[Postfixbuch-users] FYI: Gehacktes Password festgestellt (FTP-Logins von mehreren dt. Servern erfolgt)

postfixbuch at spam-hosting.com postfixbuch at spam-hosting.com
Fr Aug 23 11:15:16 CEST 2013


Hi,

also der Spam von sys0972300-1.php ist vom Asprox-Botnetz.
Bei der ftpchk3.php werden erst 3 bis 5 Tage später Phishingseiten und 
KP-Seiten hoch geladen wenn die Datei noch da ist.

Meinem Wissen nach, werden die Zugangsdaten über Trojaner von z.B. den 
Rechner gestohlen (Filezilla, Passwort speichern....) und dann verkauft.
Der Upload/Zugriff erfolgt über ebenfalls gehackte/infizierte 
Server/Rechner.


 > Sollte also hier jemand mitlesen, der sich für diese Server zuständig
 > fühlt oder jemanden kennt, der... bitte Bescheid geben, auf Anfrage
 > teile ich auch dann gerne zu den entsprechenden Servern die Zeitpunkte
 > mit, wann der Zugriff erfolgte:

Am besten per Skript die Logs und einem Hinweis über den Missbrauch an 
die zuständigen Abuse-Kontakte senden:
https://apps.db.ripe.net/search/abuse-finder.html

mfg Martin



Mehr Informationen über die Mailingliste Postfixbuch-users