*

Opa Spylac

  • ******
  • 5925
  • O<erveen
    • Second Life Audio
Hebben we een virus bij audiofreaks?
« Gepost op: 28 januari 2016, 07:21:05 »
With sufficient thrust ducks fly just fine.
            >(.)__ <(.)__ =(.)__
               (___/  (___/  (___/

*

B. Gehakt

  • ******
  • 7295
  • Ik post niet op woensdag.
    • Suzy Wong
Re: Hebben we een virus bij audiofreaks?
« Reactie #1 Gepost op: 28 januari 2016, 08:40:12 »
Dat is vast het Ziggovirus, waar de laatste tijd zoveel over te doen is.

*

i2Paq

  • ******
  • 2958
  • Beleving is puur persoonlijk
Re: Hebben we een virus bij audiofreaks?
« Reactie #2 Gepost op: 28 januari 2016, 08:41:15 »
Iedereen kan een mail versturen en doen alsof het afkomstig is van een andere e-mail adres.
Het feit dat licht sneller gaat dan geluid kan mogelijk verklaren dat iemand een helder licht lijkt, totdat hij begint te praten...

*

T82

  • *****
  • 1767
Re: Hebben we een virus bij audiofreaks?
« Reactie #3 Gepost op: 28 januari 2016, 09:25:07 »
Bekijk de header eens van dit bericht, ik vermoed dat hier sprake is van backscatter-mail.
Echter wel weer apart dat zo'n e-mail dan juist bij één van de forumleden terecht komt? Dat is dan wel heel toevallig, of eigenlijk té toevallig.
« Laatst bewerkt op: 28 januari 2016, 09:27:51 door T82 »
Pioneer A-70 | Sony CDP-XB930 | Sony MDS-JB940 | Sony DVP-NS900V | Pioneer VSX-924 | Pioneer PLX-1000 | AT440Mla - Ortofon 2M Blue - Grado Prestige Gold | Cambridge 651P | Cambridge Dac Magic PLus

*

Opa Spylac

  • ******
  • 5925
  • O<erveen
    • Second Life Audio
Re: Hebben we een virus bij audiofreaks?
« Reactie #4 Gepost op: 28 januari 2016, 09:37:14 »
Bekijk de header eens van dit bericht, ik vermoed dat hier sprake is van backscatter-mail.
Echter wel weer apart dat zo'n e-mail dan juist bij één van de forumleden terecht komt? Dat is dan wel heel toevallig, of eigenlijk té toevallig.

Jij snapt het.

Een e-mail met als afzender "webmaster@audiofreaks.nl" komt terecht op het e-mailadres wat ik heb ingegeven bij mijn gegevens op audiofreaks.nl.

Ik zie maar twee mogelijkheden hoe ik die mail gekregen kan hebben;

- de site van audiofreaks is gecompromitteerd
- er is een gebruiker met wie ik ge-pm'd heb die een virus op zijn systeem heeft

Dat laatste zou kunnen, alleen is het dan wel stomtoevallig dat als spoofafzender webmaster@audiofreaks.nl is gebruikt.

Er zal vast ook nog wel een andere verklaring zijn, maar die schiet mij nu in ieder geval even niet te binnen.
With sufficient thrust ducks fly just fine.
            >(.)__ <(.)__ =(.)__
               (___/  (___/  (___/

*

T82

  • *****
  • 1767
Re: Hebben we een virus bij audiofreaks?
« Reactie #5 Gepost op: 28 januari 2016, 09:50:04 »
Ik ben wel benieuwd naar de header van de e-mail, die kan je als volgt in Outlook achterhalen.

1. Open het betreffende bericht en ga naar bestand > eigenschappen.
2. Onderaan dit scherm staat de "internetheader" deze bevat o.a. informatie over de manier van verzending.

Als ik in jouw profiel kijk heb je wel de optie ingeschakeld dat forumleden via het AF-forum een e-mail mogen versturen.
Op deze manier zou een (geregistreerde) "spammer" alhier dus ook de betreffende e-mail gestuurd kunnen hebben via spam-tools als X-Rumer.
Dit zou een aanwijzing kunnen zijn dat "webmaster@audiofreaks.nl" is gebruikt, maar ergens ook weer niet omdat er dan een vermelding zou moeten zijn van de SMF-software.

Citaat
de site van audiofreaks is gecompromitteerd
Dat zou dan een vulnerability op de server moeten zijn waardoor b.v. de SQL-DB gehackt zou kunnen zijn; Waardoor e-mailadressen, wachtwoorden en gebruikersnamen zijn buitgemaakt!
Pioneer A-70 | Sony CDP-XB930 | Sony MDS-JB940 | Sony DVP-NS900V | Pioneer VSX-924 | Pioneer PLX-1000 | AT440Mla - Ortofon 2M Blue - Grado Prestige Gold | Cambridge 651P | Cambridge Dac Magic PLus

*

Opa Spylac

  • ******
  • 5925
  • O<erveen
    • Second Life Audio
Re: Hebben we een virus bij audiofreaks?
« Reactie #6 Gepost op: 28 januari 2016, 10:05:44 »
Ik begin toch een beetje te vrezen voor een serverside issue; https://www.google.nl/webhp?hl=nl#hl=nl&q=codefreaks.nl

Dit is de header;

Delivered-To: mijnemailadres@gmail.com
Received: by 10.50.30.163 with SMTP id t3csp293897igh;
        Wed, 27 Jan 2016 21:28:35 -0800 (PST)
X-Received: by 10.28.11.73 with SMTP id 70mr871547wml.40.1453958915656;
        Wed, 27 Jan 2016 21:28:35 -0800 (PST)
Return-Path: <apache@codefreaks.nl>
Received: from dedi.codefreaks.nl (dedi.codefreaks.nl. [91.218.124.220])
        by mx.google.com with ESMTP id e10si1888932wme.27.2016.01.27.21.28.35
        for <mijnemailadres@gmail.com>;
        Wed, 27 Jan 2016 21:28:35 -0800 (PST)
Received-SPF: pass (google.com: domain of apache@codefreaks.nl designates 91.218.124.220 as permitted sender) client-ip=91.218.124.220;
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of apache@codefreaks.nl designates 91.218.124.220 as permitted sender) smtp.mailfrom=apache@codefreaks.nl
Received: by dedi.codefreaks.nl (Postfix, from userid 48)
   id B235224123C; Thu, 28 Jan 2016 06:28:04 +0100 (CET)
To: mijnemailadres@gmail.com
Subject: VHFBAGaSGWIxqfMPq
X-PHP-Originating-Script: 48:Subs-Post.php
From: "rwrkut@vwistx.com" <webmaster@audiofreaks.nl>
Reply-To: <rwrkut@vwistx.com>
Date: Thu, 28 Jan 2016 05:28:04 -0000
X-Mailer: SMF
Mime-Version: 1.0
Content-Type: multipart/alternative; boundary="SMF-18c514d72aa16ab6ef73b1a602bf70fb"
Content-Transfer-Encoding: 7bit
Message-Id: <20160128052804.B235224123C@dedi.codefreaks.nl>

With sufficient thrust ducks fly just fine.
            >(.)__ <(.)__ =(.)__
               (___/  (___/  (___/

*

Opa Spylac

  • ******
  • 5925
  • O<erveen
    • Second Life Audio
Re: Hebben we een virus bij audiofreaks?
« Reactie #7 Gepost op: 28 januari 2016, 10:09:08 »
Maar misschien is het geen virus, maar alleen een mislukte mail poging. Desondanks zijn de gegenereerde URL's dan wel vreemd (ik heb ze overigens niet gecheckt).
With sufficient thrust ducks fly just fine.
            >(.)__ <(.)__ =(.)__
               (___/  (___/  (___/

*

morph

  • *****
  • 13094
Re: Hebben we een virus bij audiofreaks?
« Reactie #8 Gepost op: 28 januari 2016, 10:10:29 »
Iedereen kan een mail versturen en doen alsof het afkomstig is van een andere e-mail adres.
Precies.
En elke site heeft wel een webmaster (of die dat adres met @de-site-naampuntnogwat nu feitelijk gebruikt of niet). Dus het lijkt een "bekende".
Je hebt dan als spammer mensen in verwarring gebracht. En dat schijnt leuk te zijn...

*

Opa Spylac

  • ******
  • 5925
  • O<erveen
    • Second Life Audio
Re: Hebben we een virus bij audiofreaks?
« Reactie #9 Gepost op: 28 januari 2016, 10:18:07 »
Iedereen kan een mail versturen en doen alsof het afkomstig is van een andere e-mail adres.
Precies.
En elke site heeft wel een webmaster (of die dat adres met @de-site-naampuntnogwat nu feitelijk gebruikt of niet). Dus het lijkt een "bekende".
Je hebt dan als spammer mensen in verwarring gebracht. En dat schijnt leuk te zijn...

Spam met afzenders die niet kloppen (gespoofed zijn) is standaard, maar wat niet standaard is, is dat je een spam krijgt van een website op het e-mailadres wat je daar geregistreerd hebt. Puur toevaltechnisch gezien zou het kunnen, maar de kans is zo klein dat je je toch even achter je oren moet krabben als je een spam als deze ontvangt.

Overigens kan je uit de header altijd het werkelijke verzend-ip achterhalen, maar dat komt altijd van een gecompromitteerd systeem wat als mailserver of distributiesysteem wordt misbruikt, wat er in de praktijk op neer komt dat dat systeem met een virus of een trojan besmet is.
With sufficient thrust ducks fly just fine.
            >(.)__ <(.)__ =(.)__
               (___/  (___/  (___/

*

T82

  • *****
  • 1767
Re: Hebben we een virus bij audiofreaks?
« Reactie #10 Gepost op: 28 januari 2016, 10:27:51 »
De e-mailheader is wel interessant, het domein "codefreaks.nl" is een pointer naar "audiofreaks.nl", net zoals "audio-forum.nl" en "audiovrienden.nl" zag ik met een tracert.
Maar de betreffende e-mail is dus verstuurd via Subs-Post.php wat een algemeen functie van SMF is en o.a. gebruikt wordt voor het versturen van e-mails.
Na wat verder onderzoek blijkt SMF dus geen beveiligde verbinding met GMail te ondersteunen, en juist deze mail is aangekomen bij een GMail account - dat is wel apart.

Verder laat de e-mailheader zien dat het bericht is verzonden vanaf een account op AF wat "rwrkut@vwistx.com" als e-mailadres in gebruik heeft.
Het is dus wellicht een geregistreerde spammer op AF die de e-mailfunctie gebruikt heeft om één of meerdere gebruikers te spammen.
Pioneer A-70 | Sony CDP-XB930 | Sony MDS-JB940 | Sony DVP-NS900V | Pioneer VSX-924 | Pioneer PLX-1000 | AT440Mla - Ortofon 2M Blue - Grado Prestige Gold | Cambridge 651P | Cambridge Dac Magic PLus

*

Opa Spylac

  • ******
  • 5925
  • O<erveen
    • Second Life Audio
Re: Hebben we een virus bij audiofreaks?
« Reactie #11 Gepost op: 28 januari 2016, 10:39:12 »
Dit is jouw header;

Delivered-To: mijnemailadres@gmail.com
Received: by 10.50.30.163 with SMTP id t3csp392372igh;
        Thu, 28 Jan 2016 01:29:59 -0800 (PST)
X-Received: by 10.194.205.103 with SMTP id lf7mr1910201wjc.147.1453973399721;
        Thu, 28 Jan 2016 01:29:59 -0800 (PST)
Return-Path: <apache@codefreaks.nl>
Received: from dedi.codefreaks.nl (dedi.codefreaks.nl. [91.218.124.220])
        by mx.google.com with ESMTP id c124si3031171wmf.52.2016.01.28.01.29.59
        for <mijnemailadres@gmail.com>;
        Thu, 28 Jan 2016 01:29:59 -0800 (PST)
Received-SPF: pass (google.com: domain of apache@codefreaks.nl designates 91.218.124.220 as permitted sender) client-ip=91.218.124.220;
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of apache@codefreaks.nl designates 91.218.124.220 as permitted sender) smtp.mailfrom=apache@codefreaks.nl
Received: by dedi.codefreaks.nl (Postfix, from userid 48)
        id 2641D24123C; Thu, 28 Jan 2016 10:29:27 +0100 (CET)
To: mijnemailadres@gmail.com
Subject: Test
X-PHP-Originating-Script: 48:Subs-Post.php
From: "jouwemailadres@hotmail.com" <webmaster@audiofreaks.nl>
Reply-To: <jouwemailadres@hotmail.com>
Date: Thu, 28 Jan 2016 09:29:27 -0000
X-Mailer: SMF
Mime-Version: 1.0
Content-Type: multipart/alternative; boundary="SMF-05d0d8d45ae48d846bfbfe4b78f7e8d3"
Content-Transfer-Encoding: 7bit
Message-Id: <20160128092927.2641D24123C@dedi.codefreaks.nl>

Ah, ok, ik begin 'm te vatten, het is dus geen beveilgingsprobleem, maar een handige hufter die weet dat je dit kan doen met de forumsoftware.

Het is dus wél afkomstig van een geregistreerde gebruiker, mods, svp blocken die hap! En al die andere spoof accounts ook svp!!! (gnagna, zijn ze wel even zoet mee...)

Edit: oeps...
« Laatst bewerkt op: 28 januari 2016, 10:59:18 door Ome Spylac, de oom van Pa Spylac, de broer van Opa Spylac »
With sufficient thrust ducks fly just fine.
            >(.)__ <(.)__ =(.)__
               (___/  (___/  (___/

*

T82

  • *****
  • 1767
Re: Hebben we een virus bij audiofreaks?
« Reactie #12 Gepost op: 28 januari 2016, 10:43:31 »
Op regel 16 staat jouw e-mailadres nog, deze zou ik nog even wegpoetsen.

Maar het probleem is dus boven tafel, en zoals ik al vermoedde een spammert die de forumfunctie(s) misbruikt...
« Laatst bewerkt op: 28 januari 2016, 10:46:34 door T82 »
Pioneer A-70 | Sony CDP-XB930 | Sony MDS-JB940 | Sony DVP-NS900V | Pioneer VSX-924 | Pioneer PLX-1000 | AT440Mla - Ortofon 2M Blue - Grado Prestige Gold | Cambridge 651P | Cambridge Dac Magic PLus

*

Opa Spylac

  • ******
  • 5925
  • O<erveen
    • Second Life Audio
Re: Hebben we een virus bij audiofreaks?
« Reactie #13 Gepost op: 28 januari 2016, 11:02:24 »
Ik heb wel eens in de geregistreerde gebruikerslijst zitten neuzen, een zeer groot deel daarvan zijn bullshit accounts en vaak al heel oud, met verwijzingen naar spamwebsites die al niet eens meer bestaan. Voordat je dat opgeschoond hebt, arme mods....

't Zal wel opluchten, dan wordt het aantal geregistreerde gebruikers gelijk aan het aantal actieve, een stuk of 10 dus  ;D.
With sufficient thrust ducks fly just fine.
            >(.)__ <(.)__ =(.)__
               (___/  (___/  (___/


*

T82

  • *****
  • 1767
Re: Hebben we een virus bij audiofreaks?
« Reactie #14 Gepost op: 28 januari 2016, 11:12:59 »
De ledenlijst opschonen is monnikenwerk, het installeren van een modificatie die gebruik maakt van http://www.stopforumspam.com/ is een stuk lucratiever om dergelijke paria's te weren.  ;D
Pioneer A-70 | Sony CDP-XB930 | Sony MDS-JB940 | Sony DVP-NS900V | Pioneer VSX-924 | Pioneer PLX-1000 | AT440Mla - Ortofon 2M Blue - Grado Prestige Gold | Cambridge 651P | Cambridge Dac Magic PLus