Spam-Mails an Adresse, die nur für DynDNS genutzt wird...

**Raubsau** · 09. 11. 2012, 07:55

Hallo,

ich habe Spam auf eine Adresse bekommen, die ich ausschließlich für einen DynDNS.org-Account angelegt habe.

Die Frage ist nun: Woher hat der Spammer (irgend ein Subaccount bei managedvps.net) diese Adresse? Hat DynDNS ein Sicherheitsproblem? Oder gibt/gab es Schadprogramme, die die Zugangsdaten aus einem Speedport W700 auslesen?

Danke für Eure Antworten

Raubsau

**aNtiCHrist** · 09. 11. 2012, 22:03

Denkbar wären durchaus auch noch andere Szenarien, etwa dass die Adresse schlicht erraten wurde. Möglicherweise war/ist sie auch irgendwo auf deinem Rechner hinterlegt und dieser war/ist kompromittiert. Auch kann man in der Regel nicht darauf schließen, dass ein Spammer den einliefernden Server selbst betreibt oder angemietet hat. Oftmals sind das schließlich kompromittierte Systeme von unwissenden Dritten.

Sofern es nicht andere Betroffene gibt, bei denen mit einer nur für die Kommunikation mit diesem Anbieter genutzten E-Mail-Adresse das gleiche passiert ist, wird sich die Ursache kaum klären lassen.

**Raubsau** · 09. 11. 2012, 22:47

Zitat von aNtiCHrist

Sofern es nicht andere Betroffene gibt, bei denen mit einer nur für die Kommunikation mit diesem Anbieter genutzten E-Mail-Adresse das gleiche passiert ist, wird sich die Ursache kaum klären lassen.

Darauf wollte ich hinaus

Erraten ist wirklich unwahrscheinlich, hinterlegt ist die Adresse nur in einem Router (nicht mal in meinem LAN) zur Anmeldung.
Also wird Windows neu aufgesetzt.

Danke

Raubsau

**aNtiCHrist** · 09. 11. 2012, 23:32

Hast du irgendwelche Anhaltspunkte dafür, dass das System kompromittiert worden ist? Ansonsten halte ich das nämlich für etwas vorschnell, erst recht, wenn nach deiner Aussage die E-Mail-Adresse dort nicht einmal vorhanden ist.

Ein Anhaltspunkt wäre natürlich der Betrieb als Server, was ja bei der Nutzung von DynDNS durchaus wahrscheinlich ist. Ein aus dem Internet erreichbarer Server ist natürlich automatisch wiederholten Angriffen ausgesetzt. Wenn man dann das System und die darauf laufenden Server-Dienste nicht sinnvoll konfiguriert hat und bekannt werdende Schwachstellen umgehend schließt, wird ein System schnell übernommen. Ein (gegen die Empfehlungen) öffentlich erreichbar gemachtes XAMPP-System wäre z. B. eine sehr plausible Ursache für eine Kompromittierung.

Dann wäre aber weiterhin unklar, wie von dort auf den offenbar sich nicht im gleichen Netz befindenden Router zugegriffen werden konnte.

**Raubsau** · 23. 11. 2012, 17:10

Hallo aNtiCHrist,

nein, einen direkten Anhaltspunkt habe ich tatsächlich nicht.

Die Adresse wurde nur auf einem Linksys-Router mit DD-WRT eingetragen, um dort einen PPTP-Daemon erreichen zu können und auf die Rechner per VNC zuzugreifen. Das war vor über einem Jahr, seitdem war der Router nicht mehr am Netz. Das Netz, an dem der Router hing, kannte die Adresse nicht. Keylogging kann ich nicht ausschließen, da aber der Router gar nicht aus diesem Netz konfiguriert wurde, fällt diese Möglichkeit dennoch weg.

Mich hat eine weitere Mail auf dieser Adresse erreicht (und zwar nicht von dyndns).

Gruß

Raubsau

**KippaKong** · 23. 11. 2012, 19:12

Es könnte ja auch sein, dass Dyn.org einfach deine Mailadresse an einen Händler verkauft hat. Warum nicht einfach mal an das einfachste denken?

Wieso rufst du denn überhaupt Mails für diese Mailadresse ab, wenn es doch nur eine Wegwerfadresse ist, die einzige für die Anmeldung bei DynDNS genutzt werden sollte.

**Raubsau** · 23. 11. 2012, 20:33

Hallo KippaKong,

das habe ich auch zuerst gedacht, aber es scheint mir abwegig. Zumal ich nichts dazu im Internet gefunden habe.

Wenn ich eine Adresse nutzen würde, die ich nicht abrufen würde, wäre ich gar nicht drauf gestoßen und hätte jetzt vielleicht ein größeres Problem.

**Rudi-Ratlos05** · 24. 11. 2012, 22:56

Hallo Zusammen,

ich bin über die Google-Suche auf dieses Thema hier aufmerksam geworden, da ich auch Opfer von Spammails auf Dyndns-Emailadressen geworden bin. Seit ende Oktober habe ich 9 Emails an 9 verschiedene DynDNS Email-Adressen bekommen. Diese kamen jeweils 3 mal an 3 verschiedenen Tagen. Die Absender-Adressen waren von UPS und American Airlines.
Ich lege für jeden neuen Dyndns-Account meiner Kunden und mich selber, eine neue Emailadresse an und das sind mitlerweile mehrere Dutzend. Ich habe von meiner Hauptdomain eine dyndns-Subdomain angelegt und erstelle die Email-Adressen nach dem Prinzip "Kunden-Name@dyndns.meine-domain.de" und leite diese auf mein normales Postfach um. Also befinden sich diese Emailadressen nur auf meinem PC, dem Kunden-Router und bei DynDNS !
Ich vermute auch, das DynDNS entweder ein Sicherheitsproblem hat oder Daten weiterverkauft...

**ughwer** · 31. 12. 2012, 11:14

Sehr wahrscheinlich hat dyndns wirklich ein Datenleck oder hat die Adressen verkauft. Seit kurzem bekomme ich nämlich auch diese Spam von UPS/FedEx an eine E-Mail-Adresse, welche nur für dyndns angelegt wurde und schon seit mehreren Jahren in keinem Router mehr konfiguriert ist.

**Rudi-Ratlos05** · 31. 12. 2012, 12:13

Genau meine Meinung. Erst heute kamen auch wieder bei mir der gleiche Müll wie bei Dir. Vielleicht kann ja mal jemand Dyndns um Stellungnahme bitten (mein Englisch ist miserabel!!!) bzw. könnte man das evtl. an eine andere "Stelle" weitergeben, die soetwas veröffentlichen bzw. recherchieren könnten.

**ecblack** · 01. 01. 2013, 22:06

Hab das gleiche Problem hier, bekomme da auch Fedex Spam auf eine Adresse, die nur DynDNS kennt. Sie selbst sind angeblich nicht schuld, sondern "...we strongly believe this to be linked to a compromise of the 3rd party email marketing company we use to send our newsletters."

Das Statement gibt's hier:
http://www.dynstatus.com/dyndns/2787...o-dyndns-users

**Raubsau** · 17. 01. 2013, 18:45

Danke für den Link.

"Full user account information from DynDNS was never compromised"
Das hört sich nicht nach "keinerlei Daten waren kompromitiert" an.