Ergebnis 1 bis 10 von 10
  1. #1
    Sobig Wurm
    Registriert seit
    03.07.2015
    Beiträge
    201

    Standard Phisher ärgern?

    Jemand hat letztens versucht mich zu phishen. Habe mich aus Neugier einfach mal auf der Seite umgeguckt, und dachte mir dabei: "Wie könnte ich den jz richtig ärgern?" ^^
    Eine Idee wäre natürlich die Logs mitzulesen. Hat jemand 'n paar Ideen wie? Habe erstmal an Google Dorks gedacht oder den Lognamen zu erraten xD
    Oder kennt jemand auch noch 'n paar andere Methoden 'n Phisher bissl' auf 'n Sack zu gehen? Bin offen für alles

    MfG

    Dailox

  2. #2
    Wiederbelebt Avatar von Cystasy
    Registriert seit
    08.05.2015
    Beiträge
    685

    Standard AW: Phisher ärgern?

    Naja, zunächst solltest du vllt versuchen rauszufinden was mit den Daten gemacht wird.. wenn sie in einem Log landen aufm Server, kannst du damit was anstellen.. wenn er sich die Login daten dann aber per Email zuschicken wird, haste da halt kein Zugriff.

    Meine Idee wäre nun folgendes:

    1) Proxys besorgen
    2) Automatisiert alle paar Minuten / Stunden Daten per Request hinschicken (log vollspammen mit falschen daten die aber legit ausschaun)
    3) Zuschauen wie der Kerl sich ärgert weil er jetzt die Logindaten Manuell tryn muss falls er kein Account Checker hat. Ich gehe aber aus das jeder der das ganze ein bisschen "Serious Butter" macht entsprechende Acocuntchecker hat.. weil grade wenn Leute sehen "Das is ne Phishing Seite" sie halt dort dann fake daten eingeben und das allgemein bekannt ist..


    Einzige Möglichkeite wäre halt imho entweder das Login vollspammen mit Falschen Daten (und das so, das es gut gemixt ist.. falsche und richtige daten wohlmöglich abwechselnd), oder halt irgendwie versuchen ne Sicherheitslücke zu finden um dann das Logfile zu löschen.. oder halt das Phishing Script zu verändern, so das er nur noch falsche Daten loggt (oder halt komplett den Server dicht machen indem du da illegalen shit drufpackst & ne abuse rausschickst an den Provider). Alternativ einfach dem Hoster ne abuse schreiben "phishing site, bitte vertrag mit der person kündigen danke" o.ä.. Aber all das wird halt den Phishier nicht aufhalten, nur ärgern - aber das wolltest du ja *g*

    p.s: Auch ne Idee wäre vllt das Script so umzuschreiben das es die Leute die dort ihre Daten eintragen wollen drauf hinweist das es halt ne Phishing Seite ist (und das Script zu modifizieren das es nix mehr logt).. alternative wäre vllt die Emails zu speichern und dann die Leute drauf hinzuweisen das sie ihr PW changen sollten. Quasi dem Phishier aufn Keks gehen indem man die Opfer drauf hinweist was da ablief^^

    grüße

  3. #3
    Sobig Wurm
    Registriert seit
    03.07.2015
    Beiträge
    201

    Standard AW: Phisher ärgern?

    Zitat Zitat von Cystasy Beitrag anzeigen
    Naja, zunächst solltest du vllt versuchen rauszufinden was mit den Daten gemacht wird.. wenn sie in einem Log landen aufm Server, kannst du damit was anstellen.. wenn er sich die Login daten dann aber per Email zuschicken wird, haste da halt kein Zugriff.

    Meine Idee wäre nun folgendes:

    1) Proxys besorgen
    2) Automatisiert alle paar Minuten / Stunden Daten per Request hinschicken (log vollspammen mit falschen daten die aber legit ausschaun)
    3) Zuschauen wie der Kerl sich ärgert weil er jetzt die Logindaten Manuell tryn muss falls er kein Account Checker hat. Ich gehe aber aus das jeder der das ganze ein bisschen "Serious Butter" macht entsprechende Acocuntchecker hat.. weil grade wenn Leute sehen "Das is ne Phishing Seite" sie halt dort dann fake daten eingeben und das allgemein bekannt ist..


    Einzige Möglichkeite wäre halt imho entweder das Login vollspammen mit Falschen Daten (und das so, das es gut gemixt ist.. falsche und richtige daten wohlmöglich abwechselnd), oder halt irgendwie versuchen ne Sicherheitslücke zu finden um dann das Logfile zu löschen.. oder halt das Phishing Script zu verändern, so das er nur noch falsche Daten loggt (oder halt komplett den Server dicht machen indem du da illegalen shit drufpackst & ne abuse rausschickst an den Provider). Alternativ einfach dem Hoster ne abuse schreiben "phishing site, bitte vertrag mit der person kündigen danke" o.ä.. Aber all das wird halt den Phishier nicht aufhalten, nur ärgern - aber das wolltest du ja *g*

    p.s: Auch ne Idee wäre vllt das Script so umzuschreiben das es die Leute die dort ihre Daten eintragen wollen drauf hinweist das es halt ne Phishing Seite ist (und das Script zu modifizieren das es nix mehr logt).. alternative wäre vllt die Emails zu speichern und dann die Leute drauf hinzuweisen das sie ihr PW changen sollten. Quasi dem Phishier aufn Keks gehen indem man die Opfer drauf hinweist was da ablief^^

    grüße
    Stimmt Dass ich da nicht dran gedacht habe Danke ^^


    Zitat Zitat von Cystasy Beitrag anzeigen
    Naja, zunächst solltest du vllt versuchen rauszufinden was mit den Daten gemacht wird.. wenn sie in einem Log landen aufm Server, kannst du damit was anstellen.. wenn er sich die Login daten dann aber per Email zuschicken wird, haste da halt kein Zugriff.
    Wenn die Logfile auf'm Server liegt, gibt's da noch 'ne andere Möglichkeit darauf zuzugreifen als Google, erraten, oder so? (Riesen Sicherheitslücke habe ich nicht gefunden)

  4. #4
    Wiederbelebt Avatar von Cystasy
    Registriert seit
    08.05.2015
    Beiträge
    685

    Standard AW: Phisher ärgern?

    Zitat Zitat von Dailox Beitrag anzeigen
    Wenn die Logfile auf'm Server liegt, gibt's da noch 'ne andere Möglichkeit darauf zuzugreifen als Google, erraten, oder so? (Riesen Sicherheitslücke habe ich nicht gefunden)
    Ich sags mal so.. du könntest versuchen den Filename zu bruten.. so wie mans vllt für Ordner machen kann mit dirbuster.
    Müsste denke ich gehen..dürft aber ziemlich auffällig in den Serverlogs sein

    Bei Google hast halt das Problem das du den Google Crawler Bots sagen kannst "Liste das nicht, und durchsuchs auch nicht".. quasi nofollow, noindex.
    Da wirste also wenn jemand bissel Ahnung hat das nicht in Google finden.. was du vllt machen könntest wäre zu versuchen ne andere Suchmaschine zu suchen wo die nofollow / noindex nicht berücksichtigt. Aber sofern die File nirgendwo verlinkt ist, werden diese die auch nicht finden^^

    Also Bruten könnte man versuchen, aber sonst wüsste ich keine Möglichkeit. Einfachste wäre zu versuchen FTP Zugriff zu erhalten oder sonstwie eine Sicherheitslücke zu finden um Zugriff direkt aufs Dateiverzeichnis zu bekommen. Am einfachsten wäre eine PHP Injection wo du eigenen PHP Code injecten kannst.. da kannst du dir dann die Ordnerstrukur anzeigen lassen usw.
    Vllt könntest du da versuchen ne PHP Shell hochzuladen irgendwie

    grüße

  5. #5
    Sobig Wurm
    Registriert seit
    03.07.2015
    Beiträge
    201

    Standard AW: Phisher ärgern?

    Zitat Zitat von Cystasy Beitrag anzeigen
    Ich sags mal so.. du könntest versuchen den Filename zu bruten.. so wie mans vllt für Ordner machen kann mit dirbuster.
    Müsste denke ich gehen..dürft aber ziemlich auffällig in den Serverlogs sein

    Bei Google hast halt das Problem das du den Google Crawler Bots sagen kannst "Liste das nicht, und durchsuchs auch nicht".. quasi nofollow, noindex.
    Da wirste also wenn jemand bissel Ahnung hat das nicht in Google finden.. was du vllt machen könntest wäre zu versuchen ne andere Suchmaschine zu suchen wo die nofollow / noindex nicht berücksichtigt. Aber sofern die File nirgendwo verlinkt ist, werden diese die auch nicht finden^^

    Also Bruten könnte man versuchen, aber sonst wüsste ich keine Möglichkeit. Einfachste wäre zu versuchen FTP Zugriff zu erhalten oder sonstwie eine Sicherheitslücke zu finden um Zugriff direkt aufs Dateiverzeichnis zu bekommen. Am einfachsten wäre eine PHP Injection wo du eigenen PHP Code injecten kannst.. da kannst du dir dann die Ordnerstrukur anzeigen lassen usw.
    Vllt könntest du da versuchen ne PHP Shell hochzuladen irgendwie

    grüße
    Jo, bruten ist natürlich sehr auffällig ^^ Aber in dem Fall ist es ja eigentlich Schnuppe.. zu den Cops kann er ja nicht gehen ^^ "Hilfe, meine Phishingseite wird angegriffen"
    Sah übrigens nach jemanden aus, der echt wenig Ahnung hatte ^^

    Danke <3


    MfG

    Dailox
    Geändert von Dailox (15.02.2016 um 21:05 Uhr)

  6. #6
    Tron Avatar von gORDon_vdLg
    Registriert seit
    23.07.2007
    Beiträge
    801

    Standard AW: Phisher ärgern?

    Ein Blick in die robots.txt kann auch manchmal interessant sein. Oft werden ja Verzeichnisse von der Suche ausgeschlossen.

  7. #7
    Anfänger Avatar von B1nary
    Registriert seit
    07.04.2015
    Beiträge
    14

    Standard AW: Phisher ärgern?

    Formular durch automatisiertem Script mit Random-Strings vollspammen

  8. #8
    Sobig Wurm
    Registriert seit
    03.07.2015
    Beiträge
    201

    Standard AW: Phisher ärgern?

    Zitat Zitat von B1nary Beitrag anzeigen
    Formular durch automatisiertem Script mit Random-Strings vollspammen
    Joa, wäre aber (glaube ich) besser, wenn man den nicht mit Random-Strings vollspammt, sondern mit gängigen Namen und Passwörtern, da es sonst auffällt, wenn er mal wirklich 'n "Erfolg" gemacht hat. Wäre schon lustig, wenn er alle Accounts da durchprobieren muss, wenn er keinen Accountchecker hat, wie Cystasy es ja schon erwähnt hat.



    Zitat Zitat von gORDon_vdLg Beitrag anzeigen
    Ein Blick in die robots.txt kann auch manchmal interessant sein. Oft werden ja Verzeichnisse von der Suche ausgeschlossen.
    Jo, ist auch 'ne gute Idee


    Danke <3

    MfG

    Dailox
    Geändert von Dailox (19.02.2016 um 12:10 Uhr)

  9. #9
    Anfänger Avatar von B1nary
    Registriert seit
    07.04.2015
    Beiträge
    14

    Standard AW: Phisher ärgern?

    Zitat Zitat von Dailox Beitrag anzeigen
    Joa, wäre aber (glaube ich) besser, wenn man den nicht mit Random-Strings vollspammt, sondern mit gängigen Namen und Passwörtern
    Die könnte man sich hier in großer Menge besorgen: http://www.fakenamegenerator.com/order.php

  10. #10
    Bad Times Virus
    Registriert seit
    14.03.2009
    Beiträge
    579

    Standard AW: Phisher ärgern?

    Ich hab einfach mal https://github.com/hadley/data-baby-names & http://www.census.gov/topics/populat..._surnames.html genommen
    Und dann irgendwie sowas
    Code:
    cat first_names | sort -R | head --lines=1 | grep -o '[a-zA-Z]*' | head --lines=1 
    cat app_c.csv | sort -R | head --lines=1 | grep -o '[a-zA-Z]*' | head --lines=1
    Das geht bestimmt auch schneller (oder am besten in einer Programmiersprache deiner Wahl) sollte aber reichen um nicht auf irgendwelche externen Quellen aufzubauen (obwohl die Auswahl der Namensliste von fakenamegenerator echt cool aussieht).

Ähnliche Themen

  1. MSN und bissen ärgern
    Von smoke-61 im Forum Instant Messaging
    Antworten: 9
    Letzter Beitrag: 06.01.2009, 23:13
  2. [Tutorial] Schüler ein bisschen ärgern
    Von ir0n im Forum (X)HTML & CSS
    Antworten: 13
    Letzter Beitrag: 16.12.2007, 12:03

Stichworte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •