Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Is de wordpress dns server gehacked?

22-10-2016, 10:39 door Briolet, 13 reacties
Laatst bijgewerkt: 23-10-2016, 10:59
Ik ontving gisteren een vreemd mailtje die apple Mail direct in de spambox geplaatst heeft. De inhoud was slechts één regel in slecht Nederlands:

Om veiligheidsredenen Ziggo uw account door te klikken op de link: Mijn Account

Die link wijst echter naar: "ziggoxxx.wordpress.com". (de xxx-jes gebruikt om te voorkomen dat anderen er gaan kijken). Het IP adres van dit subdomein ligt in dezelfde IP range als dat van "wordpress.com" zelf. Om dat subdomein aan te maken moet men toegang gehad hebben tot de DNS instellingen van het wordpress.com domein.

Nog vreemder is hoe de mail bij mij afgeleverd heeft kunnen worden. Er staat geen enkel afleveradres in de header. Hij is echter toch op de ziggo server afgeleverd en die heeft het bij mij afgeleverd. Het leesbare afleveradres adres is "undisclosed-recipients". Dat wijst dus niet naar mij, maar ook in de onderliggende header staan geen afleveradressen. Voor geïnteresseerden plaats ik hier de complete broncode van de mail. (Alleen de tekst uit de link heb ik met xxx-jes aangepast)

Return-Path: <tsi73241@scarlet.be>
Received: from md16.tb.mail.iss.local ([212.54.34.113])
by mc8.tb.mail.iss.local (Dovecot) with LMTP id olA1HOxkCli7MgAALmT+sg
; Fri, 21 Oct 2016 20:57:11 +0200
Received: from mx24.mnd.mail.iss.as9143.net ([212.54.34.113])
by md16.tb.mail.iss.local (Dovecot) with LMTP id CPyyNrSoEFetXQAAxAAgpA
; Fri, 21 Oct 2016 20:57:11 +0200
Received: from hel.is.scarlet.be ([193.74.71.26])
by mx24.mnd.mail.iss.as9143.net with esmtps (TLS1.0:DHE_RSA_AES_256_CBC_SHA1:256)
(Exim 4.82)
(envelope-from <tsi72341@scarlet.be>)
id 1bxf0A-00082q-Fs; Fri, 21 Oct 2016 20:57:10 +0200
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=scarlet.be;
s=scarlet; t=1477076174;
bh=UYSivD5pBmp6vowBjCSuQks0SrW351topazyL77SUlg=;
h=MIME-Version:Content-Type:Date:From:To:Subject:Message-ID;
b=gia45gx6NWETu35u7Vz1v3r+TNOURH/2ZqScR9QmpSxIWi7afUqmng714DkfA6tu7
LuGjgXCb1zhLUnuyy5Q9bcsgMxj3AlmrFgHWR8D6LTqpCgAg3qj5rH7x1/O+9Jqdi9
sciP9dIE+hhzSvgiK0pBrPX8O+iJD3erNsonuKZs=
Received: from webmail.scarlet.be (gresham.is.scarlet.be [193.74.71.215])
by hel.is.scarlet.be (8.14.9/8.14.9) with ESMTP id u9LIuD2I002639;
Fri, 21 Oct 2016 20:56:14 +0200
X-Scarlet: d=1477076174 c=193.74.71.215
Received: from [37.252.225.50]
via [37.252.225.50]
by webmail.scarlet.be
with HTTP (HTTP/1.1 POST); Fri, 21 Oct 2016 20:56:13 +0200
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="=_0ee3d114d7b0f99924365c378525c6dc"
Date: Fri, 21 Oct 2016 20:56:13 +0200
From: "Service(Mail)" <tsi72341@scarlet.be>
To: undisclosed-recipients:;
Subject: Mail-ziggo
Message-ID: <5f2d7820b32d662f5340f0828256a570@scarlet.be>
X-Sender: tsi73241@scarlet.be
User-Agent: Scarlet Webmail
X-DCC-scarlet.be-Metrics: hel; whitelist
X-Virus-Scanned: clamav-milter 0.98.1-exp at hel
X-Virus-Status: Clean
X-Ziggo-spamsetting: Instelling=Ziggo Scorelimiet=10
X-Ziggo-spambar: /
X-Ziggo-spamscore: 0.0
X-Ziggo-spamreport: CMAE Analysis: v=2.2 cv=Ra/gMxlv c=1 sm=0 tr=0 a=Pjo6BBjzIqFnu8cd4BMpvw==:17 a=MKtGQD3n3ToA:10 a=1oJP67jkp3AA:10 a=CH0kA5CcgfcA:10 a=Y4aQSXnqgyQA:10 a=ZZnuYtJkoWoA:10 a=8kaPNCjnAAAA:8 a=P6Hd6N1rqUqIrPzPbAoA:9 a=QEXdDO2ut3YA:10 a=BQj4rMLI2TAA:10 a=8I1fvUzyZ80mmgpRA8QA:9 a=_W_S_7VecoQA:10 a=AUhTcagb19QA:10 a=h28rWbPlwK1LymC_G6nl:22 xcat=Undefined/Undefined
none
X-Ziggo-Spam-Status: No
X-Spam-Status: No
X-Spam-Flag: No

--=_0ee3d114d7b0f99924365c378525c6dc
Content-Transfer-Encoding: 7bit
Content-Type: text/plain; charset=UTF-8


Om veiligheidsredenen Ziggo uw account door te klikken op de link:
Mijn Account [1]


Links:
------
[1]
https://ziggoxxx.wordpress.com/

--=_0ee3d114d7b0f99924365c378525c6dc
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html; charset=UTF-8

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN">
<html><body>
<p>Om veiligheidsredenen Ziggo uw account door te klikken op de link:&nbsp;=
<a href=3D"https://ziggoxxx.wordpress.com/">Mijn Account</a></p>
<div>&nbsp;</div>
</body></html>

--=_0ee3d114d7b0f99924365c378525c6dc--

Ik hoor het graag als iemand weet hoe die mail naar de ziggo servers en naar mij doorgestuurd kon worden.
Reacties (13)
22-10-2016, 10:52 door Anoniem
Je kan op https://nl.wordpress.com gewoon een website maken, wat dan een subdomein van wordpress.com wordt ;)
22-10-2016, 11:08 door Anoniem
Vraag jij je dat af bij ieder mailtje dat je niet herkend? De header laat toch al zien dat het troep is. Het lekken van je e-mail adres is waarschijnlijk doordat een website zn databases niet goed heeft beveiligd.
22-10-2016, 11:44 door Anoniem
Vreemde mail inderdaad

undisclosed-recipients Komt door verzending met BCC

Onder .wordpress.com kun je gewoon een website aanvragen. Dat zal hier zijn gebeurd.
Bezoek de site eens met urlquery ofzo.
22-10-2016, 12:40 door Anoniem
Dat is toch allemaal niks bijzonders? Mail verzonden als BCC, afgeleverd op Ziggo server mx24.mnd.mail.iss.as9143.net
en daarna lokaal afgeleverd in een mailstore, jij bent kennelijk een van de (BCC) geadresseerden.
Allemaal heel normaal voor SPAM.
22-10-2016, 12:41 door Anoniem
En oja wat dat wordpress domain betreft: daar kan iedereen zijn eigen pagina aanmaken dus spammers ook.
22-10-2016, 13:30 door Anoniem
Iedereen kan een gratis blog aanmaken met verzineennaam.wordpress.com als domein.
IP 212.54.34.113 is idd van Ziggo, ook niet op een blacklist zie ik.
Een undisclosed recipients krijg je in o.a. BCC velden.
22-10-2016, 13:38 door Anoniem
Ziggo heeft bar slecht de focus op security.
Hij staat nu in je spam toch, niets aan de hand :]

En anders een andere proper provider nemen.
22-10-2016, 15:53 door Briolet
Door Anoniem: Dat is toch allemaal niks bijzonders? Mail verzonden als BCC, afgeleverd op Ziggo server mx24.mnd.mail.iss.as9143.net
en daarna lokaal afgeleverd in een mailstore, jij bent kennelijk een van de (BCC) geadresseerden.

Dat dit via een BBC veld loopt was mij duidelijk, maar ook dan zie ik altijd in de 'received' velden staan voor welke uiteindelijke bestemming de mail is. Ik kan nu niet zien in de header hoe de diverse tussenliggende smtp servers weten waar ze de mail naar toe moeten doorgeven.
22-10-2016, 16:50 door Anoniem
Door Briolet:
Door Anoniem: Dat is toch allemaal niks bijzonders? Mail verzonden als BCC, afgeleverd op Ziggo server mx24.mnd.mail.iss.as9143.net
en daarna lokaal afgeleverd in een mailstore, jij bent kennelijk een van de (BCC) geadresseerden.

Dat dit via een BBC veld loopt was mij duidelijk, maar ook dan zie ik altijd in de 'received' velden staan voor welke uiteindelijke bestemming de mail is. Ik kan nu niet zien in de header hoe de diverse tussenliggende smtp servers weten waar ze de mail naar toe moeten doorgeven.

Het is best gebruikelijk, maar niet nodig of verplicht voor een mailserver om de Envelope-To in een header te vermelden.

De Envelope-To is het 'To:' adres wat in de SMTP dialoog opgegeven is, en echt gebruikt wordt om mail te adresseren.

De "To:" die een mailclient laat zien is feitelijk een onderdeel van de content, en heeft geen betekenis voor het afleveren van mail.

Het is jammer en hinderlijk als je de Envelope-To niet ziet, zeker als je veel aliassen op een mailbox laat uitkomen en wilt weten welke alias geoogst was voor een spam .
Maar goed, die in een header toevoegen is dus geen noodzaak of verplichting.
Je zou je provider kunnen vragen of ze hun mailserver wel de Envelope-To header laten toevoegen.
(je zult wel een beetje moeten doorzeuren denk ik - het is niet het soort vraag wat de eerste lijns helpdesk uberhaupt snapt )
22-10-2016, 17:12 door Erik van Straten
22-10-2016, 10:39 door Briolet: [...]Nog vreemder is hoe de mail bij mij afgeleverd heeft kunnen worden. Er staat geen enkel afleveradres in de header. Hij is echter toch op de ziggo server afgeleverd en die heeft het bij mij afgeleverd. Het leesbare afleveradres adres is "undisclosed-recipients". Dat wijst dus niet naar mij, maar ook in de onderliggende header staan geen afleveradressen.
[...]
Received: from hel.is.scarlet.be ([193.74.71.26])
    by mx24.mnd.mail.iss.as9143.net with esmtps (TLS1.0:DHE_RSA_AES_256_CBC_SHA1:256)
    (Exim 4.82)
    (envelope-from <[redacted]@scarlet.be>)
    id 1bxf0A-00082q-Fs; Fri, 21 Oct 2016 20:57:10 +0200
[...]
To: undisclosed-recipients:;
[...]
Ik hoor het graag als iemand weet hoe die mail naar de ziggo servers en naar mij doorgestuurd kon worden.
De Scarlet mailserver heeft tijdens de SMTP transactie meer dan 1 ontvanger bij ziggo.nl opgegeven; dan is het correct gedrag van de ontvangende mailserver om deze niet allemaal te vermelden in de headers. Immers, deze kunnen als Bcc zijn opgegeven in de e-mail (gaan jou dus niks aan) en de ontvangende server gaat dat niet uitpluizen en geeft deze mail, met de lijst van geadresseerden, door naar de volgende server bij Ziggo. Interne mailservers registreren dat soort gegevens meestal niet in de headers.

Je zou dit zelf kunnen testen door vanaf een niet-Ziggo account naar meerdere Ziggo accounts (misschien heb je zelf meerdere aliases, of heb je familie met een Ziggo account) een Bcc te sturen waarbij je het To: veld leeg laat.

Als het Scarlet account "tsi73241" niet door de spammers is aangemaakt gaat het waarschijnlijk om een gehacked account (daarom heb ik het als [redacted] aangemerkt hierboven, wellicht is het verstandig als jij dat ook aanpast).

Van het vermoedelijke afzender IP-adres 37.252.225.50 kan ik nauwelijks iets vinden, behalve dat dit adres door een (mogelijk virtuele) dame zou zijn gebruikt op een Franse "knuffelchat" site, http://www.jtaimerais.fr/fr/blacklist?user=&ip=37.252.225.50.
22-10-2016, 18:18 door Anoniem
Door Anoniem: Ziggo heeft bar slecht de focus op security.

Wat is dat nou weer voor popi-jopie opmerking?
De security blunders zitten bij scarlet.be en wordpress.com, ziggo heeft alleen een mail aangepakt en als spam
gemarkeerd.
22-10-2016, 19:53 door Anoniem
Door Anoniem:
Door Anoniem: Ziggo heeft bar slecht de focus op security.

Wat is dat nou weer voor popi-jopie opmerking?
De security blunders zitten bij scarlet.be en wordpress.com, ziggo heeft alleen een mail aangepakt en als spam
gemarkeerd.

Ik zou juist denken dat ze het als een van de weinige NL ISPers goed voor elkaar hebben. Van hun spamfilter kan KPN nog wat leren.
23-10-2016, 12:21 door Briolet
Door Erik van Straten: De Scarlet mailserver heeft tijdens de SMTP transactie meer dan 1 ontvanger bij ziggo.nl opgegeven; dan is het correct gedrag van de ontvangende mailserver om deze niet allemaal te vermelden in de headers.…
… Interne mailservers registreren dat soort gegevens meestal niet in de headers.

Je zou dit zelf kunnen testen door vanaf een niet-Ziggo account naar meerdere Ziggo accounts (misschien heb je zelf meerdere aliases, of heb je familie met een Ziggo account) een Bcc te sturen waarbij je het To: veld leeg laat.

Dank voor de verduidelijking. Voor security awareness is het ook belangrijk dat je weet hoe dingen werken. Ik heb nu 3 testmailtjes via gmail, icloud en dataweb verzonden. Ik zie inderdaad dat de eerste 2 ook geen 'for' adres in de received veld gebruiken. Bij alle drie vind ik echter wel mijn for adres terug in de laatste stap in de interne verwerking bij ziggo. (bij "Received: from md16.tb.mail.iss.local") Ik heb geen idee waarom Ziggo het boven dan anders gedaan heeft dan in deze testen.

Mijn eigen mailserver stuurt dergelijke BBC mailjes altijd als aparte mailtjes de deur uit. Mijn externe mailprovider (dataweb.nl) doet dat ook waardoor ik altijd dacht dat dit standaard is. Ik zie nu dat GMail en iCloud dat anders doen. Blijkbaar worden de bcc mailtjes naar hetzelfde domein als 1 mailtje gestuurd. En ziggo ziet dat de aliassen allen tot hetzelfde account behoren en levert maar één mailtje af voor al mijn aliassen samen aan mijn hoofdadres zodat ik nog steeds niet kan zien voor welke alias hij bedoeld is. Alleen het geforwarde mailtje aan een familielid komt als tweede mail binnen.

Ik ontdekte ook iets nieuws in Apple mail. Identieke mailtjes laat hij maar als één enkele mail zien. Zelfs het geforwarde mailtje zie ik niet meer apart in mijn mailbox. Als ik het bronbestand bekijk is dat slechts van één van de mailtjes. Als ik de kopteksten laat zien voor zo'n mail, vind ik wel stukken van de drie mailtjes terug. In het via dataweb verstuurde mailtje trof ik zelfs de 3 'for' adressen aan. Leuk, maar slecht voor het testen. Via webmail kon ik wel de individuele mailjes zien, net als met thunderbird.

Als het Scarlet account "tsi72341" ) gehacked is…
Met zo'n nummer in de naam lijkt het me speciaal aangemaakt voor deze phishing actie, maar ik heb toch maar de nummers in de eerste post aangepast.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.