Moin moin liebe CB gemeinde,
Gestern ist eine Bekannte an mich herangetreten die folgendes problem hatte:
Vergangene Woche hat jemand über ihren homail account eine e-mail an ihr komplettes adressbuch verschickt (einschließlich ihre eigene adresse)
Im Postausgang fand sich nichts mehr.
Ich habe mir diese mails dann mal genauer (besonders den header) angeschaut und geguckt ob nicht jemand den absender gefacked hat, leider kamen die mails wirklich alle von den Hotmail server.
der inhalt der mail war ledgiglich ein link zu folgender seite:
hxxp://www.music-store.annanovas.com/wp-content/plugins/zwuadxoglvj/google.=
html?ees=3Dsrgf.jdg&himoj=3Dgng.jheg&fob=3Dlvqb
(anklicken auf eigene gefahr, konnte aber nichts bedrohliches feststellen)
die seite annanovas.com existiert und scheint webanwendungen zu schreiben, eine rechere zu der firma erbrachte keine negativen resultate.
die subdoamin music-store existiert aber nicht. (mittlerweile verweist diese auf ein im aufbau befindenen cms)
ich habe mich dann mal in ihrmem netzwerk eingeklingt und die seite angepingt. das erstaunliche dabei war nun das ich dort die ip adresse der seite foxnews.com erhalte!
Ruft man nun foxnews.com (aus ihrem netzwerk) her auf kommt man laut browser auf www.foxnews.com aber zu sehen bekommt man eine seite die einem diät tropfen andrehen will.
Zu hause oder über UMTS sehe ich die fox seite.
Da ich selber webentwickler bin dachte ich das da vlt. jemand per XSS code auf die seite geschleust hat, was aber A) nicht der fall war und B) mich auch gewundert hätte wie das hätte gehen sollen.
Ich habe ziwschendurch auch mal an den hotmail support zu wenden versucht aber die geben gar kein support per mail oder so?
Konnte jedenfalls bisher nichts finden. Wäre ja mal interessant wer sich zur tat zeit eingeloggt hatte, denn sie hat es erst bemerkt als es geschehen war, ihr konto wurde wegen dem versenden von spam nämlich gesperrt.
das ganze verhalten ist sehr komisch, es scheint als wäre der router befallen, eine fritz box, denn ich habe die selben DNS probs wenn ich in ihrem netzwerk bin.
Nun meine frage: Wie kann sowas passieren und wie kriegen wir das wieder weg?
Am rechner leigts nicht, der ist laut kaspersky sauber und auch sonst gibt es keine einschrämkungen, nur eben diese weiterletung der foxnews seite (nicht das wir dort oft surfen würden, aber das ist höchst verdächtig)
Gestern ist eine Bekannte an mich herangetreten die folgendes problem hatte:
Vergangene Woche hat jemand über ihren homail account eine e-mail an ihr komplettes adressbuch verschickt (einschließlich ihre eigene adresse)
Im Postausgang fand sich nichts mehr.
Ich habe mir diese mails dann mal genauer (besonders den header) angeschaut und geguckt ob nicht jemand den absender gefacked hat, leider kamen die mails wirklich alle von den Hotmail server.
der inhalt der mail war ledgiglich ein link zu folgender seite:
hxxp://www.music-store.annanovas.com/wp-content/plugins/zwuadxoglvj/google.=
html?ees=3Dsrgf.jdg&himoj=3Dgng.jheg&fob=3Dlvqb
(anklicken auf eigene gefahr, konnte aber nichts bedrohliches feststellen)
die seite annanovas.com existiert und scheint webanwendungen zu schreiben, eine rechere zu der firma erbrachte keine negativen resultate.
die subdoamin music-store existiert aber nicht. (mittlerweile verweist diese auf ein im aufbau befindenen cms)
ich habe mich dann mal in ihrmem netzwerk eingeklingt und die seite angepingt. das erstaunliche dabei war nun das ich dort die ip adresse der seite foxnews.com erhalte!
Ruft man nun foxnews.com (aus ihrem netzwerk) her auf kommt man laut browser auf www.foxnews.com aber zu sehen bekommt man eine seite die einem diät tropfen andrehen will.
Zu hause oder über UMTS sehe ich die fox seite.
Da ich selber webentwickler bin dachte ich das da vlt. jemand per XSS code auf die seite geschleust hat, was aber A) nicht der fall war und B) mich auch gewundert hätte wie das hätte gehen sollen.
Ich habe ziwschendurch auch mal an den hotmail support zu wenden versucht aber die geben gar kein support per mail oder so?
Konnte jedenfalls bisher nichts finden. Wäre ja mal interessant wer sich zur tat zeit eingeloggt hatte, denn sie hat es erst bemerkt als es geschehen war, ihr konto wurde wegen dem versenden von spam nämlich gesperrt.
das ganze verhalten ist sehr komisch, es scheint als wäre der router befallen, eine fritz box, denn ich habe die selben DNS probs wenn ich in ihrem netzwerk bin.
Nun meine frage: Wie kann sowas passieren und wie kriegen wir das wieder weg?
Am rechner leigts nicht, der ist laut kaspersky sauber und auch sonst gibt es keine einschrämkungen, nur eben diese weiterletung der foxnews seite (nicht das wir dort oft surfen würden, aber das ist höchst verdächtig)
