Liebes Support-Team!
Ich selber habe mir vor ein paar Jahren selber beigebracht HTML in reinem Text zu schreiben,
leider kann ich kein PHP oder Javascript, deswegen hoffe ich wirklich dass Jemand sich der Sache mal annimmt, und mir wenigstens sagt was ich jetzt machen muss, damit dieser dumme MENSCH, (kein Programm ist hier am Werk gewesen), nicht weiter machen kann.
So hatte sich alles abgespielt:
Ich erhielt folgende Mail dass sich Jemand tatsächlich mal in meinem Forum:
http://prisodi.de/computer/forum_software_hardware/
registriert hatte, Name “Ralf”.
Dies ist der komplette Text mit Header dieser Mail:
From - Sat Aug 11 14:33:17 2012
X-Account-Key: account11
X-UIDL: 000006894a819aeb
X-Mozilla-Status: 0009
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: 123abc321cba@uwemartin-bs.de
Delivered-To: 123abc321cba@uwemartin-bs.de
Received: from mx3.goneo.de (mx3.goneo.de [212.90.139.33])
by mailbox1.goneo.de (Postfix) with ESMTP id 7668D11F847
for 123abc321cba@uwemartin-bs.de; Sat, 11 Aug 2012 13:40:23 +0200 (CEST)
Received: from mx3.goneo.de (localhost [127.0.0.1])
by mx3.goneo.de (Postfix) with ESMTP id 7477940545C
for 123abc321cba@uwemartin-bs.de; Sat, 11 Aug 2012 13:40:23 +0200 (CEST)
X-Virus-Scanned: by goneo
X-Spam-Flag: NO
X-Spam-Score: 2.266
X-Spam-Level: **
X-Spam-Status: No, score=2.266 tagged_above=-9999 required=5
tests=[AWL=-0.072, BAYES_50=0.8, FROM_LOCAL_HEX=0.006,
FROM_STARTS_WITH_NUMS=0.738, RDNS_NONE=0.793, TVD_SPACE_RATIO=0.001]
autolearn=no
Received: from mx3.goneo.de ([127.0.0.1])
by mx3.goneo.de (mx3.goneo.de [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id D_qEaMisLRyY for 123abc321cba@uwemartin-bs.de;
Sat, 11 Aug 2012 13:40:21 +0200 (CEST)
X-policyd-weight: NOT_IN_SPAMCOP=-1.5 NOT_IN_BL_NJABL=-1.5 NOT_IN_IX_MANITU=-1.5 HELO_IP_IN_CL_SUBNET=-1.2 (check from: .uwemartin-bs. - helo: .webrelay1-1.goneo. - helo-domain: .goneo.) FROM/MX_MATCHES_HELO(DOMAIN)=-2; rate: -7.7
Received: from webrelay1-1.goneo.de (unknown [212.90.139.253])
by mx3.goneo.de (Postfix) with ESMTP id 9BCDE405461
for 123abc321cba@uwemartin-bs.de; Sat, 11 Aug 2012 13:40:21 +0200 (CEST)
Received: from webrelay1.goneo.de (localhost [127.0.0.1])
by webrelay1.goneo.de (Postfix) with ESMTP id 6D2F32170E5
for 123abc321cba@uwemartin-bs.de; Sat, 11 Aug 2012 13:40:21 +0200 (CEST)
X-Virus-Scanned: by goneo
X-Amavis-Alert: BAD HEADER SECTION, Missing required header field: "Date"
Received: from webrelay1.goneo.de ([127.0.0.1])
by webrelay1.goneo.de (webrelay1.goneo.de [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id F_I21dIacgNH for 123abc321cba@uwemartin-bs.de;
Sat, 11 Aug 2012 13:40:18 +0200 (CEST)
Received: from goneo.de (w2.goneo.de [82.100.220.32])
by webrelay1.goneo.de (Postfix) with ESMTP id 162D52170D7
for 123abc321cba@uwemartin-bs.de; Sat, 11 Aug 2012 13:40:18 +0200 (CEST)
To: 123abc321cba@uwemartin-bs.de
Subject: PriSoDi-Soft-, und Hard-Ware Forum Braunschweig
X-PHP-Script: prisodi.de steht zum Verkauf for 217.186.244.89
From: PriSoDi-Soft-@webrelay1.goneo.de,
und Hard-Ware Forum Braunschweig 123abc321cba@uwemartin-bs.de
Message-Id: 20120811114021.6D2F32170E5@webrelay1.goneo.de
Date: Sat, 11 Aug 2012 13:40:21 +0200 (CEST)
Ralf hat sich erfolgreich im Forum registriert.
PriSoDi-Soft-, und Hard-Ware Forum Braunschweig - prisodi.de steht zum Verkauf
Danach hat er auch dort einen Beitrag gepostet, den ich ernst genommen und sofort beantwortet habe:
Mein alter AMD-PC mit 850 Mhz startet seit einiger Zeit nicht mehr. Entweder piept er dreimal ohne Anzeige (deutet wohl auf einen RAM-Defekt hin) oder aber er versucht, hochzufahren, stürzt aber noch vor dem Start vonWindows XP ab. Manchmal passiert auch garnichts, kein Bild, kein Pieps, gar nichts. Ich denke, das Mainboard ist defekt, oder könnte es am DDR-1-RAM Speicher liegen? Ich habe 2 x 256 MB DDR-1-RAM und 1 x DDR-1-512 MB onboard. Das Mainboard hat 3 Anschlussleisten. Habe alle 3 RAM-Riegel jeweils einzeln oder aber zusammen versucht, einzusetzen, jedoch erfolglos.
Im Fachhandel bei hwh wird mir 1-GB-DDR-1 RAM angeboten, aber im Falle eines defekten Boards könnte ich diesen nicht umtauschen
IP des Absenders: 217.186.249.218
Dann war plötzlich das ganze Board weg, und wenig später war das ganze PHP-Forum defekt !!!
Ich habe aus dem Logfile meines Servers über FTP rausgekriegt dass den ganzen Tag nur eine einzige IP mein Kontaktformular benutzt hatte, nämlich: 217.186.244.89
Wenig später habe ich bemerkt dass auch meine Piwik-Installation nun kaputt-Gehackt wurde.
Ich verspreche, wenn mir Jemand hilft, überweise ich ihm erstmal 20,- Euro.
Ich kann Piwik neu installieren, und alles auf meinen Webseiten ist virenfrei gesichert. Bloss fehlen mir die Kenntnisse nun Maßnahmen zu ergreifen um dies zu Stoppen, bzw., zu erkennen wo die Schwachstelle auf meinem Server ist. Wer mir hilft bekommt auch ausserhalb dieses Forums kompletten Zugriff auf meinen Server, Acces-Logfiles, Passwörter und alles was Ihr braucht. Und ich zahle dafür wen wir den Täter ermitteln und Polizeiverwertbar beweisen könnten dass dies üble und dumme Sachbeschädigung gewesen ist. Bitte melde sich mal Jemand, ich bezahle dafür!!!
Danke im Voraus,
und ich hoffe dass die Sache auch eure Kenntnisse in Sachen Sicherheit erweitern wird.
"Das Internet ist kein rechtsfreier Raum"
und auch private Projekte, die nicht kommerziell derart wichtig sind,
müssen Schutz vor solchen Straftaten geniessen!
Uwe Martin
Leipzigerstrasse
52B38124 Braunschweig
Tel: 01634059684
www.prisodi.de