Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Is de wordpress dns server gehacked?
Ik ontving gisteren een vreemd mailtje die apple Mail direct in de spambox geplaatst heeft. De inhoud was slechts één regel in slecht Nederlands:
Die link wijst echter naar: "ziggoxxx.wordpress.com". (de xxx-jes gebruikt om te voorkomen dat anderen er gaan kijken). Het IP adres van dit subdomein ligt in dezelfde IP range als dat van "wordpress.com" zelf. Om dat subdomein aan te maken moet men toegang gehad hebben tot de DNS instellingen van het wordpress.com domein.
Nog vreemder is hoe de mail bij mij afgeleverd heeft kunnen worden. Er staat geen enkel afleveradres in de header. Hij is echter toch op de ziggo server afgeleverd en die heeft het bij mij afgeleverd. Het leesbare afleveradres adres is "undisclosed-recipients". Dat wijst dus niet naar mij, maar ook in de onderliggende header staan geen afleveradressen. Voor geïnteresseerden plaats ik hier de complete broncode van de mail. (Alleen de tekst uit de link heb ik met xxx-jes aangepast)
Ik hoor het graag als iemand weet hoe die mail naar de ziggo servers en naar mij doorgestuurd kon worden.
Om veiligheidsredenen Ziggo uw account door te klikken op de link: Mijn Account
Die link wijst echter naar: "ziggoxxx.wordpress.com". (de xxx-jes gebruikt om te voorkomen dat anderen er gaan kijken). Het IP adres van dit subdomein ligt in dezelfde IP range als dat van "wordpress.com" zelf. Om dat subdomein aan te maken moet men toegang gehad hebben tot de DNS instellingen van het wordpress.com domein.
Nog vreemder is hoe de mail bij mij afgeleverd heeft kunnen worden. Er staat geen enkel afleveradres in de header. Hij is echter toch op de ziggo server afgeleverd en die heeft het bij mij afgeleverd. Het leesbare afleveradres adres is "undisclosed-recipients". Dat wijst dus niet naar mij, maar ook in de onderliggende header staan geen afleveradressen. Voor geïnteresseerden plaats ik hier de complete broncode van de mail. (Alleen de tekst uit de link heb ik met xxx-jes aangepast)
Return-Path: <tsi73241@scarlet.be>
Received: from md16.tb.mail.iss.local ([212.54.34.113])
by mc8.tb.mail.iss.local (Dovecot) with LMTP id olA1HOxkCli7MgAALmT+sg
; Fri, 21 Oct 2016 20:57:11 +0200
Received: from mx24.mnd.mail.iss.as9143.net ([212.54.34.113])
by md16.tb.mail.iss.local (Dovecot) with LMTP id CPyyNrSoEFetXQAAxAAgpA
; Fri, 21 Oct 2016 20:57:11 +0200
Received: from hel.is.scarlet.be ([193.74.71.26])
by mx24.mnd.mail.iss.as9143.net with esmtps (TLS1.0:DHE_RSA_AES_256_CBC_SHA1:256)
(Exim 4.82)
(envelope-from <tsi72341@scarlet.be>)
id 1bxf0A-00082q-Fs; Fri, 21 Oct 2016 20:57:10 +0200
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=scarlet.be;
s=scarlet; t=1477076174;
bh=UYSivD5pBmp6vowBjCSuQks0SrW351topazyL77SUlg=;
h=MIME-Version:Content-Type:Date:From:To:Subject:Message-ID;
b=gia45gx6NWETu35u7Vz1v3r+TNOURH/2ZqScR9QmpSxIWi7afUqmng714DkfA6tu7
LuGjgXCb1zhLUnuyy5Q9bcsgMxj3AlmrFgHWR8D6LTqpCgAg3qj5rH7x1/O+9Jqdi9
sciP9dIE+hhzSvgiK0pBrPX8O+iJD3erNsonuKZs=
Received: from webmail.scarlet.be (gresham.is.scarlet.be [193.74.71.215])
by hel.is.scarlet.be (8.14.9/8.14.9) with ESMTP id u9LIuD2I002639;
Fri, 21 Oct 2016 20:56:14 +0200
X-Scarlet: d=1477076174 c=193.74.71.215
Received: from [37.252.225.50]
via [37.252.225.50]
by webmail.scarlet.be
with HTTP (HTTP/1.1 POST); Fri, 21 Oct 2016 20:56:13 +0200
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="=_0ee3d114d7b0f99924365c378525c6dc"
Date: Fri, 21 Oct 2016 20:56:13 +0200
From: "Service(Mail)" <tsi72341@scarlet.be>
To: undisclosed-recipients:;
Subject: Mail-ziggo
Message-ID: <5f2d7820b32d662f5340f0828256a570@scarlet.be>
X-Sender: tsi73241@scarlet.be
User-Agent: Scarlet Webmail
X-DCC-scarlet.be-Metrics: hel; whitelist
X-Virus-Scanned: clamav-milter 0.98.1-exp at hel
X-Virus-Status: Clean
X-Ziggo-spamsetting: Instelling=Ziggo Scorelimiet=10
X-Ziggo-spambar: /
X-Ziggo-spamscore: 0.0
X-Ziggo-spamreport: CMAE Analysis: v=2.2 cv=Ra/gMxlv c=1 sm=0 tr=0 a=Pjo6BBjzIqFnu8cd4BMpvw==:17 a=MKtGQD3n3ToA:10 a=1oJP67jkp3AA:10 a=CH0kA5CcgfcA:10 a=Y4aQSXnqgyQA:10 a=ZZnuYtJkoWoA:10 a=8kaPNCjnAAAA:8 a=P6Hd6N1rqUqIrPzPbAoA:9 a=QEXdDO2ut3YA:10 a=BQj4rMLI2TAA:10 a=8I1fvUzyZ80mmgpRA8QA:9 a=_W_S_7VecoQA:10 a=AUhTcagb19QA:10 a=h28rWbPlwK1LymC_G6nl:22 xcat=Undefined/Undefined
none
X-Ziggo-Spam-Status: No
X-Spam-Status: No
X-Spam-Flag: No
--=_0ee3d114d7b0f99924365c378525c6dc
Content-Transfer-Encoding: 7bit
Content-Type: text/plain; charset=UTF-8
Om veiligheidsredenen Ziggo uw account door te klikken op de link:
Mijn Account [1]
Links:
------
[1]
https://ziggoxxx.wordpress.com/
--=_0ee3d114d7b0f99924365c378525c6dc
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html; charset=UTF-8
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN">
<html><body>
<p>Om veiligheidsredenen Ziggo uw account door te klikken op de link: =
<a href=3D"https://ziggoxxx.wordpress.com/">Mijn Account</a></p>
<div> </div>
</body></html>
--=_0ee3d114d7b0f99924365c378525c6dc--
Received: from md16.tb.mail.iss.local ([212.54.34.113])
by mc8.tb.mail.iss.local (Dovecot) with LMTP id olA1HOxkCli7MgAALmT+sg
; Fri, 21 Oct 2016 20:57:11 +0200
Received: from mx24.mnd.mail.iss.as9143.net ([212.54.34.113])
by md16.tb.mail.iss.local (Dovecot) with LMTP id CPyyNrSoEFetXQAAxAAgpA
; Fri, 21 Oct 2016 20:57:11 +0200
Received: from hel.is.scarlet.be ([193.74.71.26])
by mx24.mnd.mail.iss.as9143.net with esmtps (TLS1.0:DHE_RSA_AES_256_CBC_SHA1:256)
(Exim 4.82)
(envelope-from <tsi72341@scarlet.be>)
id 1bxf0A-00082q-Fs; Fri, 21 Oct 2016 20:57:10 +0200
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=scarlet.be;
s=scarlet; t=1477076174;
bh=UYSivD5pBmp6vowBjCSuQks0SrW351topazyL77SUlg=;
h=MIME-Version:Content-Type:Date:From:To:Subject:Message-ID;
b=gia45gx6NWETu35u7Vz1v3r+TNOURH/2ZqScR9QmpSxIWi7afUqmng714DkfA6tu7
LuGjgXCb1zhLUnuyy5Q9bcsgMxj3AlmrFgHWR8D6LTqpCgAg3qj5rH7x1/O+9Jqdi9
sciP9dIE+hhzSvgiK0pBrPX8O+iJD3erNsonuKZs=
Received: from webmail.scarlet.be (gresham.is.scarlet.be [193.74.71.215])
by hel.is.scarlet.be (8.14.9/8.14.9) with ESMTP id u9LIuD2I002639;
Fri, 21 Oct 2016 20:56:14 +0200
X-Scarlet: d=1477076174 c=193.74.71.215
Received: from [37.252.225.50]
via [37.252.225.50]
by webmail.scarlet.be
with HTTP (HTTP/1.1 POST); Fri, 21 Oct 2016 20:56:13 +0200
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="=_0ee3d114d7b0f99924365c378525c6dc"
Date: Fri, 21 Oct 2016 20:56:13 +0200
From: "Service(Mail)" <tsi72341@scarlet.be>
To: undisclosed-recipients:;
Subject: Mail-ziggo
Message-ID: <5f2d7820b32d662f5340f0828256a570@scarlet.be>
X-Sender: tsi73241@scarlet.be
User-Agent: Scarlet Webmail
X-DCC-scarlet.be-Metrics: hel; whitelist
X-Virus-Scanned: clamav-milter 0.98.1-exp at hel
X-Virus-Status: Clean
X-Ziggo-spamsetting: Instelling=Ziggo Scorelimiet=10
X-Ziggo-spambar: /
X-Ziggo-spamscore: 0.0
X-Ziggo-spamreport: CMAE Analysis: v=2.2 cv=Ra/gMxlv c=1 sm=0 tr=0 a=Pjo6BBjzIqFnu8cd4BMpvw==:17 a=MKtGQD3n3ToA:10 a=1oJP67jkp3AA:10 a=CH0kA5CcgfcA:10 a=Y4aQSXnqgyQA:10 a=ZZnuYtJkoWoA:10 a=8kaPNCjnAAAA:8 a=P6Hd6N1rqUqIrPzPbAoA:9 a=QEXdDO2ut3YA:10 a=BQj4rMLI2TAA:10 a=8I1fvUzyZ80mmgpRA8QA:9 a=_W_S_7VecoQA:10 a=AUhTcagb19QA:10 a=h28rWbPlwK1LymC_G6nl:22 xcat=Undefined/Undefined
none
X-Ziggo-Spam-Status: No
X-Spam-Status: No
X-Spam-Flag: No
--=_0ee3d114d7b0f99924365c378525c6dc
Content-Transfer-Encoding: 7bit
Content-Type: text/plain; charset=UTF-8
Om veiligheidsredenen Ziggo uw account door te klikken op de link:
Mijn Account [1]
Links:
------
[1]
https://ziggoxxx.wordpress.com/
--=_0ee3d114d7b0f99924365c378525c6dc
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html; charset=UTF-8
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN">
<html><body>
<p>Om veiligheidsredenen Ziggo uw account door te klikken op de link: =
<a href=3D"https://ziggoxxx.wordpress.com/">Mijn Account</a></p>
<div> </div>
</body></html>
--=_0ee3d114d7b0f99924365c378525c6dc--
Ik hoor het graag als iemand weet hoe die mail naar de ziggo servers en naar mij doorgestuurd kon worden.
Reacties (13)
Je kan op https://nl.wordpress.com gewoon een website maken, wat dan een subdomein van wordpress.com wordt ;)
Vraag jij je dat af bij ieder mailtje dat je niet herkend? De header laat toch al zien dat het troep is. Het lekken van je e-mail adres is waarschijnlijk doordat een website zn databases niet goed heeft beveiligd.
Vreemde mail inderdaad
undisclosed-recipients Komt door verzending met BCC
Onder .wordpress.com kun je gewoon een website aanvragen. Dat zal hier zijn gebeurd.
Bezoek de site eens met urlquery ofzo.
undisclosed-recipients Komt door verzending met BCC
Onder .wordpress.com kun je gewoon een website aanvragen. Dat zal hier zijn gebeurd.
Bezoek de site eens met urlquery ofzo.
Dat is toch allemaal niks bijzonders? Mail verzonden als BCC, afgeleverd op Ziggo server mx24.mnd.mail.iss.as9143.net
en daarna lokaal afgeleverd in een mailstore, jij bent kennelijk een van de (BCC) geadresseerden.
Allemaal heel normaal voor SPAM.
en daarna lokaal afgeleverd in een mailstore, jij bent kennelijk een van de (BCC) geadresseerden.
Allemaal heel normaal voor SPAM.
En oja wat dat wordpress domain betreft: daar kan iedereen zijn eigen pagina aanmaken dus spammers ook.
Iedereen kan een gratis blog aanmaken met verzineennaam.wordpress.com als domein.
IP 212.54.34.113 is idd van Ziggo, ook niet op een blacklist zie ik.
Een undisclosed recipients krijg je in o.a. BCC velden.
IP 212.54.34.113 is idd van Ziggo, ook niet op een blacklist zie ik.
Een undisclosed recipients krijg je in o.a. BCC velden.
Ziggo heeft bar slecht de focus op security.
Hij staat nu in je spam toch, niets aan de hand :]
En anders een andere proper provider nemen.
Hij staat nu in je spam toch, niets aan de hand :]
En anders een andere proper provider nemen.
22-10-2016, 15:53 door
Briolet
Door Anoniem: Dat is toch allemaal niks bijzonders? Mail verzonden als BCC, afgeleverd op Ziggo server mx24.mnd.mail.iss.as9143.net
en daarna lokaal afgeleverd in een mailstore, jij bent kennelijk een van de (BCC) geadresseerden.
en daarna lokaal afgeleverd in een mailstore, jij bent kennelijk een van de (BCC) geadresseerden.
Dat dit via een BBC veld loopt was mij duidelijk, maar ook dan zie ik altijd in de 'received' velden staan voor welke uiteindelijke bestemming de mail is. Ik kan nu niet zien in de header hoe de diverse tussenliggende smtp servers weten waar ze de mail naar toe moeten doorgeven.
Door Briolet:
Dat dit via een BBC veld loopt was mij duidelijk, maar ook dan zie ik altijd in de 'received' velden staan voor welke uiteindelijke bestemming de mail is. Ik kan nu niet zien in de header hoe de diverse tussenliggende smtp servers weten waar ze de mail naar toe moeten doorgeven.
Door Anoniem: Dat is toch allemaal niks bijzonders? Mail verzonden als BCC, afgeleverd op Ziggo server mx24.mnd.mail.iss.as9143.net
en daarna lokaal afgeleverd in een mailstore, jij bent kennelijk een van de (BCC) geadresseerden.
en daarna lokaal afgeleverd in een mailstore, jij bent kennelijk een van de (BCC) geadresseerden.
Dat dit via een BBC veld loopt was mij duidelijk, maar ook dan zie ik altijd in de 'received' velden staan voor welke uiteindelijke bestemming de mail is. Ik kan nu niet zien in de header hoe de diverse tussenliggende smtp servers weten waar ze de mail naar toe moeten doorgeven.
Het is best gebruikelijk, maar niet nodig of verplicht voor een mailserver om de Envelope-To in een header te vermelden.
De Envelope-To is het 'To:' adres wat in de SMTP dialoog opgegeven is, en echt gebruikt wordt om mail te adresseren.
De "To:" die een mailclient laat zien is feitelijk een onderdeel van de content, en heeft geen betekenis voor het afleveren van mail.
Het is jammer en hinderlijk als je de Envelope-To niet ziet, zeker als je veel aliassen op een mailbox laat uitkomen en wilt weten welke alias geoogst was voor een spam .
Maar goed, die in een header toevoegen is dus geen noodzaak of verplichting.
Je zou je provider kunnen vragen of ze hun mailserver wel de Envelope-To header laten toevoegen.
(je zult wel een beetje moeten doorzeuren denk ik - het is niet het soort vraag wat de eerste lijns helpdesk uberhaupt snapt )
22-10-2016, 17:12 door
Erik van Straten
22-10-2016, 10:39 door Briolet: [...]Nog vreemder is hoe de mail bij mij afgeleverd heeft kunnen worden. Er staat geen enkel afleveradres in de header. Hij is echter toch op de ziggo server afgeleverd en die heeft het bij mij afgeleverd. Het leesbare afleveradres adres is "undisclosed-recipients". Dat wijst dus niet naar mij, maar ook in de onderliggende header staan geen afleveradressen.
[...]
Ik hoor het graag als iemand weet hoe die mail naar de ziggo servers en naar mij doorgestuurd kon worden.
De Scarlet mailserver heeft tijdens de SMTP transactie meer dan 1 ontvanger bij ziggo.nl opgegeven; dan is het correct gedrag van de ontvangende mailserver om deze niet allemaal te vermelden in de headers. Immers, deze kunnen als Bcc zijn opgegeven in de e-mail (gaan jou dus niks aan) en de ontvangende server gaat dat niet uitpluizen en geeft deze mail, met de lijst van geadresseerden, door naar de volgende server bij Ziggo. Interne mailservers registreren dat soort gegevens meestal niet in de headers.[...]
Received: from hel.is.scarlet.be ([193.74.71.26])
by mx24.mnd.mail.iss.as9143.net with esmtps (TLS1.0:DHE_RSA_AES_256_CBC_SHA1:256)
(Exim 4.82)
(envelope-from <[redacted]@scarlet.be>)
id 1bxf0A-00082q-Fs; Fri, 21 Oct 2016 20:57:10 +0200
[...]by mx24.mnd.mail.iss.as9143.net with esmtps (TLS1.0:DHE_RSA_AES_256_CBC_SHA1:256)
(Exim 4.82)
(envelope-from <[redacted]@scarlet.be>)
id 1bxf0A-00082q-Fs; Fri, 21 Oct 2016 20:57:10 +0200
To: undisclosed-recipients:;
[...]Ik hoor het graag als iemand weet hoe die mail naar de ziggo servers en naar mij doorgestuurd kon worden.
Je zou dit zelf kunnen testen door vanaf een niet-Ziggo account naar meerdere Ziggo accounts (misschien heb je zelf meerdere aliases, of heb je familie met een Ziggo account) een Bcc te sturen waarbij je het To: veld leeg laat.
Als het Scarlet account "tsi73241" niet door de spammers is aangemaakt gaat het waarschijnlijk om een gehacked account (daarom heb ik het als [redacted] aangemerkt hierboven, wellicht is het verstandig als jij dat ook aanpast).
Van het vermoedelijke afzender IP-adres 37.252.225.50 kan ik nauwelijks iets vinden, behalve dat dit adres door een (mogelijk virtuele) dame zou zijn gebruikt op een Franse "knuffelchat" site, http://www.jtaimerais.fr/fr/blacklist?user=&ip=37.252.225.50.
Door Anoniem: Ziggo heeft bar slecht de focus op security.
Wat is dat nou weer voor popi-jopie opmerking?
De security blunders zitten bij scarlet.be en wordpress.com, ziggo heeft alleen een mail aangepakt en als spam
gemarkeerd.
Door Anoniem:
Wat is dat nou weer voor popi-jopie opmerking?
De security blunders zitten bij scarlet.be en wordpress.com, ziggo heeft alleen een mail aangepakt en als spam
gemarkeerd.
Door Anoniem: Ziggo heeft bar slecht de focus op security.
Wat is dat nou weer voor popi-jopie opmerking?
De security blunders zitten bij scarlet.be en wordpress.com, ziggo heeft alleen een mail aangepakt en als spam
gemarkeerd.
Ik zou juist denken dat ze het als een van de weinige NL ISPers goed voor elkaar hebben. Van hun spamfilter kan KPN nog wat leren.
23-10-2016, 12:21 door
Briolet
Door Erik van Straten: De Scarlet mailserver heeft tijdens de SMTP transactie meer dan 1 ontvanger bij ziggo.nl opgegeven; dan is het correct gedrag van de ontvangende mailserver om deze niet allemaal te vermelden in de headers.…
… Interne mailservers registreren dat soort gegevens meestal niet in de headers.
Je zou dit zelf kunnen testen door vanaf een niet-Ziggo account naar meerdere Ziggo accounts (misschien heb je zelf meerdere aliases, of heb je familie met een Ziggo account) een Bcc te sturen waarbij je het To: veld leeg laat.
… Interne mailservers registreren dat soort gegevens meestal niet in de headers.
Je zou dit zelf kunnen testen door vanaf een niet-Ziggo account naar meerdere Ziggo accounts (misschien heb je zelf meerdere aliases, of heb je familie met een Ziggo account) een Bcc te sturen waarbij je het To: veld leeg laat.
Dank voor de verduidelijking. Voor security awareness is het ook belangrijk dat je weet hoe dingen werken. Ik heb nu 3 testmailtjes via gmail, icloud en dataweb verzonden. Ik zie inderdaad dat de eerste 2 ook geen 'for' adres in de received veld gebruiken. Bij alle drie vind ik echter wel mijn for adres terug in de laatste stap in de interne verwerking bij ziggo. (bij "Received: from md16.tb.mail.iss.local") Ik heb geen idee waarom Ziggo het boven dan anders gedaan heeft dan in deze testen.
Mijn eigen mailserver stuurt dergelijke BBC mailjes altijd als aparte mailtjes de deur uit. Mijn externe mailprovider (dataweb.nl) doet dat ook waardoor ik altijd dacht dat dit standaard is. Ik zie nu dat GMail en iCloud dat anders doen. Blijkbaar worden de bcc mailtjes naar hetzelfde domein als 1 mailtje gestuurd. En ziggo ziet dat de aliassen allen tot hetzelfde account behoren en levert maar één mailtje af voor al mijn aliassen samen aan mijn hoofdadres zodat ik nog steeds niet kan zien voor welke alias hij bedoeld is. Alleen het geforwarde mailtje aan een familielid komt als tweede mail binnen.
Ik ontdekte ook iets nieuws in Apple mail. Identieke mailtjes laat hij maar als één enkele mail zien. Zelfs het geforwarde mailtje zie ik niet meer apart in mijn mailbox. Als ik het bronbestand bekijk is dat slechts van één van de mailtjes. Als ik de kopteksten laat zien voor zo'n mail, vind ik wel stukken van de drie mailtjes terug. In het via dataweb verstuurde mailtje trof ik zelfs de 3 'for' adressen aan. Leuk, maar slecht voor het testen. Via webmail kon ik wel de individuele mailjes zien, net als met thunderbird.
Als het Scarlet account "tsi72341" ) gehacked is…
Met zo'n nummer in de naam lijkt het me speciaal aangemaakt voor deze phishing actie, maar ik heb toch maar de nummers in de eerste post aangepast.Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.