Hallo,

ich habe heute von meinem Webspace-Anbieter eine Rechnung von 210¤ erhalten, da ich Spamverand über meinen Webspace betreiben würde.
Achtung Webspace kein Rootserver.
Ich weiß,dass es diverse Scripte gibt, mit denen es möglich ist. Mein Anbieter machte bislang aber keine Angaben, wie der Versand erfolgt sein soll.
Ferner habe ich herrausgefunden, dass es Open-Source Scripte gibt, bei denen man einfach eine Mail-Adresse einträgt, die dann immer als Absender angezeigt wird.
Wie kann ich mich vor soetwas schützen?
Ich bin User und jemand trägt meine Mail-Adresse in ein Script ein, dass bei Ihm läuft und versendet unter meinem Namen mails?
Da ich schon sehr lange Online tätig bin, habe ich nicht nur Freund im Netz sondern auch Feinde, was schon soweit geführt hat, dass ich nachts Drohanrufe bekommen habe.
Es ist also nicht auszuschließen, dass einer von Ihnen unter meinem Mail-Adresse, Spam verschickt.

Wie kann ich mich jetzt gegen diese Rechnung wehren?

MfG
Benjamin aka HUnter

Habe kein Recht studiert oder so. Doch ich würde mal sagen dass es doch so ist, dass der Ankläger (in diesem Fall der Hosting-Anbieter) dir die Schuld beweisen muss und nicht du deine Unschuld. Ich würde ihn deshalb mit einem eingeschriebenen Brief darauf hinweisen, dass er dir ganz klar angeben soll, wie er darauf kommt, dass du ein Spammer bist (also z.B. Log-File auszüge). Eine falsche Absender-Angabe allein im Mail kann ja kein Beweis sein. Aber es ist ja festzustellen, ob die Mails auch über deinen Server versandt worden sind.

Gruss

André

gebe digitalcorner Recht, er sollte dir beweisen (mittels Logs) dass du auch der Übeltäter bist. Denn wie du schon richtig erkannt hast, kann jeder Spammer von wo anders Mails schicken und den header so fälschen, dass es aussieht du hättest die ganzen Mails verschickt.

Aber es kann auch sein, dass er durch eine Lücke in deinen Skripten (z.B. php: mail() ) Spammails verschicken konnte. Selbst dann könnte man mit Hilfe von den Logs herausfinden ob du es auch tatsächlich warst.

210¤ find ich etwas Teuer. Wodurch ensteht denn beim Spammen überhaupt einen Schaden? Außer du hast dein Traffikkontigent überschöpft, dann ist die Rechnung imho korrekt.

Hallo,

Also, wie oben erwähnt.. ohne Logs, kann der Anbieter dir nichts verrechnen.

Die 210¤ sind ziemlich günstig (Schaut euch mal die Vertragsstrafen bei den grösseren Anbietern an).

Das Spamversand keinen Schaden verursacht ist nicht korrekt.
Ein Eintrag der IP Adresse in Listen wie spamcop, etc. kann schnell zu einem Erliegen des E-Mailverkehrs für alle Kunden kommen, welche auf der gleichen IP Adresse liegen, dann kommen sonst noch Faktoren dazu... ich sags mal so, 210¤ ist extrem wenig im Hostingbereich. Wenn z.B. 100 Kunden auf einer IP Adresse liegen und ein Anbieter diese für alle ändern muss, dann kostet das Zeit und Zeit = Geld.

Gruss Marc

Also,ich weiß, dass ich keinen Spammail versandt betrieben habe.
Ob Ihr mit es glaubt oder nicht ist was anderes.
Aber wie kann ich beweisen, dass ich das nicht war?

Ich kann mir die Logfile anfordern.

Und was mache ich dann mit dieser`?

Aber ich habe ja nur Webspace und gar keinen zugriff auf den Mailserver die bei einem root.

Vielen Dank schon mal für eure Hilfe

MfG Benjamin

hab ich dir doch schon gesagt, dass du das nicht musst, sofern du irgendwo in deinen Skripten "ungesichert" auf die mail()-Funktion zurückgreifst und selbst das muss nicht sein, da ein Hacker es durch eine Lücke auch einschleußen kann.

Kuck in den LOGs ob irgendein Skript verdächtig oft aufgerufen wurde - wahrscheinlich von der selben IP

Woher willst Du das wissen?

Hast Du PHP- oder Perl-Scripte aufgespielt, die unsicher sind? Ist dein Account gehackt worden?

Solche Dinge sind ein Paradies für jeden Spamer.

Im Augenblick höre ich aus deinen Beiträgen nur heraus, daß Du dich mit Hacktechniken nicht auskennst und deshalb auch nicht weißt, was alles bei unsicheren Scripts möglich ist. Lesehinweis

ja ich habe php scripte drauf,
phpkit, webspell, phpbb, dzcp...
Scheint ja ein richtiges Paradies zu sein.

Auf die logfiles habe ich keinen Zugriff,kann ferner auch nichts machen, da mein kompletter Space gesperrt ist.
Oder ist das nur eine Abzocke vom Anbeiter?
Accountsperren,Rechnung stellen, Account freischalten und dann betroffenes löschen.
So kann ich nichts nachvollziehen.

Der Support hat mir heute auch noch nicht geantwortet.
Ferner steht in der Mail, dass ich bis zum 10.3.2007 bezahlt haben muss.
Habe es nur per Mail bekommen.

Soll ich Montag noch einmal eine Mail schicken und die LogFiles anfordern?
Und wenn Montag abend keine Mail von Ihnen gekommen ist, gleich Dienstag morgen ein Einschreiben abschicken?

Kann ich meine IP's der letzte Wochen um meine Unschuld zu beweisen selber rausbekommen oder muss mein Provider mir die schicken?

wie wärs mal mit Anrufen? Sowas sollte bei so einer Rechnung schon drin sein...

Sofern du nicht selber loggst, bist du natürlich abhängig von dem was dein Provider dir schickt. Frag ihn beim Anruf auch konkret womit gespammt wurde (bzw. hast du auch bei dem Anbieter einen Mailaccount?)

ja mail account habe ich,
nur anrufen ist nicht drin
die haben am wochenende keinen da

wie kann ich meine ip denn selber loggen?
macht mein router das vielleicht? habe einen asus wl500g deluxe

benjamin

Das habe ich gerade von meinem Anbieter bekommen.

dann hätten wir gern eine erklärung von Ihnen:

5D1FE73060D 3111 Sat Mar 3 01:46:20 web249@www.sofire.de
(host g.mx.mail.yahoo.com[206.190.53.191] said: 451 Message temporarily deferred - [70] (in reply to end of DATA
command))
danilotoledo@yahoo.com.br

5D91D73063B 3104 Sat Mar 3 01:46:24 web249@www.sofire.de
(connect to mx.br.inter.net[200.142.77.19]: server refused mail service)
danilva@svn.com.br

52D8C7306E8 3105 Sat Mar 3 01:46:45 web249@www.sofire.de
(host mx-psi02.terra.com.br[200.176.10.240] said: 450 : Recipient address rejected: Greylisting in action, please try
later (in reply to RCPT TO command))
danimic1@zaz.com.br

5057F73060A 3104 Sat Mar 3 01:46:20 web249@www.sofire.de
(host mx-psi02.terra.com.br[200.176.10.240] said: 450 : Recipient address rejected: Greylisting in action, please try
later (in reply to RCPT TO command))
danilot@zaz.com.br

56DF87306E9 3105 Sat Mar 3 01:46:45 web249@www.sofire.de
(host mx-psi02.terra.com.br[200.176.10.240] said: 450 : Recipient address rejected: Greylisting in action, please try
later (in reply to RCPT TO command))
danimic2@zaz.com.br

5AFF27306EA 3104 Sat Mar 3 01:46:45 web249@www.sofire.de
(host mx-psi02.terra.com.br[200.176.10.240] said: 450 : Recipient address rejected: Greylisting in action, please try
later (in reply to RCPT TO command))
danimic@zaz.com.br

0E2767300DC 4732 Fri Mar 2 23:09:07 MAILER-DAEMON
(host gate.sateri.fi[195.165.55.30] said: 450 : User unknown in local recipient table (in reply to RCPT TO command))
pianiststucks@sateri.fi

022977300DA 2979 Sat Mar 3 00:19:22 fulfilment8@veretekk.com
(host c.mx.mail.yahoo.com[68.142.237.182] said: 451 Message temporarily deferred - [70] (in reply to end of DATA
command))
axibis@yahoo.com

0DB9E7300DE 3116 Sat Mar 3 01:27:23 web249@www.sofire.de
(host c.mx.mail.yahoo.com[216.39.53.3] said: 451 Message temporarily deferred - [70] (in reply to end of DATA command))
domvitocorleone2007@yahoo.com.br

014F073059D 3111 Sat Mar 3 01:46:14 web249@www.sofire.de
(connect to ext-mx2.linkway.com.br[200.231.25.39]: server refused mail service)
danilojose@linkway.com.br

03FA273059B 3112 Sat Mar 3 01:46:14 web249@www.sofire.de
(host ext-mx2.linkway.com.br[200.231.25.39] said: 451-Greylisted - please try again a little later (5 minutes). Learn
more at 451 http://www.greylisting.org/ - mimo5.revido.de (in reply to RCPT TO command))
danilojose1@linkway.com.br

04392730211 3116 Sat Mar 3 01:46:12 web249@www.sofire.de
(connect to mx.wavenet.com.br[200.157.141.2]: Connection timed out)
danilocec@cecengenharia.com.br

00568730571 3105 Sat Mar 3 01:46:16 web249@www.sofire.de
(host mx-psi02.terra.com.br[200.176.10.240] said: 450 : Recipient address rejected: Greylisting in action, please try
later (in reply to RCPT TO command))
danilom3@zaz.com.br

093BD7305AD 3104 Sat Mar 3 01:46:17 web249@www.sofire.de
(host mx-psi02.terra.com.br[200.176.10.240] said: 450 : Recipient address rejected: Greylisting in action, please try
later (in reply to RCPT TO command))
danilom@zaz.com.br

06D4F7306DE 3109 Sat Mar 3 01:46:25 web249@www.sofire.de
(host f.mx.mail.yahoo.com[68.142.202.247] said: 451 Message temporarily deferred - [170] (in reply to end of DATA
command))
danimalite@yahoo.com.br

0D6947305EF 3108 Sat Mar 3 01:46:25 web249@www.sofire.de
(host cvxbsd.convex.com.br[200.152.177.10] said: 421 temporary envelope failure (#4.3.0) (in reply to RCPT TO command))
danimar1@convex.com.br

0E7877305F4 3109 Sat Mar 3 01:46:25 web249@www.sofire.de
(host worm.ism.com.br[200.215.129.17] said: 451 Temporary local problem - please try later (in reply to RCPT TO
command))
danimar1@ibpinet.com.br

0027A7305F8 3105 Sat Mar 3 01:46:19 web249@www.sofire.de
(host e.mx.mail.yahoo.com[216.39.53.1] said: 451 Message temporarily deferred - [70] (in reply to end of DATA command))
danilorp2@yahoo.com

78D877CCB04 2928 ?? web249@www.sofire.de

7C4B47CCB05 2931 ?? web249@www.sofire.de

7FC737CCB06 2931 ?? web249@www.sofire.de

834407CCB07 2933 ?? web249@www.sofire.de

86C597CCB08 2931 ?? web249@www.sofire.de

8A47C7CCB09 2933 ?? web249@www.sofire.de

8DE307CCB0A 2929 ?? web249@www.sofire.de

914E67CCB0B 2929 ?? web249@www.sofire.de

94C057CCB0C 2929 ?? web249@www.sofire.de

986ED7CCB0D 2933 ?? web249@www.sofire.de

9BFCA7CCB0E 2933 ?? web249@www.sofire.de

9F72C7CCB0F 2927 ?? web249@www.sofire.de

A2E287CCB10 2931 ?? web249@www.sofire.de

A65337CCB11 2931 ?? web249@www.sofire.de

A9C427CCB12 2925 ?? web249@www.sofire.de

AD3627CCB13 2924 ?? web249@www.sofire.de

B0C647CCB14 2929 ?? web249@www.sofire.de

B45DD7CCB15 2927 ?? web249@www.sofire.de

B7CE17CCB16 2930 ?? web249@www.sofire.de

4EC557CCB17 2928 ?? web249@www.sofire.de

566D67CCB18 2925 ?? web249@www.sofire.de

5BAB47CCB19 2928 ?? web249@www.sofire.de

60B497CCB1A 2927 ?? web249@www.sofire.de

655767CCB1B 2935 ?? web249@www.sofire.de

6CC287CCB1C 2930 ?? web249@www.sofire.de

817437CCB1D 2929 ?? web249@www.sofire.de

8602A7CCB1E 2932 ?? web249@www.sofire.de

905607CCB1F 2930 ?? web249@www.sofire.de

941997CCB20 2930 ?? web249@www.sofire.de


usw....

Insgesamt waren es mehr als 200000 Mails.


Könnt ihr damit etwas anfangen?

MfG Benjamin

Was sollen das für Logs sein?

Seh nirgendswo eine IP vom "Angreifer" noch was eigentlich exakt ausgeführt wurde.

Kann es sein, dass das irgendwelche Confixx Email Logs sind?

Das kann ich dir nicht genau sagen, hatten Ihnen gestern nur eine Mail geschickt, dass ich es nicht war und wollte genaueres wissen.
Das war dann heute die Antwort.

Klärt mich auf, wenn ich das jetzt falsch sehe.
Aber in der Log steht doch auch sicher drin, welche IP zuletzt auf dieses Massenmail script zugegriffen hat / gestartet hat oder nicht?
Dann kann man doch die IP und meine IP von der Uhrzeit abgleichen und sehen, dass ich es nicht war.

MfG Benjamin

Wie ich dem DNS entnehme, handelt es sich um den Anbieter Revido.de oder?

Google liefert (für mich) ein eindeutiges Bild:
http://www.google.ch/search?hl=de&q=revido+abzocke&meta=

Übrigens die Logs oben, sagen nicht wirklich viel..

Gruss Marc

PS: Wechsel den Hoster

ja genau geht um revido

kündigung ist auch schon raus, nur was muss ich noch machen,
ich sehe nämlich nicht ein, dass ich die 210¤ zahle

Ja sollte - bzw. diese Logs *muss* revido auch liefern!

Im obigen sind keine IPs (zumindest nicht die vom Verschicker) vorhanden, noch datum, noch sonst irgendwas. Von daher zum Fall unbrauchbar.

So,

habe gerade angerufen.
Es soll eine IP aus Brasilien gewesen sein, sie geben auch zu das mein Account gehackt wurde.
Sie vermuten, dass es über phpkit versendet worden ist.

Da es mein Space ist, bin ich der jenige, der dafür haftet hat man mir gesagt.

Der will sich gleich noch einmal melden und mir mehr informationen geben.

mfg benjamin

http://www.phpkit.de/include.php?path=cont...p&contentid=276

Aktuellste Version ist vom:

Dürfte somit nicht als "sicher" gelten.


Aber wenigstens weiss er nun, dass du es nicht warst.

ja,aber ich soll zahlen, da es mein space ist, ein script was ich installiert habe
somit meine schuld

was nun?

Wenn Du das phpkit selbst installiert hast, bleibt Dir nur noch übrig zu zahlen.

Wie Du richtig geschrieben hast, haftest Du für Deine Unachtsamkeit.

Verlange aber die Logdateien, damit sicher ist, dass es eine IP aus Brasilien war.