongoDB ohne Passwort mal ins Internet hängt. Die bleibt wahrscheinlich nicht länger als eine halbe Stunde unentdeckt.

13 Juli 2018

Serverbasteln

Einige (wenige) Kollegen und ich betreiben zusammen einen Web- und Mailserver - das Ding war immer noch Ubuntu 12.04 - und damit eben auch reichlich angegammelt. Auf der Mail-Seite gab es Exim4 und Cryrus IMAPd - eine sehr vertraute Installation. Ein bisschen unhandlich, wenn man mal einen neuen User anlegen will, aber das ist bei einem Privatserver jetzt ja nicht täglich Brot.

Das neue Eisen sollte mal was anderes sein. Bei der Serverauswahl war ich dann doch eher konservativ - wieder Ubuntu, 18.04 Server. Die machen wieder mal eine ganze Menge ganz anders, das Installationssystem ist komplett überarbeitet - wenn man eigene Routen oder DNS Server einrichten will, dann ist das wo ganz wo anders als sonst: das altbekannte /etc/network/interfaces sagt, dass man das jetzt in /etc/netplan findet, /etc/netplan/50-cloud-init.yaml klärt dann auf, dass man in /etc/cloud/cloud.cfg.d/99-disable-network-config.cfg rumschrauben soll, was aber gar nicht nötig ist. Viel neuer Scheiß, den man jetzt wieder neu raufschaffen sollte.

Mich nervt ja schon der Umstieg von SysV Init auf das neue Zeug, das jetzt Mode ist. Von mir aus.

Was ich mir bisher auch noch nie angeschaut habe, ist ufw (uncomplicatied Firewall). Ich fand das bisher immer deutlich komplizierter als iptables direkt zu verwenden. Aber nach einer Weile einlesen ist es doch durchaus übersichtlicher. Mach ich jetzt in Zukunft.

Exim4/cryus ist jetzt auch nicht der Standard, also hab ich nach https://thomas-leister.de/mailserver-unter-ubuntu-16.04/ die Mail mit postfix, dovecot und amavis zusammengesetzt. Die Konfiguriation holt die User, Domains und Aliases aus einer MySQL Datenbank, die wollte ich sowieso für einen LAMP Stack haben. Seit 16.04 gab es ein paar Änderungen, vor allem was Berechtigungen für die verschiedenen Pipes für Milter betrifft. Ist aber mit ein wenig StackOverflow durchaus zu bewältigen.

LAMP ist nach wie vor trivial einzurichten, was ich mir für den Server neu angesehen habe, war Let's Encrypt und certbot - CACert war ja eigentlich eine super Idee, hat nur nicht funktioniert. Bei Verschüsselung ist gut, was alle unterstützen, und das ist halt Let's Encrypt. Die lächerlich kurzen Gültigkeiten für die Zertifikate werden dadurch ausgeglichen, dass der Update-Prozess absolut automatisch abläuft, wenn das Zertifikat erstellt wurde. Fire and Forget. Funktioniert, bis man keine Kontrolle mehr über die Domain hat.

Wenn man schon dabei ist (und da jetzt PHP wieder ganz neu ist), gibt es noch eine brandneue CMSMS-Version, und dann noch NextCloud, weil ein Kollege meinte, das sei noch viel, viel cooler als OwnCloud. Zumindest läuft der OwnCloud Desktop-Client auch mit NextCloud.

Jetzt soll noch Piwigo drauf, das zickt aber noch mit PHP 7.2 - gerade seh' ich aber, dass heute die Version 2.9.4 rausgekommen ist - vielleicht geht es jetzt.

Naja, man gönnt sich ja sonst nix.