Am Mo, den 22.11.2004 schrieb David Haller um 21:00:

Am Mon, 22 Nov 2004, Michael Grummel schrieb:

...

kanns noch nicht glauben, aber Vorsicht mit Mails aus der Liste?

Normal nicht ;)

Die Ursache war eine lange Mail hier von mir: Message-ID: <20041122021333.GA5966@feersum.endjinn.de>

in der ich in der Fussnote eine Phishing Mail zu Warnungszwecken zitierte (nur Text und URLs), offenbar reichte das um die Virenscanner zu alarmieren. Ich wusste gar nicht, dass die solche Mails erkennen :)

Also sorry an alle.

...

Beispielmeldung: 2004-11-22 19:09:35 Rechnername antivir[7536]: AVGU: AntiVir ALERT: [TR/Pish.Telekom.A virus] /home/Rechnername/.mozilla/Mein Name/hlvbrvbq.slt/Mail/Local Folders/Inbox_Lokal.sbd/SuSe.sbd/Mailing <<< The Trojan horse TR/Pish.Telekom.A

Die Klassifizierung als Trojaner ist IMHO fragwuerdig (da nur Plaintext). Ich habe auch Nicht-Zustellungsmeldungen von 2 Virenscanner bekommen, die die Mail als "Virus" klassifizieren.

Scheint so ein BEGIN END verhalten zu sein, wo Ausspuck auch drauf anspringt. Mein Virenscanner - clamav 0.70 - ist nicht drauf angesprungen. Bye Michael -- New screensaver released: Curtains for Windows. ________________________________________________________________________ http://macbyte.info/ ICQ #151172379 http://dattuxi.de/

* Georg Golombek [2004-11-22 21:33]:

bin froh dass er mir nicht die Inbox geklaut hat ... warum eigentlich nicht? mit sowas könnte einer ganz schnell alle Mailfolder von denen unbrauchbar machen, die ein move infected files beim avguard angeschafft haben, oder?

warum verwendest du eigentlich kein mdir-Format, da wäre bloß eine Datei (also die eine Mail) betroffen? Ich persönlich verwende fetchmail, procmail, etc., da läuft der Virenscanner schon vorher drüber. Infizierte Mails bekomme ich nie zu Gesicht (und will ich auch nicht). Gruß, Bernhard -- "Was wir wissen, ist ein Tropfen; was wir nicht wissen, ein Ozean." -- Isaac Newton

Hallo, Am Mon, 22 Nov 2004, Michael Grummel schrieb:

meine Inbox ist weg!

Tut mir leid. Meine Mail war als Warnung vor der Phishing-Mail gedacht. Aber DU hast aber Antivir installiert und konfiguriert. Wenn antivir die nur verschoben hat, dann schieb sie halt wieder zurueck. Und wenn du dazuko verwendest, dann loesche halt die eine Mail daraus. Oder den Teil der Mail, den Antivir erkennt. Aber eigentlich sollte man die Mails gleich auf Viren scannen und nicht erst die Inbox in der die dann landen. Ich bekomme hier staendig Viren und Spam. Soll ich dir ein paar abgeben? -dnh -- 125: Backup Niemand will Backup. Alle wollen Restore. (Kristian Köhntopp zitiert einen Vertriebler)

Am Montag, 22. November 2004 21:43 schrieb Bernhard Walle:

* Georg Golombek [2004-11-22 21:33]:

...

bin froh dass er mir nicht die Inbox geklaut hat ... warum eigentlich nicht? mit sowas könnte einer ganz schnell alle Mailfolder von denen unbrauchbar machen, die ein move infected files beim avguard angeschafft haben, oder?

warum verwendest du eigentlich kein mdir-Format, da wäre bloß eine Datei (also die eine Mail) betroffen?

ganz einfach: habe mich noch überhaupt nicht mit diesem Thema befasst! mit solchen Komplikationen rechnet ein Normalsterblicher wie ich gar nicht! Aber muß mich wohl mal damit auseinandersetzen. Ohne jetzt viel zu suchen: Ich verwende Kmail und lese etwas von postfix das für die Mails zuständig ist? dann steht da als Standard maildir - Format für die Ordner in der Konfiguration. Möglich wäre noch mbox? ist mdir was anderes? funktioniert kmail mit Deiner Lösung fetchmail, procmail? Grüße GG

Am Montag, 22. November 2004 22:09 schrieb Bernhard Walle:

* Georg Golombek [2004-11-22 21:55]:

...

Am Montag, 22. November 2004 21:43 schrieb Bernhard Walle:

...

* Georg Golombek [2004-11-22 21:33]:

...

bin froh dass er mir nicht die Inbox geklaut hat ... warum eigentlich nicht? mit sowas könnte einer ganz schnell alle Mailfolder von denen unbrauchbar machen, die ein move infected files beim avguard angeschafft haben, oder?

warum verwendest du eigentlich kein mdir-Format, da wäre bloß eine Datei (also die eine Mail) betroffen?

ganz einfach:

habe mich noch überhaupt nicht mit diesem Thema befasst! mit solchen Komplikationen rechnet ein Normalsterblicher wie ich gar nicht! Aber muß mich wohl mal damit auseinandersetzen.

Ohne jetzt viel zu suchen:

Ich verwende Kmail und lese etwas von postfix das für die Mails zuständig ist? dann steht da als Standard maildir - Format für die Ordner in der Konfiguration. Möglich wäre noch mbox? ist mdir was anderes?

Das sind zwei verschiedene paar Schuhe. procmail/fetchmail usw. hat mir mdir nichts zu tun.

Also: Es gibt verschiedene Arten, die Mails auf der Festplatte abzulegen. Die zwei gebräuchlichsten sind mbox und maildir. Bei mbox ist ein Mailordner (also "Inbox", "Trash", usw.) eine Datei. Die Mails werden einfach der Reihe nach abgespeichert. Größter Nachteil: Wenn verschiedene Programme darauf zugreifen, müssen die Dateien gesperrt werden, damit keine Komplikationen auftreten.

Bei maildir ist jede Mailbox ein Verzeichnis ("Ordner"), jede Mail eine Datei darin (tatsächlich ist es etwas anders, aber das soll hier egal sein). Wenn der Virenscanner eine infizierte Mail findet, findet er eine Datei und löscht diese, fertig. Die anderen Dateien (= die anderen Mails) bleiben unberührt. Das ganze wurde so entworfen, dass Dateien niemals gesperrt werden müssen.

Soweit ich weiß verwendet KMail eigentlich maildir als Default. Wenn du aber schon länger KMail verwendest, kann es sein, dass du die Mails immer übernommen hast und du noch mbox verwendest. Wie man das konvertiert weiß ich jetzt aber leider nicht.

da hast Du recht, habe das schon "ewig" es steht zwar als Einstellung maildir drin, aber er hat für inbox etc. tatsächlich nur eine datei und für trash, den mir David dankenswerter Weise weggehauen hat macht er jetzt tatsächlich maildir, da sind einzelne Dateien drin! Das führt mich auch zu einer möglichen Lösung: Alle sent-mails an gg@localhost schicken, alle sent-mails löschen , sent-mail datei samt .index etc ... löschen. kmail wieder öffnen, mails von local abholen, und in sent-mail verschieben. Dann inbox ähnlich behandeln. kann das so gehen? Grüße GG

Hallo, Am Mon, 22 Nov 2004, Georg Golombek schrieb:

Am Montag, 22. November 2004 22:09 schrieb Bernhard Walle:

...

* Georg Golombek [2004-11-22 21:55]: [..] da hast Du recht, habe das schon "ewig" es steht zwar als Einstellung maildir drin, aber er hat für inbox etc. tatsächlich nur eine datei und für trash, den mir David dankenswerter Weise weggehauen hat

Hab ich nicht. Sondern dein uebereifriger Virenscanner.

Das führt mich auch zu einer möglichen Lösung: Alle sent-mails an gg@localhost schicken, alle sent-mails löschen , sent-mail datei samt .index etc ... löschen. kmail wieder öffnen, mails von local abholen, und in sent-mail verschieben. Dann inbox ähnlich behandeln.

Einfacher: Bennene sent-mail um (z.B. in sent-mail-mbox), erstelle einen neuen Ordner 'sent-mail' (im maildir Format), kopiere oder verschiebe alle Mails aus sent-mail-mbox nach sent-mail und loesche abschliessend sent-mail-mbox wenn du willst. -dnh -- Die Zeit wurde nur erfunden, damit nicht alles auf einmal passiert. -- Dieter Bruegmann

Am Montag, 22. November 2004 23:54 schrieb David Haller:

Hallo,

Am Mon, 22 Nov 2004, Georg Golombek schrieb:

...

Am Montag, 22. November 2004 22:09 schrieb Bernhard Walle:

...

* Georg Golombek [2004-11-22 21:55]:

[..]

...

da hast Du recht, habe das schon "ewig" es steht zwar als Einstellung maildir drin, aber er hat für inbox etc. tatsächlich nur eine datei und für trash, den mir David dankenswerter Weise weggehauen hat

Hab ich nicht. Sondern dein uebereifriger Virenscanner.

im Prizip richtig :-)) ich habe ihn scharf gemacht, Du durftest unwissentlich abdrücken! Normalerweise muß man für solche Lustbarkeiten gut bezahlen, aber das lassen wir mal, Den Spass war es wert. So habe ich mitbekommen, dass meine Mails nicht maildir sind wie in der Konfigration zu sehen. Muß gestehen darum habe ich mich gar nicht groß gekümmert, sonder nur immer die Mailbox mitgenommen auf meiner Flucht vor den alten Releases. danke für den Tipp mit umbenennen und kopieren an beide. Grüße GG

Am Montag, 22. November 2004 21:33 schrieb Georg Golombek:

Am Montag, 22. November 2004 21:00 schrieb David Haller:

...

Hallo,

Am Mon, 22 Nov 2004, Michael Grummel schrieb:

...

kanns noch nicht glauben, aber Vorsicht mit Mails aus der Liste?

Normal nicht ;)

Die Ursache war eine lange Mail hier von mir: Message-ID: <20041122021333.GA5966@feersum.endjinn.de>

in der ich in der Fussnote eine Phishing Mail zu Warnungszwecken zitierte (nur Text und URLs), offenbar reichte das um die Virenscanner zu alarmieren. Ich wusste gar nicht, dass die solche Mails erkennen :)

Also sorry an alle.

tja, das hat mich meinem Mülleimer gekostet!

danke für die stressfreie Entsorgung :-))

da habe ich immer etwas Mühe auch meinen Mülleimer entgültig zu leeren. Es könnte ja mal etwas unersetzliches sein, das ich versehentlich weggeworfen habe.

Aber jetzt mal im Ernst:

bin froh dass er mir nicht die Inbox geklaut hat ... warum eigentlich nicht? mit sowas könnte einer ganz schnell alle Mailfolder von denen unbrauchbar machen, die ein move infected files beim avguard angeschafft haben, oder?

Grüße GG

glaube ich weiß jetzt warum er mir inbox nicht weggehauen hat: um 20:17 - ca 20:19 hat er sein tägliches Update der viren-Datenbasis gemacht. In der Zeit habe ich auch meine Mails runtergeladen und die betreffende gelöscht! Das heißt der avguard hat hier eine Sicherheitslücke ? In der Zeit in der er sich aktualisiert findet kein Scan statt? da werde ich mal bei HBEDV nachfragen ob das nicht anders gelöst werden kann. Grüße GG

On Monday 22 November 2004 21:00, David Haller wrote:

Hallo,

Am Mon, 22 Nov 2004, Michael Grummel schrieb:

...

kanns noch nicht glauben, aber Vorsicht mit Mails aus der Liste?

Normal nicht ;)

Die Ursache war eine lange Mail hier von mir: Message-ID: <20041122021333.GA5966@feersum.endjinn.de>

in der ich in der Fussnote eine Phishing Mail zu Warnungszwecken zitierte (nur Text und URLs), offenbar reichte das um die Virenscanner zu alarmieren. Ich wusste gar nicht, dass die solche Mails erkennen :)

Also sorry an alle.

Diesmal noch vergeben. Sowas kommt eben dabei heraus, wenn man in einer Linux-Liste den MS-Milprogrammusern belehrend und auf ungeeignete Weise klarmachen will, daß sie das 'falsche' Betriebssystem und den falschen Mailclient benutzen. Solche Anhänge sind absoluter Unsinn, erst recht, wenn sie absichtlich erstellt wurden. Mein Maileingangsfilter hat diese Mail einfach gelöscht, mich darüber benachrichtigt und wird es sinn- vollerweise auch weiterhin tun. Mir ist es völlig wurscht, wie dieser Anhang entstanden ist und wer ihn hinzugefügt hat. Ich habe keine Lust, mein Virenfilter so zu trainieren, daß er gefakede Viren/Trojaner durchläßt. Wozu auch? Sowas hat nirgendwo irgendeine Berechtigung und in einer Linuxliste schon gar nicht.

...

Beispielmeldung: 2004-11-22 19:09:35 Rechnername antivir[7536]: AVGU: AntiVir ALERT: [TR/Pish.Telekom.A virus] /home/Rechnername/.mozilla/Mein Name/hlvbrvbq.slt/Mail/Local Folders/Inbox_Lokal.sbd/SuSe.sbd/Mailing <<< The Trojan horse TR/Pish.Telekom.A

Die Klassifizierung als Trojaner ist IMHO fragwuerdig

Nein, fragwürdig ist nur Dein Verhalten den Listenteilnehmern gegenüber. Einige sind hier nun einmal mehr oder weniger freiwillig mit MS-Pro- grammen unterwegs und Du wirst es damit nicht ändern.

(da nur Plaintext).

Na und? Mir ist es recht, wenn mein Virenscanner beim Auftreten des ersten Verdachtsmoments den Kram komplett löscht. Ich kenne außer Dir sonst niemanden, der mir (absichtlich) einen (Fake-)Trojaner/Virus sendet. Also lasse ich den Scanner so eingestellt, wie er ist. Er hatte ja recht. Die Mail enthielt einen (vermeintlichen) Schadcode und somit konnte die Mail komplett gelöscht werden, so gern ich den übrigen Inhalt Deiner Mails auch wirklich gern lese, weil sie mir als begriffsstutzigen Linuxer viel bringen. Allgemeinerweise werden solche Mails ja auch nur ungewollt und mit der Absicht, Schaden zuzufügen versendet.

Ich habe auch Nicht-Zustellungsmeldungen von 2 Virenscanner bekommen, die die Mail als "Virus" klassifizieren.

Und, was lehrt Dich das? Hänge nie wieder solchen Fake-Code an irgendwelche Mails dran. Es ist und bleibt absoluter Unsinn. Gruß Martin Falley -- Mach' mal Urlaub http://www.ungarnurlaub.de

Hi David, On Tue, Nov 23, 2004 at 12:58:51AM +0100, David Haller wrote:

Am Tue, 23 Nov 2004, Martin Falley schrieb:

...

Na und? Mir ist es recht, wenn mein Virenscanner beim Auftreten des ersten Verdachtsmoments den Kram komplett löscht.

[ ] du möchtest Nachdenken bevor du schreibst. ... und bevor dein Virenscanner $MALWARETEXTSTRING auf /dev/hda entdeckt und dieses zur Sicherheit löscht und natürlich vorher überschreibt. Sicher ist sicher.

...

Ich kenne außer Dir sonst niemanden, der mir (absichtlich) einen (Fake-)Trojaner/Virus sendet. Also lasse ich den Scanner so eingestellt, wie er ist. Er hatte ja recht. Die Mail enthielt einen (vermeintlichen) Schadcode und somit konnte die Mail komplett gelöscht werden, so gern ich den übrigen Inhalt Deiner Mails auch wirklich gern lese, weil sie mir als begriffsstutzigen Linuxer viel bringen. Allgemeinerweise werden solche Mails ja auch nur ungewollt und mit der Absicht, Schaden zuzufügen versendet. _ ___ ___ _ _ _/\_/_\ | _ \/ __| || |/\_ < _ \| / (_ | __ > < \/_/ \_\_|_\\___|_||_|\/

Fuer wie bloed haelst du mich eigentlich?

nicht aufregen... Ist es nicht wert. Die Telekom Mail hatte ich auch bekommen und fand die auch wirklich "gut" gemacht.

Bitte informiere dich, finde in o.g. URL den "Schadcode". Ja, der Body der Mail ist _komplett und vollstaendig_ im Archiv zu lesen. Inklusive Sig und allem. Es gab und gibt keinen Anhang!

Und ein Virenscanner sollte sich doch bitte auf Viren beschränken und nicht auch noch SPAM/SCAM/Fische und was weiß ich was finden. JMMV. Aber selbst wenn er diesen Krempel trotzdem meint finden zu müssen, dann sollte der KlickyBuntiUser evtl. noch einen Blick auf seine Daten werfen bevor er sie entsorgt *rofl*. Ganze Inbox wegschmeißen wegen _einer_ Mail das gefällt. So muss das sein. Danke David, das amüsiert mich dann heute noch den restlichen Tag. Für alle ohne schwarzen Humor ... Ihr müsst das nicht verstehen.

...

Und, was lehrt Dich das? Hänge nie wieder solchen Fake-Code an irgendwelche Mails dran. Es ist und bleibt absoluter Unsinn.

Amen. Pater Falley hat gesprochen. Greetings Daniel, der es sich jetzt mal verkneift auszuprobieren wer auch bei der zweiten Mail wieder seine Inbox wegschmeißt *roflmao* -- ..::"Das Licht am Ende eines Tunnels könnte auch ein Zug sein"::..

Hallo, [F'up gesetzt] Am Tue, 23 Nov 2004, Martin Falley schrieb:

On Tuesday 23 November 2004 00:58, David Haller wrote:

...

Am Tue, 23 Nov 2004, Martin Falley schrieb: [...] Lies http://lists.suse.com/archive/suse-linux/2004-Nov/3207.html

Habe ich jetzt nachträglich gelesen ...

Gut. Und? Wie ist deine Meinung dazu? V.a. auch wie ich das Zitat eingeleitet habe? War das fahrlaessig? War das Zitat fahrlaessig (in Anbetracht dessen, dass ich noch nicht wusste, dass Antivir o.ae. auf solche plain/text phishing-mails anspringt)? Obwohl die diese Mails bei mir in der inbox gelandet sind obwohl ich (s.u.) einen taeglich automatisch aktualisierten Antivir ueber meine Mails laufen lasse? -> Antwort hierzu wohl eher als PM bitte.

...

Es war eine Fussnote, kein Anhang, in der ich auf die Phishing Mail hinwies und dabei wohl zuviel aus dem Body zitierte!

Ehrlich gesagt, ich bin ueber deine Reaktion ziemlich stinkig.

... und kann das natürlich jetzt verstehen.

Deshalb ein dickes *ENTSCHULDIGUNG*

Akzeptiert.

...

-dnh, sich mit grosser Muehe ein Plonk verkneifend / aufschiebend

will ich doch nicht hoffen

Ich hatte gemerkt, dass nicht _nur_ deine Mail meinen Aerger verursachte. Ich habe dich schon oefter hier gelesen. Andere und "unbekannte" haette ich wohl noch groeber geflamed und gleichzeitig final geplonkt. BTW: "geplonkte" werden von mir auf der Liste einfach nur ungelesen direkt archiviert, auf PMs hat das keinen Einfluss. Entschuldigungen (aber auch Flames) per PM kommen also an. *** An alle: In Reaktionen einiger, die wie Martin offenbar weder meine urspruengliche (siehe oben zitierte URL [1]), noch meine erklaerende Mail nicht wirklich gelesen haben, wurde die Art des Inhalts der "Phishing Mail", ganz zu schweigen vom Inhalt meiner Mail falsch dargestellt. So wurde eine plain/text Phishing Mail "mal eben" gleich zum boesen binaeren Trojaner uminterpretiert und das Zitat in der Fussnote zum Anhang des boesen bineaeren Trojaners. OBWOHL ich das in meiner erklaerenden Mail ausdruecklich schrieb. Und ja, ich bin immer noch sauer, wie blind/dumm/[bitte ergaenzen] einige hier reagiert haben, nur weil der Virenscanner Alarm geschlagen hat. Ja, _auch_ speziell auf Martin. *** Einschub: Martin: falls ich in, ich sach ma, den naechsten 2-3 Monaten mal auf deine Mails antworten kann (wg. Thema), denk dir jeweils ein (anfangs ein grosses, spaeter ein kleinerwerdendes) "*grummel*" drunter. Du hast dich entschuldigt, und damit ist's auch gut, ich darf aber noch grummeln. ;) *** Es gab z.B. auch die Episode, dass irgendeine wichtige lib in /lib/ von Virenscannern als Virus erkannt wurde. Oder war das sogar irgendeine Kombination im ELF-Header der normalen Linux-binaries? Das ganze zeigt mal wieder, dass Virenscanner, wie jede andere Software, kraeftig saugen, und dass man wissen sollte, wie, wann und warum man sie verwendet und was die SW ueberhaupt kann. Man MUSS einfach damit rechnen, dass man Spam, Viren oder Phishing Mails bekommt. Dass Virenscanner letztere auch erkennen war mir, wie geschrieben, eben neu. Und man muss auch damit rechnen, dass manchmal so viel zitiert wird, dass ein Virenscanner darauf anspringt. Genauso, wie damit, dass "neue" Schaedlinge und Phishing Sachen eben NICHT erkannt werden. Insofern habe ich ehrlich gesagt _keine_ Schuldgefuehle, falls wegen meiner Mail ne Mbox verschoben wurde o.ae. Da kann ich wirklich nur sagen "selber schuld". Wie war das nochmal? *siggrep anwerf* Ah ja: ,---- | > PS.: Don't drink as root! | Das kann man gar nicht oft genug sagen: "uups, rm -rf * statt rm -rf *~ in | /etc", das war eine Meisterleistung nachts um 3 mit 2.6 auf dem Turm ;-)) | [Volker Müller und Thomas Bendler in suse-linux] `---- Fuer mich gehoert das mit der unpassenden Mailfilterung usw. in genau die gleiche "Kategorie". Gewehr, Fuss, Treffer. Selber schuld. Wir arbeiten hier schliesslich mit Linux. Und nein, Yast und sonstige GUI-Configtools sind keine Entschuldigung. Und ja, ich hab mir auch schon mit rm oder sonstwas Dateien geloescht. Und daraus gelernt. Willkommen im Klub. *** BTW meine ~/.procmailrc sieht grob so aus: 1. Filter auf base64-kodierte M$-Executables && Virencheck dieser 2. Killfile und regulaere Sortierung der "guten" Quellen, u.a. suse-linux und andere Mailinglisten in die diversen mboxen 3. Virencheck 4. SpamAssassin und Aussortierung von Spam 6. Restsortierung / Filter (z.B. fuer's ct-register, die Daten werden direkt eingepflegt :) 5. Rest in inbox Laeuft. *hehe* Ich hab grad mal das aktuelle Antivir auf meine "Haupt" viren-mbox losgelassen: scanned files: 6638 alerts: 2018 Die Diskrepanz zwischen "scanned files" und "alerts" liegt wohl daran, dass jeder "part" einer mail als eigene Datei gezaehlt wird. Ein $ grep -c '^From ' ~/mail/virii-exe2 1818 bestaetigt diese Theorie: 1818 Mails (seit Ende Sept. '03) mit 6638 Teilen (evtl. davon auch entpackte Archive) wovon in 2018 Teilen Virenmuster (i.w.S.) erkannt wurden. Hm. Das sind laengst nicht alle (ich hab noch ne Mbox in der Groesse, ueber den gleichen Zeitraum), aber das sind ueber's ca. Jahr (ich rechne mal mit 400 Tagen) allein fuer diese mbox ca. 4.5 pro Tag die hier eingtrudelt sind. Allerdings halt schubweise (je nach Infektionsrate der Windosen). Das nur mal so als Beispiel, dass man mit Viren usw. in Mails einfach rechnen MUSS. Noch Fragen? *** So, jetzt geht's mir besser. -dnh, keine Zufallssig ;) [1] wie gesagt: meine Mail ist vollstaendig im Archiv, keine Anhaenge o.ae. nur meine normalen Header (vgl. die Header dieser Mail) fehlen. Bei Bedarf such ich auch die "Message-Number", so dass man sich die komplette Mail inklusive Headern vom List-Server "get <number>" zumailen lassen kann. -- Treffen sich zwei Viren im Outlook. Meint der eine "eigentlich bin ich ja Künstler..."