Results 1 to 9 of 9

Thread: Site gehacked?

  1. #1
    J.W. de Bokx
    Join Date
    Jun 2007
    Location
    Pijnacker
    Posts
    82

    Site gehacked?

    Het lijkt er op dat de NLDelphi site of forum de emailadressen heeft gelekt of zijn buitgemaakt bij een hack.
    Ik gebruik voor NLDelphi een emailadres met NLDelphi voor de @, want door een eigen emailserver kan ik daar alles voor zetten wat ik wil.
    Dit emailadres is dus alleen ooit ingevoerd op deze site, en is verder niet in gebruik.

    Toch krijg ik nu spam op dit emailadres!
    Een account notification van PayPal, maar die weten dit adres niet....

    Dus als je spontaan meer spam krijgt, kan het via NLDelphi gekomen zijn...


    Groetjes,

    Jan de Bokx

  2. #2
    Die account notification van PayPal is malware....

  3. #3
    Ik vroeg me al af hoe ze die "This message is from a trusted sender." erin kregen.
    Maar dat staat gewoon in de HTML van de mail

    Click image for larger version. 

Name:	froexA2.png 
Views:	198 
Size:	23.9 KB 
ID:	7576

  4. #4
    Fornicatorus Formicidae VideoRipper's Avatar
    Join Date
    Mar 2005
    Location
    Vicus Saltus Orientalem
    Posts
    5,708
    Ik word weer buitengesloten en heb een dergelijke mail (nog) niet mogen ontvangen.
    TMemoryLeak.Create(Nil);

  5. #5
    @VideoRipper, Misschien zijn de hackers nog niet bij de V.
    1+1=b

  6. #6
    Spannend! Kan iemand de eml of de header eens posten? Dan kunnen we zien hoe de mail is verzonden.
    Marcel

  7. #7
    Geen idee of deze "via" het e-mail adres van NLDelphi is gekomen want ik heb daar geen aparte voor.
    Mijn domein wel even gewijzigd in "mijndomein.nl".
    De mail zelf is in ieder geval via een PHP-Script (exploit) verzonden maar dat zegt natuurlijk niets over hoe ze aan mijn e-mail adres komen.
    Interessanter is natuurlijk hoe ze aan het e-mail adres van Jan zijn gekomen.


    (onderwerp is "Account Notification 06/10" maar dat is encoded)

    Code:
    Return-Path: <dandw@vps7737.inmotionhosting.com>
    Delivered-To: <rik@mijndomein.nl>
    Received: from mijndomein.nl
    	by space01 (Dovecot) with LMTP id t2UXDV1TPFnDRAAAOYi0gQ
    	for <rik@mijndomein.nl>; Sat, 10 Jun 2017 22:15:25 +0200
    Received: by mijndomein.nl (Postfix, from userid 112)
    	id 12BD1780D30; Sat, 10 Jun 2017 22:15:25 +0200 (CEST)
    X-Spam-Checker-Version: SpamAssassin 3.4.0 (2014-02-07) on space01
    X-Spam-Flag: YES
    X-Spam-Level: ************************
    X-Spam-Status: Yes, score=24.9 required=5.0 tests=BAYES_05,FROM_EXCESS_BASE64,
    	FSL_ABUSED_WEB_1,FSL_ABUSED_WEB_2,HTML_MESSAGE,RCVD_IN_BRBL_LASTEXT,
    	TVD_PH_SEC,T_TVD_MIME_NO_HEADERS,URIBL_PH_SURBL autolearn=no
    	autolearn_force=no version=3.4.0
    X-Spam-Report: 
    	*  1.8 TVD_PH_SEC BODY: Message includes a phrase commonly used in phishing
    	*       mails
    	*  1.0 FSL_ABUSED_WEB_1 Has X-AntiAbuse header
    	*  1.0 FSL_ABUSED_WEB_2 Has X-PHP-Script header
    	*  0.6 URIBL_PH_SURBL Contains an URL listed in the PH SURBL blocklist
    	*      [URIs: 3shopbox.com]
    	*  0.0 HTML_MESSAGE BODY: HTML included in message
    	* -0.5 BAYES_05 BODY: Bayes spam probability is 1 to 5%
    	*      [score: 0.0317]
    	*  0.0 T_TVD_MIME_NO_HEADERS BODY: No description available.
    	*   20 RCVD_IN_BRBL_LASTEXT RBL: No description available.
    	*      [70.39.150.121 listed in bb.barracudacentral.org]
    	*  1.0 FROM_EXCESS_BASE64 From: base64 encoded unnecessarily
    Received: from vps7737.inmotionhosting.com (vps7737.inmotionhosting.com [70.39.150.121])
    	by mijndomein.nl (Postfix) with ESMTPS id 846F9780224
    	for <rik@mijndomein.nl>; Sat, 10 Jun 2017 22:15:21 +0200 (CEST)
    Received: from dandw by vps7737.inmotionhosting.com with local (Exim 4.87)
    	(envelope-from <dandw@vps7737.inmotionhosting.com>)
    	id 1dJlGT-0008Sc-6z
    	for rik@mijndomein.nl; Sat, 10 Jun 2017 14:37:37 -0400
    To: rik@mijndomein.nl
    Subject: ****SPAM(024.9)**** =?UTF-8?B?QWNjb3VudCBOb3RpZmljYXRpb24gMDYvMTA=?=
    X-PHP-Script: www.dardenwells.com/store/js/calendar/skins/clean.php for 41.230.89.159
    From: =?UTF-8?B?UGF5cGFs?= <teampaypal@support.com>
    MIME-Version: 1.0;
    Content-type: multipart/mixed; boundary="--L51G4hbdDZ"
    Message-Id: <E1dJlGT-0008Sc-6z@vps7737.inmotionhosting.com>
    Date: Sat, 10 Jun 2017 14:37:37 -0400
    X-OutGoing-Spam-Status: No, score=1.6
    X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
    X-AntiAbuse: Primary Hostname - vps7737.inmotionhosting.com
    X-AntiAbuse: Original Domain - mijndomein.nl
    X-AntiAbuse: Originator/Caller UID/GID - [520 32003] / [47 12]
    X-AntiAbuse: Sender Address Domain - vps7737.inmotionhosting.com
    X-Get-Message-Sender-Via: vps7737.inmotionhosting.com: authenticated_id: dandw/only user confirmed/virtual account not confirmed
    X-Authenticated-Sender: vps7737.inmotionhosting.com: dandw
    X-Source: 
    X-Source-Args: 
    X-Source-Dir: 
    X-Greylist: Delayed for 01:37:42 by milter-greylist-4.5.11 (mijndomein.nl [0.0.0.0]); Sat, 10 Jun 2017 22:15:21 +0200 (CEST)
    X-Greylist: inspected; Sat, 10 Jun 2017 22:15:21 +0200 (CEST) for US - IP:70.39.150.121 DOMAIN:vps7737.inmotionhosting.com HELO:vps7737.inmotionhosting.com FROM:dandw@vps7737.inmotionhosting.com RCPT:
    X-Spam-Prev-Subject: =?UTF-8?B?QWNjb3VudCBOb3RpZmljYXRpb24gMDYvMTA=?=

  8. #8
    Ik zie zo hier en daar wel problemen met vBulletin, maar de versie is toch redelijk up-to-date.

    Ik dacht voor de zekerheid even de update van vBulletin te installeren, maar zoals dat wel vaker gaat met vBulletin en / of PHP gaf dat meteen foutmeldingen. Het zal ongetwijfeld iets te maken hebben met 1 van de 100.000 instellingen die ergens verkeerd staat . De security patch werkte gelukkig wel, dus die heb ik alvast geïnstalleerd.
    Marcel

  9. #9
    Quote Originally Posted by VideoRipper View Post
    Ik word weer buitengesloten en heb een dergelijke mail (nog) niet mogen ontvangen.
    Ik al 2 keer, maar mijn naam begint dan ook met een B.

    Bart

Thread Information

Users Browsing this Thread

There are currently 1 users browsing this thread. (0 members and 1 guests)

Bookmarks

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •