#1 18. Oktober 2012 Zuletzt bearbeitet: 23. Oktober 2012 So ich habe es mal runter reduziert. Fällt ansonten schwer das zu verfolgen. Der SERVER ist down. Wahrscheinlich überlastet, weil einer der MEga Haxxor hier ne Brutforce 3000 Threads Attacke gefahren hat. "Sorry too much for kleine Ausland Server" url: paypal-services.de ip: http://218.111.106.155:80 Web-Engine: Apache 2.2 Content Management System: Coeus User: admin Login : Coeus Content Management Systems Control Panel Login2: ftp://admin@218.111.106.155:21 Email for phishing: W**2L**@yahoo.com (ausgesternt reicht wenn ich die weiß) Lücken: a) PHP Brute Force b) FTP Bruteforce c) Social Engineering d) Email für RootKit e) Passwort generierung möglich (Länge unbekannt) für PHP Brute Force Nicht verfolstädnigte Maßnahmen: a) Manual für Content Management nicht gefunden b) Ordner BruteForce (10 Threads) - leider nicht vollstädig, da Server Shutdown Einlogscript: http://218.111.106.155/js.php?f=admin&a=1 1 Person gefällt das. + Multi-Zitat Zitieren
#2 18. Oktober 2012 AW: How to fish a Phish Ne Phishing Seite mit .de und Realdaten?? + Multi-Zitat Zitieren
#4 18. Oktober 2012 AW: How to fish a Phish Ich war geistig noch nicht ganz bei mir + Multi-Zitat Zitieren
#5 18. Oktober 2012 AW: How to fish a Phish Da muss ich mal antworten anstatt zu "Editen". Natürlich ist der Arme Mann der gerne nach Gambia fährt hier auch nur ein Opfer - Das wäre 2012 viel zu einfach mit den Realdaten. Aber vor 10 Jahren gab es auch noch solche DAUs. + Multi-Zitat Zitieren
#6 18. Oktober 2012 AW: How to fish a Phish DAUs gibts auch heute noch zahlreiche. Wundere mich immer wieder... Schließlich gäb es solche Mails nicht, wenn niemand drauf eingehen würde. + Multi-Zitat Zitieren
#7 18. Oktober 2012 AW: How to fish a Phish denk ich auch mal, bekomm öfters Paypal Fishmails, und teilweise sind da welche die auf eigentlich ordentliche Boards verweisen in nem Subdir + Multi-Zitat Zitieren
#8 19. Oktober 2012 Zuletzt von einem Moderator bearbeitet: 15. April 2017 AW: How to fish a Phish Außer ein paar Whois Daten und leeren Phrasen über irgendwelche Scripte hast du hier noch nichts zu Stande gebracht. Der Thread ist so lange uninteressant, wie du keine Shell (oder vergleichbares) auf dem Server hast (was ich dir im übrigen nicht zutraue). Wäre ich nicht gerade zu müde, würde ich vielleicht einsteigen und dir zeigen wie man so was macht. Ansonsten ist es interessant wie schnell sich die Leute hier beeindrucken lassen Ansonsten begrüße ich derartige Threads dennoch. Der hier war auch recht interessant: Explorer.EXE connected 91.217.249.16 - RR:Board // Das ist auch kein Zufall, sondern liegt daran, dass der ganze Server wahrscheinlich von seinem eigentlichen Administrator, welcher auch dieses CMS aufgesetzt hat vernachlässigt bzw. momentan nicht beachtet wird. Das wiederum führte dazu, dass sich jemand fremdes Kontrolle verschafft hat. Es ist also nicht verwunderlich, dass auf einem Malaysischem Server ein malaysisches CMS liegt. Ist also vollkommen normal, du ziehst wahrscheinlich die falschen Schlüsse. Der FTP ist wahrscheinlich auch von den Malaysischem Admin und deine "Informationen" (welche ich ohnehin anzweifele) somit Wertlos. Ansonsten solltest du vorsichtiger sein, du gehst zu voreingenommen an die ganze Sache ran. Du kannst die Zugehörigkeit von Informationen (z.B. Ebay, Foren und Mailaccounts) nicht einfach so bestimmen. Der erste Schritt ist davon auszugehen, dass die Gegenseite intelligenter als man selbst ist und jede Erkenntnis als falsch einzustufen und nach Wahrscheinlichkeit zu bewerten. Das machst du so lange bis du nicht mehr in der Lage bist neue Daten zu sammeln und schaust dir dann wieder das Gesamtbild bzw. die Relation der Daten an und bewertest ggf. neu. 1 Person gefällt das. + Multi-Zitat Zitieren
#9 20. Oktober 2012 AW: How to fish a Phish +1 für Alex² http://paypal-services.de/admin/index.php Brute halt das PW für den User "admin" diesen gibt es zu 100% (Kannst ja mal "Lost Password" machen wenn man einen falschen Namen eingibt wird es einem auch angezeigt.) Wie gesagt eigentlich hast du noch nichts geleistet die whois-Daten etc. hätte sogar unser überhaxx0r alexgold zusammenbekommen. + Multi-Zitat Zitieren
#10 20. Oktober 2012 AW: How to fish a Phish Ihr beiden bis auf geflame auch nicht. Der Login username ist mir schon seit zwei Tagen bekannt. Ich habe sogar die passende Email dazu und Root Shell Access ohne SSH Port (?!)- Da benötigt man ein Crossscript. Das wiederum geht nur wenn man aktiv Code einbinden kann in das System. Um den Username rauszufinden braucht ich übrigens einen Versuch und keine Brute Attacke - Und ganz nebenbei gebe ich in meinen Kommentaren eigentlich keine Anleitungen wie man da am besten reinkommt. Ihr könnt mir aber gerne kosntruktive Ansätze via PN posten, anstatt euch hier zum Horst zu machen. + Multi-Zitat Zitieren
#11 20. Oktober 2012 Zuletzt von einem Moderator bearbeitet: 15. April 2017 AW: How to fish a Phish Du hast keine Ahnung wovon du da redest. Poste doch einfach mal Hacklogs, wie man es normalerweise macht, bevor man dumm herumredet. Führe einfach ein paar Befehle aus die z.B. Systeminformationen geben, so wie ich es hier gemacht habe: Explorer.EXE connected 91.217.249.16 - RR:Board Dann glauben die Leute dir auch, was du da von dir gibst. Ansonsten redest du immer noch jede Menge zusammenhangslosen Scheiß, der sich einfach nach irgendwelchen Begriffen anhört, welche du irgendwo aufgeschnappt hast. Du sagst, dass du "Root-Shell-Access" hast aber "keinen Code einbinden kannst" :lol: Was istn mit dir los. Du solltest wissen, dass ich es wahrscheinlich könnte. //Scheint momentan offline zu sein. + Multi-Zitat Zitieren
#12 20. Oktober 2012 AW: How to fish a Phish So ich habe es mal runter reduziert. Fällt ansonten schwer das zu verfolgen. Der SERVER ist down. Wahrscheinlich überlastet, weil einer der MEga Haxxor hier ne Brutforce 3000 Threads Attacke gefahren hat. "Sorry too much for kleine Ausland Server" url: paypal-services.de ip: http://218.111.106.155:80 Web-Engine: Apache 2.2 Content Management System: Coeus User: admin Login : Coeus Content Management Systems Control Panel Login2: ftp://admin@218.111.106.155:21 Email for phishing: W**2L**@yahoo.com (ausgesternt reicht wenn ich die weiß) Lücken: a) PHP Brute Force b) FTP Bruteforce c) Social Engineering d) Email für RootKit e) Passwort generierung möglich (Länge unbekannt) für PHP Brute Force Nicht verfolstädnigte Maßnahmen: a) Manual für Content Management nicht gefunden b) Ordner BruteForce (10 Threads) - leider nicht vollstädig, da Server Shutdown + Multi-Zitat Zitieren
#13 20. Oktober 2012 Zuletzt bearbeitet: 20. Oktober 2012 AW: How to fish a Phish Das war doch gar nicht so schwer. Jetzt haben wir auch eine einiger Maßen vernünftige Diskussionsgrundlage. Im Folgendem gehe ich einfach mal davon aus, dass die von dir gesammelten Daten zutreffen. a) PHP Brute Force Ich nehme einfach mal an, dass du damit Meinst irgendwelche POST oder GET Parameter im Zusammenhang mit einer Anmeldung zu Brute-Forcen. Ist wenig effizient, da Brute Force. Sollte man ganz hinten anhängen b) PHP Brute Force Ist wenig effizient, da Brute Force. Sollte man ganz hinten anhängen c) Social Engineering Würde mich sehr wundern, wenn der Admin überhaupt auf irgendetwas reagiert. Der kriegt so ja schon nichts mehr mit . d) Email für RootKit Das ist wieder mal eine Phrase, welche ich nicht verstehe. Du möchtest dem Typ per E-Mail ein Rootkit bzw. Maleware unterschieben? Lässt sich durch irgendwelche Drive-By Exploits sicher realisieren. Fällt allerdings zum großem Teil auch unter c) und wird wahrscheinlich vom Empfänger ignoriert e) Passwort Generierung möglich Halte ich (alleine betrachtet) nicht mal für eine Lücke. Höchstens für eine Design-Schwäche. Wobei ich mir bei der Beschreibung auch schon wieder verschiedene Mechanismen vorstellen kann. Also, was wir bis jetzt haben: a) und b) bzw. c) und d) sind generische Verwundbarkeiten die auf JEDES System zutreffen, welches entsprechende Dienste am laufen haben bzw. von Menschen verwaltet werden. -> Wertlos e) Könnte sich im Zusammenhang mit anderen Funktionalitäten als hilfreich erweisen, ist aber wahrscheinlich nutzlos zumal nicht klar ist ob die generierten Passwörter tatsächlich direkt irgendwo gespeichert / aktiviert werden. -> praktisch Wertlos Im Grunde liegt hier also NICHTS vor, was sich nicht innerhalb von 60 Sekunden über jedes vergleichbare System sagen lässt. Diese Informationen sind von der gleichen Qualität wie irgendwelche Whois Abfragen. Ich weiß, dass euch das nicht gefällt, weil ihr gerne Hacker spielt. Aber irgendwo muss man das dann auch mal einsehen. + Multi-Zitat Zitieren