Hallo, ich habe hier gestern und heute eine verdaechtige mail von 'support@wiizard.com' mit dem 'Subject: cabeling' bekommen. Da mit das etwas suspekt war, habe ich die Mail auf einen etwas geschützten Host transferiert und geoeffnet. Die mail bestand aus einem MIME Attachment mit angeblich 'malformated OE bounderies' Bei naehrer Inspektion wurde ein shellscript ausgefuehrt, dass die Rootdateistruktur des Hosts erfasste. Zum Glueck konnten die Daten dann nicht weitergetragen werden. Hat jemand aehnliche Mails erhalten? -Dieter -- Dieter Kluenter Brute Force Imaging
Griasde Dieter, Am Freitag, 3. August 2001 14:44 schrieb Dieter Kluenter:
Hat jemand aehnliche Mails erhalten?
Das nicht, aber seit ein paar Tagen bekomme ich merkwürdige mails: ---------- Weitergeleitete Nachricht ---------- Content-Type: Status: R X-Status: N 1 996834640.6503 2 996834783.7772 3 996834809.8074 4 996834905.8962 5 996834984.9729 6 996835434.13684 1 996834640.6503 2 996834783.7772 3 996834809.8074 4 996834905.8962 5 996834984.9729 6 996835434.13684 ------------------------------------------------------- oder ---------- Weitergeleitete Nachricht ---------- Content-Type: Status: R X-Status: N ------------------------------------------------------- Das ist die komplette Message aus kMail mit "Original Vorspann"! Woher könnte denn das Ding kommen, hiere lokal von meinem Rechner oder von extern? cu, BC -- Michael Nausch Anzinger Str. 20 85586 Poing +49-8121-971940 (voice) +49-8121-971941 (fax) http://omni128.de michael@nausch.org
Ich hab das gleiche Problem! Meine Mails haben auch lauter Zahlen oder sind komplett leer! Alle haben das Datum vom 1. Jan. 1970 und eine Uhrzeit von 00:59:59 Kürzlich bekam ich von dieser Mailingliste ne Mail vom Mai! Gruss, Jürgen Am Freitag, 3. August 2001 17:44 schriebst Du:
Griasde Dieter,
Am Freitag, 3. August 2001 14:44 schrieb Dieter Kluenter:
Hat jemand aehnliche Mails erhalten?
Das nicht, aber seit ein paar Tagen bekomme ich merkwürdige mails:
---------- Weitergeleitete Nachricht ---------- Content-Type: Status: R X-Status: N
1 996834640.6503 2 996834783.7772 3 996834809.8074 4 996834905.8962 5 996834984.9729 6 996835434.13684
1 996834640.6503 2 996834783.7772 3 996834809.8074 4 996834905.8962 5 996834984.9729 6 996835434.13684
-------------------------------------------------------
oder
---------- Weitergeleitete Nachricht ---------- Content-Type: Status: R X-Status: N
-------------------------------------------------------
Das ist die komplette Message aus kMail mit "Original Vorspann"! Woher könnte denn das Ding kommen, hiere lokal von meinem Rechner oder von extern?
cu, BC
Jürgen Fahnenschreiber wrote:
Ich hab das gleiche Problem! Meine Mails haben auch lauter Zahlen oder sind komplett leer! Alle haben das Datum vom 1. Jan. 1970 und eine Uhrzeit von 00:59:59
[...] In allen Nachfolgeversionen von Kmail 1.0.29.2 sollte das Problem mit der überschrittenen Milliarde Sekunden (seit 1.1.1970 gezählt) eigentlich beseitigt worden sein. ? Es ist mir nur irgendwie verdächtig da es zeitlich ungefähr passen würde. Aber das kann's auch nicht sein, weil dann hätten doch alle User bestimmerter Kmail-Versionen dasselbe Problem? Ralph
On Fre, 03 Aug 2001, Ralph Müller wrote:
Jürgen Fahnenschreiber wrote: In allen Nachfolgeversionen von Kmail 1.0.29.2 sollte das Problem mit der überschrittenen Milliarde Sekunden (seit 1.1.1970 gezählt) eigentlich beseitigt worden sein. ?
Unix wird erst am Son 09.09.2001 03:46:18 CEST eine Milliarde Sekunden alt... -dnh -- "one of the ill effects of Microsoft's software is having to pay for it. Lusers who pirate it are escaping this particular ill effect and aren't driven quite as hard toward cheaper, better choices." -- Mark Wells
Hallo David * David Haller schrieb am 04.Aug.2001:
Unix wird erst am Son 09.09.2001 03:46:18 CEST eine Milliarde Sekunden alt...
Interessante Zeit, wie kommst Du darauf? Das Datum habe ich auch, auch die Stunde und Minute, nur die Sekunden habe ich anders: $ date --date "1970-1-1 1:00" +%s 0 $ date --date "1970-1-1 1:00 1000000000sec" Son Sep 9 03:46:40 CEST 2001 18 kann ja auch nicht sein, denn wie sollte da als letzte Stelle eine 8 anstelle einer 0 auftreten. Aber Halt, da gibt es ja noch Schaltsekunden. Wenn es seit 1970 22 Schaltsekunden gegeben hat, hättest Du Recht. 22 Sekunden in 31 Jahren erscheint mir aber etwas viel, könnte aber stimmen. Wieso aber zeigt das mein Linux nicht an? Ist Linux also doch Mist? Ach und wenn wir mal da bei sind, Unix ist natürlich älter, hat halt mit einer negativen Zahl angefangen. Bernd -- ROTFL = Rolling On The Floor, Laughing = Auf dem Boden wälzen, lachend. SCNR = Sorry, Could Not Resist = Sorry, Ich konte nicht wiederstehen. AFAIK = As Far As I Know = So weit ich weis|BTW = By The Way = Nebenbei bemerkt IMHO = In My Humble Opinion = meiner bescheidenen Meinung nach |Zufallssig. 9
On Sam, 04 Aug 2001, Bernd Brodesser wrote:
* David Haller schrieb am 04.Aug.2001:
Unix wird erst am Son 09.09.2001 03:46:18 CEST eine Milliarde Sekunden alt...
Interessante Zeit, wie kommst Du darauf?
Mittels meinem script: ,----[ ~/bin/epochtodate ] | #!/usr/bin/perl -w | use POSIX qw(strftime); | | if ($ARGV[0]) { | $secs=$ARGV[0]; | } else { | $secs=time(); | } | | $date = strftime "%a %d.%m.%Y %H:%M:%S %Z", localtime($secs); | print "$date\n"; `---- $ epochtodate 1000000000 Sun 09.09.2001 03:46:18 CEST
Das Datum habe ich auch, auch die Stunde und Minute, nur die Sekunden habe ich anders:
$ date --date "1970-1-1 1:00" +%s 0 $ date --date "1970-1-1 1:00 1000000000sec" Son Sep 9 03:46:40 CEST 2001
18 kann ja auch nicht sein, denn wie sollte da als letzte Stelle eine 8 anstelle einer 0 auftreten.
Aber Halt, da gibt es ja noch Schaltsekunden. Wenn es seit 1970 22 Schaltsekunden gegeben hat, hättest Du Recht. 22 Sekunden in 31 Jahren erscheint mir aber etwas viel, könnte aber stimmen. Wieso aber zeigt das mein Linux nicht an? Ist Linux also doch Mist?
Nein. Im Gegentum! :)
Die GNU libc (und somit Linux) ist da einfach _sehr_ genau!
(Leerzeilen zur besseren Lesbarkeit)
$ echo $TZ
:right/Europe/Berlin
$ TZ="Europe/Berlin" epochtodate 1000000000
Son 09.09.2001 03:46:40 CEST
$ TZ=":right/Europe/Berlin" epochtodate 1000000000
Sun 09.09.2001 03:46:18 CEST
$ TZ="UTC" epochtodate 1000000000
Sun 09.09.2001 01:46:40 UTC
$ TZ=":right/UTC" epochtodate 1000000000
Sun 09.09.2001 01:46:18 UTC
$ /usr/sbin/zdump -v "UTC" | wc -l
4
$ /usr/sbin/zdump -v ":right/UTC" | wc -l
48
$ echo $[(48-4)/2]
22
$ /usr/sbin/zdump -v "Europe/Berlin" | wc -l
288
$ /usr/sbin/zdump -v ":right/Europe/Berlin" | wc -l
332
$ echo $[(332-288)/2]
22
Da hast du deine 22 Schaltsekunden (warum das /2: siehe die
Ausgabe von zdump -v)...
Und diese 22 Schaltsekunden sind offiziell und korrekt!
Zu dem Thema war vor ner Weile nen Artikel in der FreeX (IIRC),
von Andreas Jaeger
Ich habe derzeit Version 1.2 Am Freitag, 3. August 2001 22:44 schriebst Du:
Jürgen Fahnenschreiber wrote:
Ich hab das gleiche Problem! Meine Mails haben auch lauter Zahlen oder sind komplett leer! Alle haben das Datum vom 1. Jan. 1970 und eine Uhrzeit von 00:59:59
[...] In allen Nachfolgeversionen von Kmail 1.0.29.2 sollte das Problem mit der überschrittenen Milliarde Sekunden (seit 1.1.1970 gezählt) eigentlich beseitigt worden sein. ? Es ist mir nur irgendwie verdächtig da es zeitlich ungefähr passen würde. Aber das kann's auch nicht sein, weil dann hätten doch alle User bestimmerter Kmail-Versionen dasselbe Problem?
Ralph
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfügbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
Am Freitag, 3. August 2001 17:44 schrieb Michael Nausch:
Griasde Dieter,
Am Freitag, 3. August 2001 14:44 schrieb Dieter Kluenter:
Hat jemand aehnliche Mails erhalten?
Das nicht, aber seit ein paar Tagen bekomme ich merkwürdige mails:
---------- Weitergeleitete Nachricht ---------- Content-Type: Status: R X-Status: N
1 996834640.6503 2 996834783.7772 3 996834809.8074 4 996834905.8962 5 996834984.9729 6 996835434.13684
1 996834640.6503 2 996834783.7772 3 996834809.8074 4 996834905.8962 5 996834984.9729 6 996835434.13684
-------------------------------------------------------
Hi Ich hatte gestern auch eine merkwürdige Nachricht, die hauptsächlich aus Whitespaces und @-Zeichen bestand. Hab sie aber gleich gelöscht. Mails ohne Betreff und ohne jeden Inhalt hatte ich eine Zeitlang auch. CU Thorsten
thorstenkoerner@thorsti.org (Thorsten Körner) writes:
Am Freitag, 3. August 2001 17:44 schrieb Michael Nausch:
Griasde Dieter,
Am Freitag, 3. August 2001 14:44 schrieb Dieter Kluenter:
Hat jemand aehnliche Mails erhalten?
Hi Ich hatte gestern auch eine merkwürdige Nachricht, die hauptsächlich aus Whitespaces und @-Zeichen bestand.
Und wer war der Absender?
Hab sie aber gleich gelöscht. Schade :-(
Da durch Vorfilter Mails von Mailinglisten bei mir an den Newsserver verfuettert werden, kann ich leicht Mail und News (sprich Mailinglisten) trennen. Die von mir erwaehnte Mail war eine e-mail, kann also nicht von einer Mailingliste. -Dieter -- Dieter Kluenter Brute Force Imaging
HI, nachdem der Müll nicht nur bei mir auftaucht, bin ich ja schon beruhigt. Ich dachte schon, ich hab' 'was verkehrt gemacht
Und wer war der Absender?
Hab sie aber gleich gelöscht.
Schade :-(
Gibt's keinen! Hier nochmals einen original Vorspann von kmail, dort kann ich normalerwiese die ganzen Mailheaders sehen, nur hier nicht: body { font-family: "helvetica" } p { font-size: 12pt } a { color: #0000ff; text-decoration: none; }Content-Type: Status: R X-Status: N cu, BC -- Michael Nausch Anzinger Str. 20 85586 Poing +49-8121-971940 (voice) +49-8121-971941 (fax) http://omni128.de michael@nausch.org
Am Sonntag, 5. August 2001 21:13 schrieb Michael Nausch:
HI,
nachdem der Müll nicht nur bei mir auftaucht, bin ich ja schon beruhigt. Ich dachte schon, ich hab' 'was verkehrt gemacht
ab ich auch zunächst gedacht, aber da sich der Fall anscheinend häuft, weiß ich nicht, ob man nicht besser aufpassen sollte. Ich dachte bei der Mail zunächst daran, daß vielleicht ein fremder Zeichensatz (Steinzeitliche Höhlenmalerei oder Japanisch o.ä.) dazu führte, daß eben kein vernünftiges Wort herauskam Aber der Header enthielt eben keinerlei Hinweise darauf. Also hab ich lieber alles gelöscht.
Und wer war der Absender?
Ein Absender war ebenfalls nicht erkennbar. Wenn ich so eine Mail noch einmal bekomme, werde ich natürlich nicht gleich alles killen, sondern lieber gleich nachfragen :-)
Hab sie aber gleich gelöscht.
Schade :-(
Net traurisch sein :-) CU Thorsten
Hi! Am Son, 05 Aug 2001 schrieb Michael Nausch:
nachdem der Müll nicht nur bei mir auftaucht, bin ich ja schon beruhigt. Ich dachte schon, ich hab' 'was verkehrt gemacht
Und wer war der Absender?
Hab sie aber gleich gelöscht.
Schade :-(
Gibt's keinen! Hier nochmals einen original Vorspann von kmail, dort kann ich normalerwiese die ganzen Mailheaders sehen, nur hier nicht:
body { font-family: "helvetica" } p { font-size: 12pt } a { color: #0000ff; text-decoration: none; }Content-Type: Status: R X-Status: N
Ich habe vor ca. zwei Wochen eine mail von einem Privatmann bekommen den ich nicht kenne. Daran ein Attachment in der Größe von ca. 120KB und dem Namen "Bewerbung_Stadtverwaltung.doc". Der Header ließ sich unter Linux nicht anzeigen, unter Windows habe ich gesehen, daß die mail über einen kundenserver.de geroutet wurde. Im body stand sowas wie: "Hi, how are you? ..... See you later!" Das Attachment war (angeblich) uuencoded, es lies sich nicht dekodieren. Hab´s auf die Windows-Kiste geschoben und mit Word geöffnet, lies sich nicht decodieren. Keine Bange, die Windows-Kiste dient nur zu Testzwecken und hängt nicht im Internet. Ich habe den Absender angeschrieben, die lapidare Antwort war: "Vorsicht, vielleicht ein virus!" keine weitere Erklärung... Gruß -- Andreas Meyer http://home.wtal.de/MeineHomepage
Am Sonntag, 5. August 2001 21:28 schrieb Andreas Meyer:
Hi!
Am Son, 05 Aug 2001 schrieb Michael Nausch:
nachdem der Müll nicht nur bei mir auftaucht, bin ich ja schon beruhigt. Ich dachte schon, ich hab' 'was verkehrt gemacht
Und wer war der Absender?
Hab sie aber gleich gelöscht.
Schade :-(
Gibt's keinen! Hier nochmals einen original Vorspann von kmail, dort kann ich normalerwiese die ganzen Mailheaders sehen, nur hier nicht:
body { font-family: "helvetica" } p { font-size: 12pt } a { color: #0000ff; text-decoration: none; }Content-Type: Status: R X-Status: N
Ich habe vor ca. zwei Wochen eine mail von einem Privatmann bekommen den ich nicht kenne. Daran ein Attachment in der Größe von ca. 120KB und dem Namen "Bewerbung_Stadtverwaltung.doc".
Der Header ließ sich unter Linux nicht anzeigen, unter Windows habe ich gesehen, daß die mail über einen kundenserver.de geroutet wurde.
Das sind die Puretec-Server
Im body stand sowas wie: "Hi, how are you? ..... See you later!" Du meinst nicht, dass allein schon dieser Satz und der name des Attachments schon verdächtig genug ist? Soetwas gehört i.d.R nach /dev/null Mail-Anhänge mit .doc-suffix sind doch generell verdächtg. Ich öffne solche Anhänge nur, wenn Sie von Bekannten kommen, und diese die Anhänge in einer weiteren Mail angekündigt haben (sonst frage ich vorher nochmal nach). Öffnen kannst Du .doc sehr gut mit Star-Office. Macros sollten dann keinen Schaden anrichten können, weil sie IMHO nur unter Windoof funktionieren.
Das Attachment war (angeblich) uuencoded, es lies sich nicht dekodieren. Hab´s auf die Windows-Kiste geschoben und mit Word geöffnet, lies sich nicht decodieren. Keine Bange, die Windows-Kiste dient nur zu Testzwecken und hängt nicht im Internet.
Ich habe den Absender angeschrieben, die lapidare Antwort war: "Vorsicht, vielleicht ein virus!" keine weitere Erklärung...
Und wie gehts Deinem Rechner ? :-)
Gruß CU Thorsten
Hi! Am Son, 05 Aug 2001 schrieb Thorsten Körner:
Im body stand sowas wie: "Hi, how are you? ..... See you later!" Du meinst nicht, dass allein schon dieser Satz und der name des Attachments schon verdächtig genug ist? Soetwas gehört i.d.R nach /dev/null
Also zu dieser Zeit war das mit Code Red noch nicht im Gespräch. Stutzig war ich natürlich... und neugierig ;)
Mail-Anhänge mit .doc-suffix sind doch generell verdächtg. Ich öffne solche > Anhänge nur, wenn Sie von Bekannten kommen, und diese die Anhänge in einer > weiteren Mail angekündigt haben (sonst frage ich vorher nochmal nach). Öffnen > kannst Du .doc sehr gut mit Star-Office. Macros sollten dann keinen Schaden > anrichten können, weil sie IMHO nur unter Windoof funktionieren.
das war mir nicht so klar, benutze SO nicht so oft; muß noch ein bißchen üben... Was mich wundert ist, daß falls das wirklich ein Virus war (war es ja wahrscheinlich), es zu einer solch merkwürdigen Kombination von einem Absender, der von dieser mail nichts weis und einem x-beliebigen Attachement (und offenbar was ganz privates), das nicht zu entziffern ist, kommt.
Das Attachment war (angeblich) uuencoded, es lies sich nicht dekodieren. Hab´s auf die Windows-Kiste geschoben und mit Word geöffnet, lies sich nicht decodieren. Keine Bange, die Windows-Kiste dient nur zu Testzwecken und hängt nicht im Internet.
Ich habe den Absender angeschrieben, die lapidare Antwort war: "Vorsicht, vielleicht ein virus!" keine weitere Erklärung...
Und wie gehts Deinem Rechner ? :-)
Ich benutze den Rechner nicht oft um da was zuverlässiges sagen zu können. Aber vor einer Stunde bin ich problemlos an den frisch aufgesetzten mars_nwe connectet. Gruß -- Andreas Meyer http://home.wtal.de/MeineHomepage
Am Sonntag, 5. August 2001 22:27 schrieb Andreas Meyer:
Was mich wundert ist, daß falls das wirklich ein Virus war (war es ja wahrscheinlich), es zu einer solch merkwürdigen Kombination von einem Absender, der von dieser mail nichts weis und einem x-beliebigen Attachement (und offenbar was ganz privates), das nicht zu entziffern ist, kommt.
bekomme ich in letzter zeit sehr häufig über kundenserver.de (puretec) irgendein englischer text nach dem Motto, schau mal rein, wir reden später drüber. und dann irgendein anhang dran. Mein kollege hat den virus gecheckt. er verschickt wahllos dateien aus dem privaten windowsverzeichnis an beliebige empfänger. und dann stand da noch: "richtet aber ansonsten keinen Schaden an" :-) naja, die leute sind ja echt viel gewohnt... "ANSONSTEN KEINEN SCHADEN" Kann man ja gar nicht fassen! MANN! da würde ich ja lieber meine festplatte schrotten, als wahllos Dateien ins universum zu schicken... Gruß Janning -- http://www.kicktipp.de ...und Du spielst mit!
Am Sonntag, 5. August 2001 22:27 schrieb Andreas Meyer:
Hi!
Am Son, 05 Aug 2001 schrieb Thorsten Körner:
Im body stand sowas wie: "Hi, how are you? ..... See you later!"
Du meinst nicht, dass allein schon dieser Satz und der name des Attachments schon verdächtig genug ist? Soetwas gehört i.d.R nach /dev/null
Also zu dieser Zeit war das mit Code Red noch nicht im Gespräch. Stutzig war ich natürlich... und neugierig ;)
Mail-Anhänge mit .doc-suffix sind doch generell verdächtg. Ich
öffne solche > Anhänge nur, wenn Sie von Bekannten kommen, und diese die Anhänge in einer > weiteren Mail angekündigt haben (sonst frage ich vorher nochmal nach). Öffnen > kannst Du .doc sehr gut mit Star-Office. Macros sollten dann keinen Schaden > anrichten können, weil sie IMHO nur unter Windoof funktionieren.
das war mir nicht so klar, benutze SO nicht so oft; muß noch ein bißchen üben... Was mich wundert ist, daß falls das wirklich ein Virus war (war es ja wahrscheinlich), es zu einer solch merkwürdigen Kombination von einem Absender, der von dieser mail nichts weis und einem x-beliebigen Attachement (und offenbar was ganz privates), das nicht zu entziffern ist, kommt.
Das Attachment war (angeblich) uuencoded, es lies sich nicht dekodieren. Hab´s auf die Windows-Kiste geschoben und mit Word geöffnet, lies sich nicht decodieren. Keine Bange, die Windows-Kiste dient nur zu Testzwecken und hängt nicht im Internet.
Ich habe den Absender angeschrieben, die lapidare Antwort war: "Vorsicht, vielleicht ein virus!" keine weitere Erklärung...
Und wie gehts Deinem Rechner ? :-)
Ich benutze den Rechner nicht oft um da was zuverlässiges sagen zu können. Aber vor einer Stunde bin ich problemlos an den frisch aufgesetzten mars_nwe connectet.
Hi Bevor Du den Rechner noch weiter in irgendwelche Netze hängst lies mal das hier: http://www.symantec.com/avcenter/venc/data/w32.sircam.worm@mm.html (siehe Mail von Heiko) Und dann check mal gründlich durch. Auch wenn der mars selbst keinen Schaden erleiden kann, vielleicht verteilt irgendeind (auschauendes :-) eMail-Programm alles munter weiter. Das merkst Du selbst in der Regel selbst nicht.
Gruß CU Thorsten
On Sun, Aug 05, 2001 at 09:28:30PM +0200, Andreas Meyer wrote:
Der Header ließ sich unter Linux nicht anzeigen, unter Windows habe ich gesehen, daß die mail über einen kundenserver.de geroutet wurde.
Damit duerfte es nichts zu tun haben. kundenserver.de ist der eMail-Server von 1&1 Puretec. Gruss, Oliver
participants (10)
-
Andreas Meyer
-
B.Brodesser@t-online.de
-
David Haller
-
Dieter Kluenter
-
fahnenju@t-online.de
-
Janning Vygen
-
Michael Nausch
-
Oliver Kiehl
-
Ralph Müller
-
Thorsten Körner