Seltsamer Spam
Hallo,
ich habe gestern eine interessante Spam-Mail bekommen:
From lALXW@earthlink.net Sun Mar 28 23:36:29 2004
Return-Path: <lALXW@earthlink.net>
X-Original-To: pc@localhost
X-Message-Info: 7jmBkpdB9XREer0wvoOynlXET7EV16phZKaiIRL82
Subject: Hi, you around?
From: Kara@XXXXXXXXXX.homelinux.org, Sims@141.30.230.2
To: andy@space.wh1.tu-dresden.de
Message-Id: <586514.U2703@rogers.com>
Content-Type: multipart/alternative;
boundary="--9897107045702569"
Date: Sun, 28 Mar 2004 23:25:06 +0200
Interessant ist besonders der From-Header. Habe noch nie gesehen, dass
eine Mail von zwei Adressen kommen kann. Ueberdies ist die XXXXXXXXXX.
homelinux.org ein DynDNS-Eintrag fuer meine Kiste -- und ich weiss
hundertprozentig, dass es hier keine Kara gibt. Natuerlich ist mir
klar, dass nichts einfacher ist, als einen falschen From-Header
einzufuegen. Besonders pikant wird das ganze jedoch dadurch, dass ich
auch 141.30.230.2 kenne -- das ist naemlich die IP von der To-Adresse.
Zu erwaehnen, dass es dort auch keinen User Sims gibt, eruebrigt sich
wohl...
Ich bin jetzt etwas verwirrt. Ist das ganze nur ein einziger grosser
Zufall? Something smells definitely fishy, here...
Bei mir habe ich nochmal chkrootkit (0.41/woody) laufen lassen:
Searching for suspicious files and dirs, it may take a while...
/usr/lib/perl/5.6.1/auto/Crypt/SSLeay/.packlist /usr/lib/tiger/bin/.
bintype
Diese beiden Dateien sehen fuer mich aber recht ungefaehrlich aus, sind
reine Textdateien.
Sollte ich mir jetzt Sorgen machen, oder lohnt sich das nicht?
Schoenen Gruss,
Andreas
Reply to: