Seltsame email (Verschlüsselt?)

D

D31~$0u1

0
Hallo.
Ein Freund von mir hat ne komische mail erhalten.
Absender: Root User <0wn3d@n00b.com>
Betreff: you were 0wn3d
Hier der inhalt. Scheint verschlüsselt zu sein, hab kein plan...
Kann jemand von euch was damit anfangen? Die email ist an die ganze klasse gegangen kurz nach ner rundmail wegen irgwas in der klasse.
Also, inhalt:

h4v3 fun, ur 0wn3d by xXxXxXx f aer 8ztu4+rtet artgif dgiret etpisd godrt ebr,torb t,erotpüervtaeriumjgpnbdlöothpoigkdfjgnlkbdfujgp98erogdmjföfgigipuoftrnltmjvrenltzeroiklgdfjgnjdhxfbisweön7btroieltbiorgbdjklntunrsdolögikdsfhmgrsdzoureitgbheromvuwaropubiaronerztbnearzmtbioen retodfögl ösdkfsdlfjdfokgetpisd godrt ebr,torb t,erotpüervtaeriumjgpnbdlöothpoigkdfjgnlkbdfujgp98erogdmjföfgigipuoftrnltmjvrenltzeroiklgdfjgnjdhxfbisweön7btroieltbiorgbdjklntunrsdolögikdsfhmgrsdzoureitgbheromvuwaropubiaronerztbnearzmtbioen retodfögl ösdkfsdlfjdfokgsdhgjodfhgjksfdlghdfkjghdfjkgsdsdrgboisntpebertzpwtrztt ebter ugi+ertuner gbuaeri+gberzngpuerzaiogneta7urtgbznerutgnzljydfglhdjfngtbugithjkrbgzuitghudfsxoöpigshtrnjmfgoöetgruzshysdoghsnewjltbuewaötavsufzsfvuioawnzrvhwaepzrhvfwniutzwepfgvenrzhüwrfuvn3qnß0zt5n9wptv6zwaütznap9wzdgiret etpisd godrt ebr,torb t,erotpüervtaeriumjgpnbdlöothpoigkdfjgnlkbdfujgp98erogdmjföfgigipuoftrnltmjvrenltzeroiklgdfjgnjdhxfbisweön7btroieltbiorgbdjklntunrsdolögikdsfhmgrsdzoureitgbheromvuwaropubiaronerztbnearzmtbioen retodfögl ösdkfsdlfjdfokgsdhgjodfhgjksfdlghdfkjghdfjkgsdsdrgboisntpebertzpwtrztt ebter ugi+ertuner gbuaeri+gberzngpuerzaiogneta7urtgbznerutgnzljydfglhdjfngtbugithjkrbgzuitghudfsxoöpigshtrnjmfgoöetgruzshysdoghsnewjltbuewaötavsufzsfvuioawnzrvhwaepzrhvfwniutzwepfgvenrzhüwrfuvn3qnß0zt5n9wptv6zwaütznap9wzdgiret etpisd godrt ebr,torb t,erotpüervtaeriumjgpnbdlöothpoigkdfjgnlkbdfujgp98erogdmjföfgigipuoftrnltmjvrenltzeroiklgdfjgnjdhxfbisweön7btroieltbiorgbdjklntunrsdolögikdsfhmgrsdzoureitgbheromvuwaropubiaronerztbnearzmtbioen retodfögl ösdkfsdlfjdfokgsdhgjodfhgjksfdlghdfkjghdfjkgsdsdrgboisntpebertzpwtrztt ebter ugi+ertuner gbuaeri+gberzngpuerzaiogneta7urtgbznerutgnzljydfglhdjfngtbugithjkrbgzuitghudfsxoöpigshtrnjmfgoöetgruzshysdoghsnewjltbuewaötavsufzsfvuioawnzrvhwaepzrhvfwniutzwepfgvenrzhüwrfuvn3qnß0zt5n9wptv6zwaütznap9wzdgiret etpisd godrt ebr,torb t,erotpüervtaeriumjgpnbdlöothpoigkdfjgnlkbdfujgp98erogdmjföfgigipuoftrnltmjvrenltzeroiklgdfjgnjdhxfbisweön7btroieltbiorgbdjklntunrsdolögikdsfhmgrsdzoureitgbheromvuwaropubiaronerztbnearzmtbioen retodfögl ösdkfsdlfjdfokgsdhgjodfhgjksfdlghdfkjghdfjkgsdsdrgboisntpebertzpwtrztt ebter ugi+ertuner gbuaeri+gberzngpuerzaiogneta7urtgbznerutgnzljydfglhdjfngtbugithjkrbgzuitghudfsxoöpigshtrnjmfgoöetgruzshysdoghsnewjltbuewaötavsufzsfvuioawnzrvhwaepzrhvfwniutzwepfgvenrzhüwrfuvn3qnß0zt5n9wptv6zwaütznap9wzdgiret etpisd godrt ebr,torb t,erotpüervtaeriumjgpnbdlöothpoigkdfjgnlkbdfujgp98erogdmjföfgigipuoftrnltmjvrenltzeroiklgdfjgnjdhxfbisweön7btroieltbiorgbdjklntunrsdolögikdsfhmgrsdzoureitgbheromvuwaropubiaronerztbnearzmtbioen retodfögl ösdkfsdlfjdfokgsdhgjodfhgjksfdlghdfkjghdfjkgsdsdrgboisntpebertzpwtrztt ebter ugi+ertuner gbuaeri+gberzngpuerzaiogneta7urtgbznerutgnzljydfglhdjfngtbugithjkrbgzuitghudfsxoöpigshtrnjmfgoöetgruzshysdoghsnewjltbuewaötavsufzsfvuioawnzrvhwaepzrhvfwniutzwepfgvenrzhüwrfuvn3qnß0zt5n9wptv6zwaütznap9wzdgiret etpisd godrt ebr,torb t,erotpüervtaeriumjgpnbdlöothpoigkdfjgnlkbdfujgp98erogdmjföfgigipuoftrnltmjvrenltzeroiklgdfjgnjdhxfbisweön7btroieltbiorgbdjklntunrsdolögikdsfhmgrsdzoureitgbheromvuwaropubiaronerztbnearzmtbioen retodfögl ösdkfsdlfjdfokgsdhgjodfhgjksfdlghdfkjghdfjkgsdsdrgboisntpebertzpwtrztt ebter ugi+ertuner gbuaeri+gberzngpuerzaiogneta7urtgbznerutgnzljydfglhdjfngtbugithjkrbgzuitghudfsxoöpigshtrnjmfgoöetgruzshysdoghsnewjltbuewaötavsufzsfvuioawnzrvhwaepzrhvfwniutzwepfgvenrzhüwrfuvn3qnß0zt5n9wptv6zwaütznap9wzdgiret etpisd godrt ebr,torb t,erotpüervtaeriumjgpnbdlöothpoigkdfjgnlkbdfujgp98erogdmjföfgigipuoftrnltmjvrenltzeroiklgdfjgnjdhxfbisweön7btroieltbiorgbdjklntunrsdolögikdsfhmgrsdzoureitgbheromvuwaropubiaronerztbnearzmtbioen retodfögl ösdkfsdlfjdfokgsdhgjodfhgjksfdlghdfkjghdfjkgsdsdrgboisntpebertzpwtrztt ebter ugi+ertuner gbuaeri+gberzngpuerzaiogneta7urtgbznerutgnzljydfglhdjfngtbugithjkrbgzuitghudfsxoöpigshtr
Zum Vergrößern anklicken....


Scheint sich alles auf den nächsten 158 seiten zu wiederholen.
Bis auf den ersten "Satz" von wegen have fun.
Danke schonmal im voraus.

Gruß, D31~$0u1
 
"Have fun, you're owned" klingt ganz danach als hätte jemand den Mailserver mit dem Verteiler geknackt, über den die Rundmail lief.

Ich denke nicht, dass es sich hierbei um einen verschlüsselten Text handelt, sondern lediglich um die grösstmögliche Mail mit Zufallstext, die versendet werden kann, also eine Art DoS-Versuch.
 
Ich plädiere auf Hoax. ;)
Die Rundmail war wohl ganz praktisch für ein Klassenmitglied von euch. Einfach mal das CC Feld kopieren und los geht der Spass. Am besten noch irgendeine Komponente einbauen über das man sich den Kopf zerbrechen kann. :D

Nach Zufallstext sieht es auch nicht aus. Nach meinem Empfinden kommen die Buchstaben der Tastaturmitte häufiger vor als andere. Somit also eher Tastengeklimpere und dann kopiert. ;)
 
Ich enthalte mich weiterer Spekulation und werfe die Frage auf den Threadersteller.

Jedenfalls erhalte ich auf web.de Rundmails mit vollem CC-Feld meiner Arbeitskollegen. ;)
 
Das mit den Buchstaben der mittleren Tastenzeile ist allerdings wirklich auffällig. Dem Header der Mail sollte man ja entnehmen können über welche Server sie gelaufen ist. Da Umlaute im Text sind, dürfte der Urheber der Mail vermutlich eine deutsche Tastatur nutzen.
 
Original von Elderan
Du meinst sicher das BCC Feld?
Zum Vergrößern anklicken....
Nein, ich meinte schon das CC-Feld. Wenn man z.B. Verteiler in einem Mailprogramm nutzt (also clientseitig), dann tauchen die Empfänger oftmals im CC-Feld auf, während es bei der Benutzung eines serverseitigen Verteilers im Normalfall leer ist.

Original von ElderanAnsonsten: Denke die mail ist Spam
Zum Vergrößern anklicken....

Dann aber ungewöhnlich grosser.
 
Hallo,
Original von bitmuncher
Original von Elderan
Du meinst sicher das BCC Feld?
Zum Vergrößern anklicken....
Nein, ich meinte schon das CC-Feld. Wenn man z.B. Verteiler in einem Mailprogramm nutzt (also clientseitig), dann tauchen die Empfänger oftmals im CC-Feld auf, während es bei der Benutzung eines serverseitigen Verteilers im Normalfall leer ist.
Zum Vergrößern anklicken....
Gut, das ist mir neu. Kenns nur aus clientseitig verschickten Mails, wo der CC ja auftaucht. Wenn man das nicht möchte, gibts ja zur Not noch BCC.
Aber man lernt ja nie aus ;)


PS: Evt. mal den vollständigen Header der Mail posten
 
Also was haben wir für Indizien:

  • Mail ging an alle in der Klasse
  • Mail kam kurz nach der Rundmail an die Klasse an
  • Mail beinhaltet "leetspeak". Charakteristisch für Schüler, die sich einen Scherz erlauben wollen
  • Mail beinhaltet eine Phrase, die dem "Opfer" Kopfzerbrechen bereitet und möglicherweise bei unerfahrenen Benutzern auch etwas Angst. ("Bin ich nun infiziert?")
  • Mail beinhaltet höchtwahrscheinlich grosse sich wiederholende Mengen an sinnlosem Tastaturgeklimpere. Der Sinn dabei ist wahrscheinlich dem "Opfer" einen gefährlichen "Datenstrom" optisch zu suggerieren.

Meine conclusio ist deshalb:
Es handelt sich um ein Klassenmitglied, das sich spontan aus der Situation heraus einen Scherz erlaubte. Der in meinen Augen passende Terminus für diese Aktion ist ein "Hoax".
 
Der Text ist lang genug, wenn es sich dabei um eine Verschlüsselung handelt werd ich es rausbekommen. Ich meld mich in ca. 15min mit dem Ergebnis (ich liebe Crypto Analyzing)

Erste Informationen:

Der Text erhält ohne den l33t Plaintext:
---------------------------------------------------
25 von 26 Zeichen des Alphabets

Anhand der Gleitenden Häufigkeit ist davon auszugehen das der Text sich 7 mal wiederholt.

Die meist verwendeten Buchstaben sind:
G=299 R=293 T=287


Anhand des Substions-Verfahrens würde ich zu 98% Auschließen das es sich um einen verschlüsselten text handelt, wenn anhand dieser größe sich sogut wie kein Plaintext finden lässt ist es mit höchster wahrscheinlichkeit jemand gewesen der mit system alle zeichen seiner Tastatur reingehämmert hat.

Zeitverschwendung..

PS: Die Restlichen 2 Prozent sagen es könnte sich um ein Bild handeln.
 
Also...
@ bad_alloc ich habs in word kopiert da sinds 158 seiten.
An alle: IM empfänger feld standen die ganzen mailaddys von den leuten aus der klasse.
Der lehrer der die erste rundmail verschickt hat, der hat etwa über 100 stück bekommen und ansonsten haben alle aus der klasse zwischen 20 und 30 davon bekommen.
@ Deex: wie meinste das mit dem bild?

Woher hätte der absender das @noob.com bekommen sollen?

Gruß, und danke, D31~$0u1
 
Original von D31~$0u1Woher hätte der absender das @noob.com bekommen sollen?
Zum Vergrößern anklicken....

Er hat z.B. einfach einen Mailserver ohne Authentifizierung genutzt (ein sogenanntes Open-Relay) und ein entsprechendes "Mail from" gesetzt. Das sollte aber im Header erkennbar sein. Daher... einfach mal den Header posten.
 
Nun es gibt methoden ein Bild in einen Haufen zeichen zu verwandeln, ich habe aber damit relativ wenig erfahrung. Vielleicht Probier ich mal das in HEX umzuwandeln und danach schauen ob es eine grafik ist. Die wahrscheinlichkeit ist aber sehr gering.. wie gesagt sowas ist mir bisher noch nicht unter die Augen gekommen ich weiß nur das es die Methode gibt. Eine geringe chance aber gut man kann es ja mal austesten. Auf die 2% bin ich übrigens gekommen weil meine Programme meinten sie hätten einen "Möglichen Schlüssel" gefunden, aber das sind meist fehl-Alarme weil sich aus so einen Haufen zeichen schnell etwas finden lässt.


So.. habe es nun ausgetestet, seinen schlüssel genommen von HEX in ein Bild umgewandelt nix...

Hex Editiert und angeben das es sich um ein Bild handelt..
Zitat: "Datastream contains No-Image".


Also ich bin der meinung wie oben, dass dort genausoviel an Informationen steckt wie des Admins Topf Sauerkraut (bezug auf das Planschbecken)
 
Also, der header:

Von: Root User <0wn3d@n00b.com>
An: (HIer stehen die Mailadressen von sämtlichen Schülern der Klasse, was ich verständlicherweise nicht hier herein kopieren werde)
Betreff: you were 0wn3d
Datum: Sun, 01. Jun 2008 13:48:39 +0200

Das ist dann der komplette header,
Bis denne,
Gruß,
D31~$0u1
 
ich glaube, du hast das noch nciht richtig verstanden. das ist der standard header. es gibt aber noch einen erweiterten. bei web.de zum Beispiel hast du neben der datumsanzeige einen link der "erweiterter header" heisst. da rauf klicken et voila: du hast ein ziemliches geschreibsel an domainnamen und IP-adressen.
und genau die daten bräuchte man hier. dann könnte man mehr darüber sagen. zum beispiel über welchen mailserver die mail geschickt wurde.
 
Original von D31~$0u1
Von: Root User <0wn3d@n00b.com>
An: (HIer stehen die Mailadressen von sämtlichen Schülern der Klasse, was ich verständlicherweise nicht hier herein kopieren werde)
Betreff: you were 0wn3d
Datum: Sun, 01. Jun 2008 13:48:39 +0200

Das ist dann der komplette header,
Zum Vergrößern anklicken....

Mit Sicherheit ist das nicht der komplette Header. Im Header der Email wird z.B. verzeichnet über welche Mail-Relays sie gegangen ist, wo sie ursprünglich herkam usw. Das sieht dann z.B. etwa so aus:

Code: 
Return-Path: <linux-kernel-owner+kernel=40meinserver.de-S1757348AbYEEP5f@vger.kernel.org>
X-Original-To: kernel@meinserver.de
Delivered-To: kernel@meinserver.de
Received: from localhost (localhost [127.0.0.1])
        by meinserver.de (Postfix) with ESMTP id 659A82FC004
        for <kernel@meinserver.de>; Mon,  5 May 2008 17:57:58 +0200 (CEST)
Received: from meinserver.de ([127.0.0.1])
        by localhost (bitmuncher.meinserver.de [127.0.0.1]) (amavisd-new, port 10024)
        with ESMTP id 30797-10 for <kernel@meinserver.de>;
        Mon, 5 May 2008 17:57:57 +0200 (CEST)
Received: from vger.kernel.org (vger.kernel.org [209.132.176.167])
        by meinserver.de (Postfix) with ESMTP id 432F32FC002
        for <kernel@meinserver.de>; Mon,  5 May 2008 17:57:37 +0200 (CEST)
Received: (majordomo@vger.kernel.org) by vger.kernel.org via listexpand
        id S1757348AbYEEP5f (ORCPT <rfc822;kernel@meinserver.de>);
        Mon, 5 May 2008 11:57:35 -0400
Received: (majordomo@vger.kernel.org) by vger.kernel.org id S1751834AbYEEP51
        (ORCPT <rfc822;linux-kernel-outgoing>);
        Mon, 5 May 2008 11:57:27 -0400
Received: from server1.oracle.com ([123.123.123.123]:18563 "EHLO
        server1.oracle.com" rhost-flags-OK-OK-OK-OK) by vger.kernel.org
        with ESMTP id S1750729AbYEEP51 (ORCPT
        <rfc822;linux-kernel@vger.kernel.org>);
        Mon, 5 May 2008 11:57:27 -0400
Received: from server2.us.oracle.com (server2.us.oracle.com [123.123.123.124])
        by server1.oracle.com (Switch-3.2.4/Switch-3.1.7) with ESMTP id m45FvNRQ031832;
        Mon, 5 May 2008 10:57:24 -0500
Received: from server3.oracle.com (server3.oracle.com [123.123.123.125])
        by server2.us.oracle.com (Switch-3.2.0/Switch-3.2.0) with ESMTP id m45ESZPf030352;
        Mon, 5 May 2008 09:57:21 -0600
Received: from dynamic-ip.fios.verizon.net by server3.oracle.com
        with ESMTP id 9437645181210002971; Mon, 05 May 2008 10:56:11 -0500
Date:   Mon, 5 May 2008 08:56:09 -0700
From: Foobar <foobar@oracle.com>
To: "Foobar2" <foobar@cisco.com>
Cc: "Linux Kernel" <linux-kernel@vger.kernel.org>
Subject: Re: Patches for piping to core pattern ?
Message-Id: <20080505085609.32482c03.randy.dunlap@oracle.com>
In-Reply-To: <FA6FB5FA4DA6BF4386D129273B2E3EC3034CA104@blaserver1.cisco.com>
References: <FA6FB5FA4DA6BF4386D129273B2E3EC3034CA104@blaserver1.cisco.com>
Organization: Oracle Linux Eng.
X-Mailer: Sylpheed 2.4.7 (GTK+ 2.8.10; x86_64-unknown-linux-gnu)
Mime-Version: 1.0
Content-Type: text/plain; charset=US-ASCII
Content-Transfer-Encoding: 7bit
X-Brightmail-Tracker: AAAAAQAAAAI=
X-Brightmail-Tracker: AAAAAQAAAAI=
X-Whitelist: TRUE
X-Whitelist: TRUE
Sender: linux-kernel-owner@vger.kernel.org
Precedence: bulk
List-ID: <linux-kernel.vger.kernel.org>
X-Mailing-List: linux-kernel@vger.kernel.org
X-Spam-Status: No, hits=0.0 tagged_above=-1000.0 required=1.2 tests=AWL
X-Spam-Level:
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben