ich habe in meinem Postfach eine Mail, welche als SPAM deklariert ist, jedoch der Header mich sehr stutzig macht, weil der Sender ist mein E-Mail-Postfach auf dem virtuellen Server, welchen ich entsprechend unkenntlich gemacht habe. Wie in der E-Mail steht hätte ich auf einen Link geklickt, ich habe von unbekannten ja nicht mal eine Mail gehabt, lediglich von PayBack über meinen Gutschein, den ich auch eingelöst habe aus meinen PayBack-Punkten der bereitgestellt wurde. Ansonsten hatte ich nur noch Kontakt mit der Deutschen Bahn gehabt. Jetzt ist für mich die Frage, wie kann mein Mac mit einer anderen IP eine Mail senden oder jemand anderes über meinen Server Mails senden. Eine andere Frage, In der Mail steht außerdem VPS 22071604, mein Mac zeigt mir folgende Version der Virussignatur an 22071700
Code: Select all
X-Spam-Level: **********
Mime-Version: 1.0
Content-Type: multipart/alternative; boundary="Alt-Boundary-17722.3813880"
X-Spam-Status: Yes, score=10.678 tagged_above=1 required=5 tests=[BITCOIN_SPAM_07=1, FSL_BULK_SIG=1, HTML_EXTRA_CLOSE=0.001, HTML_MESSAGE=0.001, PDS_BTC_ID=1, PYZOR_CHECK=1.985, RCVD_IN_MSPIKE_H2=-1, RCVD_IN_PSBL=2.7, RCVD_IN_RP_RNBL=1.284, RCVD_IN_XBL=0.724, SPF_SOFTFAIL=0.972, TO_EQ_FM_DIRECT_MX=1, T_SPF_HELO_TEMPERROR=0.01, URIBL_BLOCKED=0.001] autolearn=no autolearn_force=no
X-Spam-Score: 10.678
Return-Path: <webmaster@domail.tld>
Priority: normal
X-Mailer: Pegasus Mail for Windows (4.52)
X-Spam-Flag: YES
X-Antivirus: avast (VPS 22071604)
X-Virus-Scanned: Debian amavisd-new at hostname.isp.tld
Received: from hostname.isp.tld by hostname.isp.tld with LMTP id nAVRARTR02KNZAcAJyBYZQ (envelope-from <webmaster@domain.tld>) for <loginmail@domain.tld>; Sun, 17 Jul 2022 11:06:28 +0200
Received: from localhost (localhost [127.0.0.1]) by hostname.isp.tld (Postfix) with ESMTP id ED838201A51 for <loginmail@domain.tld>; Sun, 17 Jul 2022 11:06:27 +0200 (CEST)
Received: from hostname.isp.tld ([127.0.0.1]) by localhost (hostname.isp.tld [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id 5osjF4jqjxOa for <maillogin@domain.tld>; Sun, 17 Jul 2022 11:06:07 +0200 (CEST)
Received: from c171-173.i02-3.onvol.net (c171-173.i02-3.onvol.net [213.165.171.173]) by hostname.isp.tld (Postfix) with ESMTP id 65FF6201A4F for <webmaster@domain.tld>; Sun, 17 Jul 2022 11:06:06 +0200 (CEST)
Received-Spf: Softfail (mailfrom) identity=mailfrom; client-ip=213.165.171.173; helo=c171-173.i02-3.onvol.net; envelope-from=webmaster@domain.tld; receiver=<UNKNOWN>
X-Antivirus-Status: Clean
Delivered-To: maillogin@domain.tld
Code: Select all
Hallo!
Leider bekommen Sie gleich ein paar schlechte Nachrichten zu hören.
Vor ein paar Monaten habe ich mir vollen Zugriff auf alle Geräte verschafft, die Sie zum Surfen im Internet verwenden.
Kurz darauf habe ich begonnen, alle von Ihnen durchgeführten Internetaktivitäten aufzuzeichnen.
Nachfolgend erfahren Sie, wie es dazu kam:
Zuvor hatte ich mir von Hackern einen einmaligen Zugang zu verschiedenen E-Mail-Konten verschafft
(im Moment ist das über das Internet wirklich einfach zu bewerkstelligen).
Wie Sie sehen können, ist es mir gelungen, mich ohne Mühe in Ihr E-Mail-Konto einzuloggen: (webmaster@domain.tld).
Innerhalb einer Woche danach habe ich einen Trojaner in Ihrem Betriebssystem installiert,
der auf allen Geräten zu finden ist, die Sie zum Einloggen in Ihr E-Mail-Konto verwenden.
Um ehrlich zu sein, war das eine sehr einfache Aufgabe (da Sie so freundlich waren, einige der Links in Ihren E-Mails zu öffnen).
Ich weiß, Sie denken jetzt vielleicht, dass ich ein Genie bin.
Mit Hilfe dieser nützlichen Software kann ich nun auf alle Controller in Ihren Geräten zugreifen (z.B. Videokamera, Tastatur, Mikrofon und andere).
Dadurch ist es mir gelungen, alle Ihre Fotos, persönlichen Daten, den Browserverlauf und andere Informationen ohne Probleme auf meine Server herunterzuladen.
Außerdem habe ich jetzt Zugriff auf alle Konten in Ihren Messengern, sozialen Netzwerken, E-Mails, Kontaktlisten, Chatverläufen - was immer Sie sich denken können.
Mein Trojaner-Virus aktualisiert seine Signaturen unaufhörlich (da er von einem Treiber gesteuert wird),
so dass er von keiner auf Ihrem PC oder Gerät installierten Antiviren-Software erkannt wird.
Ich schätze, Sie verstehen jetzt endlich, warum ich bis zu diesem Brief nie gefasst werden konnte...
Während der Zusammenstellung Ihrer persönlichen Daten konnte ich nicht umhin festzustellen,
dass Sie ein großer Bewunderer und regelmäßiger Gast von Webseiten mit nicht jugendfreien Inhalten sind.
Sie haben viel Freude daran, sich auf Webseiten mit pornografischen Inhalten umzusehen, versaute Pornofilme anzuschauen und atemberaubende Orgasmen zu erleben.
Lassen Sie mich ehrlich sein, es war wirklich schwer zu widerstehen,
einige dieser versauten Soloszenen mit Ihnen in der Hauptrolle aufzunehmen und sie in speziellen Videos zusammenzustellen,
die Ihre Masturbationssitzungen zeigen, an deren Ende Sie zum Höhepunkt kommen.
Falls Sie noch Zweifel haben sollten, brauche ich nur mit der Maus zu klicken und all diese versauten Videos mit Ihnen werden an Freunde, Kollegen und Verwandte von Ihnen weitergegeben.
Außerdem hält mich nichts davon ab, all diese heißen Inhalte online hochzuladen, damit auch die Öffentlichkeit sie sehen kann.
Ich hoffe aufrichtig, dass Sie das nicht wollen, denn wenn Sie an all die schmutzigen Dinge denken, die Sie sich gerne ansehen (Sie wissen sicher, was ich meine), wird das Ihren Ruf völlig ruinieren.
Aber keine Sorge, es gibt immer noch eine Möglichkeit, das Problem zu lösen:
Sie müssen mir 1790€ auf mein Konto überweisen (der entsprechende Betrag in Bitcoins hängt vom Wechselkurs zum Zeitpunkt des Geldtransfers ab),
und sobald ich die Transaktion erhalten habe, werde ich alle schmutzigen Videos mit Ihnen in der Hauptrolle löschen.
Danach können wir diesen unangenehmen Unfall vergessen.
Außerdem garantiere ich Ihnen, dass auch die gesamte Schadsoftware von Ihren Geräten und Konten gelöscht wird. Merken Sie sich meine Worte, ich lüge nie.
Ich versichere Ihnen, dass dies ein großartiges Schnäppchen zu einem niedrigen Preis ist, denn ich habe viel Mühe darauf verwendet,
alle Ihre Aktivitäten und schmutzigen Taten über einen langen Zeitraum aufzuzeichnen und aufzuspüren.
Falls Sie keine Ahnung haben, wie man Bitcoins kauft und transferiert - schauen Sie sich die entsprechenden Informationen im Internet an.
Hier ist meine Bitcoin-Brieftasche als Referenz für Sie: 1Dgd4jfNiGPoRrRPNgwgw2vcr6TgNGJ2FB
Von nun an haben Sie nur noch 48 Stunden Zeit und der Countdown hat begonnen, sobald Sie diese E-Mail geöffnet haben (in anderen Worten: 2 Tage).
Die folgende Liste enthält Dinge, die Sie auf keinen Fall tun oder auch nur versuchen sollten:
> Versuchen Sie nicht, diese E-Mail zu beantworten (da die E-Mail zusammen mit der Absenderadresse in Ihrem Posteingang erscheint).
> Versuchen Sie nicht, die Polizei oder einen anderen Sicherheitsdienst anzurufen oder zu benachrichtigen.
Außerdem ist es keine gute Idee, diese E-Mail an Ihre Freunde weiterzugeben, in der Hoffnung, dass sie Ihnen helfen.
Wenn ich das herausfinde (und ich weiß, dass das mühelos möglich ist, denn ich habe alle Ihre Geräte und Konten unter meiner Kontrolle und ununterbrochenen Beobachtung),
werden Ihre perversen Videos noch am selben Tag veröffentlicht.
> Versuchen Sie nicht, nach mir zu suchen - auch das würde zu nichts führen. Kryptowährungstransaktionen sind absolut anonym und können nicht zurückverfolgt werden.
> Verzichten Sie darauf, Ihr Betriebssystem auf Geräten neu zu installieren oder sie wegzuwerfen.
Auch das würde das Problem nicht lösen, da alle Ihre persönlichen Videos bereits hochgeladen und auf entfernten Servern gespeichert sind.
Dinge, die Sie vielleicht verwirren:
> Dass Ihr Geldtransfer nicht an mich weitergeleitet wird.
Beruhigen Sie sich, ich kann jede Transaktion sofort nachverfolgen, so dass ich bei einem Geldtransfer auch eine Benachrichtigung erhalte,
da ich immer noch die Kontrolle über Ihre Geräte habe (mein Trojaner ist in der Lage, alle Prozesse aus der Ferne zu steuern, genau wie TeamViewer).
> Dass ich Ihre schmutzigen Videos weitergeben werde, nachdem ich Geld von Ihnen überwiesen bekommen habe.
Hier müssen Sie mir vertrauen, denn es gibt absolut keinen Grund, Sie nach Erhalt des Geldes noch zu belästigen.
Und wenn ich wirklich wollte, wären all diese Videos schon längst öffentlich zugänglich!
Ich glaube, wir können diese Situation immer noch zu fairen Bedingungen regeln!
Hier ist mein letzter Rat an Sie... halten Sie sich in Zukunft besser von solchen Situationen fern!
Mein Rat - vergessen Sie nicht, Ihre Passwörter regelmäßig zu aktualisieren, um sich absolut sicher zu fühlen.Jul 17 11:06:27 hostname.isp.tld postfix/smtpd[484491]: connect from localhost[127.0.0.1]
wie geht das?
Code: Select all
Jul 17 11:06:05 hostname.isp.tld postfix/smtpd[484468]: connect from c171-173.i02-3.onvol.net[213.165.171.173]
Jul 17 11:06:06 hostname.isp.tld policyd-spf[484473]: prepend Received-SPF: Softfail (mailfrom) identity=mailfrom; client-ip=213.165.171.173; helo=c171-173.i02-3.onvol.net; envelope-from= webmaster@domain.tld; receiver=<UNKNOWN>
Jul 17 11:06:06 hostname.isp.tld postfix/smtpd[484468]: 65FF6201A4F: client=c171-173.i02-3.onvol.net[213.165.171.173]
Jul 17 11:06:06 hostname.isp.tld postfix/cleanup[484474]: 65FF6201A4F: message-id=<62D3ED1D.0831.3F6E9D@webmaster.domain.tld>
Jul 17 11:06:07 hostname.isp.tld postfix/qmgr[2576]: 65FF6201A4F: from=<webmaster@domain.tld>, size=15802, nrcpt=1 (queue active)
Jul 17 11:06:07 hostname.isp.tld amavis[168618]: (168618-04) NOTICE: reconnecting in response to: err=2013, HY000, DBD::mysql::st execute failed: Lost connection to MySQL server during query at (eval 110) line 173.
Jul 17 11:06:07 hostname.isp.tld postfix/smtpd[484468]: disconnect from c171-173.i02-3.onvol.net[213.165.171.173] ehlo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
Jul 17 11:06:17 hostname.isp.tld systemd-resolved[721]: Using degraded feature set (UDP) for DNS server 178.25.16.141.
Jul 17 11:06:19 hostname.isp.tld sshd[484482]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=91.192.136.43 user=root
Jul 17 11:06:21 hostname.isp.tld sshd[484482]: Failed password for root from 91.192.136.43 port 40300 ssh2
Jul 17 11:06:22 hostname.isp.tld systemd-resolved[721]: Using degraded feature set (TCP) for DNS server 178.25.16.141.
Jul 17 11:06:27 hostname.isp.tld postfix/smtpd[484491]: connect from localhost[127.0.0.1]
Jul 17 11:06:27 hostname.isp.tld postfix/smtpd[484491]: ED838201A51: client=localhost[127.0.0.1]
Jul 17 11:06:27 hostname.isp.tld postfix/cleanup[484474]: ED838201A51: message-id=<62D3ED1D.0831.3F6E9D@webmaster.domain.tld>
Jul 17 11:06:27 hostname.isp.tld postfix/smtpd[484491]: disconnect from localhost[127.0.0.1] ehlo=1 mail=1 rcpt=1 data=1 quit=1 commands=5
Jul 17 11:06:27 hostname.isp.tld postfix/qmgr[2576]: ED838201A51: from=<webmaster@domain.tld>, size=16713, nrcpt=1 (queue active)
Jul 17 11:06:27 hostname.isp.tld amavis[168618]: (168618-04) Passed SPAMMY {RelayedTaggedInbound}, [213.165.171.173]:33121 [213.165.171.173] <webmaster@domain.tld> -> <maillogin@domain.tld>, Queue-ID: 65FF6201A4F, Message-ID: <62D3ED1D.0831.3F6E9D@webmaster.domain.tld>, mail_id: 5osjF4jqjxOa, Hits: 10.678, size: 15766, queued_as: ED838201A51, 20556 ms
Jul 17 11:06:27 hostname.isp.tld postfix/smtp[484476]: 65FF6201A4F: to=<maillogin@domain.tld>, orig_to=<webmaster@domain.tld>, relay=127.0.0.1[127.0.0.1]:10024, delay=22, delays=1.2/0.01/0.01/21, dsn=2.0.0, status=sent (250 2.0.0 from MTA(smtp:[127.0.0.1]:10025): 250 2.0.0 Ok: queued as ED838201A51)
Jul 17 11:06:27 hostname.isp.tld postfix/qmgr[2576]: 65FF6201A4F: removed
Jul 17 11:06:28 hostname.isp.tld dovecot[168560]: lmtp(484493): Connect from local
Jul 17 11:06:28 hostname.isp.tld dovecot[168560]: lmtp(maillogin@domain.tld)<484493><nAVRARTR02KNZAcAJyBYZQ>: msgid=<62D3ED1D.0831.3F6E9D@webmaster.domain.tld>: saved mail to INBOX
Jul 17 11:06:28 hostname.isp.tld postfix/lmtp[484492]: ED838201A51: to=<maillogin@domain.tld>, relay=hostname.isp.tld[private/dovecot-lmtp], delay=0.12, delays=0.01/0.02/0.01/0.07, dsn=2.0.0, status=sent (250 2.0.0 <maillogin@domain.tld> nAVRARTR02KNZAcAJyBYZQ Saved)
Jul 17 11:06:28 hostname.isp.tld postfix/qmgr[2576]: ED838201A51: removed
Jul 17 11:06:28 hostname.isp.tld dovecot[168560]: lmtp(484493): Disconnect from local: Client has quit the connection (state=READY)
Jul 17 11:09:27 hostname.isp.tld postfix/anvil[484470]: statistics: max connection rate 1/60s for (smtp:213.165.171.173) at Jul 17 11:06:05
Jul 17 11:09:27 hostname.isp.tld postfix/anvil[484470]: statistics: max connection count 1 for (smtp:213.165.171.173) at Jul 17 11:06:05
Jul 17 11:09:27 hostname.isp.tld postfix/anvil[484470]: statistics: max cache size 1 at Jul 17 11:06:05
