Перейти к содержимому



Купить ссылку здесь
Фотография
- - - - -

Подмена DNS сервера. Будьте осторожны

Форум ZiSMO.biz
Подмена DNS сервера
6
Сообщений в теме: 6

OFFLINE Отправлено

bobby9991
группа пользователя

    Пользователь

  • Cообщений: 261
  • Друзей:7
  • Поинты: 1
  • Предупреждений: 0
  • Онлайн:2д 1ч 58м
6

Привет, зисмовцы.

Хочу поделиться с вами случаем, который недавно со мной произошел. Надеюсь, кого-то эта статья сможет уберечь от потери приватных данных и, даже, денег.

Завязка

Началось все с того, что один из моих знакомых, посетовал, что мобильную версию ВКонтакте закрыли. Я очень удивился, потому как не видел для этого никак объективных причин, и поспешил проверить, так ли это. Переход на m.vk.com развеял мои сомнения — все работало. В ходе расспроса знакомого, выяснилось, что у него m.vk.com сообщает о том, что весь сервис переехал на мобильное приложение и предлагает это приложение скачать. Очевидно, это шалят вирусы, подумал я, и попросил знакомого дать взглянуть на его машину. 

Первым делом, я самолично взглянул на этот фейк, все выглядело очень правдоподобно: было хорошо сверстано и URL был именно m.vk.com. Так что, можно было действительно подумать, что мобильная версия ВК закрылась. 
Ну что это может быть? Конечно же, hosts! Открывая его, я уже был готов спасти знакомого от страшной напасти, но… в файле не оказалось ничего, кроме стандартных комментариев. Так же не было и другого, скрытого hosts, как это иногда бывает. Тщательное изучение запущенных процессов не дало ничего интересного, ровным счетом как и гуглирование предлагаемого для скачивания приложения. Я призадумался. 

Мои мыслительные процессы прервал знакомый, сообщив, что та же самая история происходит и при попытке зайти в ВК с телефона. Это была зацепка. Телефон был подключен к домашней wi-fi точке, к той же, что и проблемный компьютер. Попросив знакомого зайти в ВК с мобильного интернета, отключившись от wi-fi, я отмел вариант заражения телефона — открывалась настоящая версия. Вывод был только один — заражен роутер.
 

Всему виной безответственность

Перейдя на 192.168.1.1, я попросил знакомого логин и пароль от роутера и услышал в ответ… admin:admin! Что?! Как можно было не сменить пароль на роутере раздающем wi-fi?! Поразительная безответственность! Знакомый пожал плечами. 
Проверив DNS я обнаружил следующее:

 

  • 176.102.38.70
  • 8.8.8.8

Второй адрес мне хорошо известен, это DNS Google, а вот первый я раньше не встречал. Он был даже не из нашего региона.

Ничего, кроме как перейти по этому адресу, в голову не пришло. Предо мной предстал фейк QIWI, при чем, опять же, отменного качества. (Кстати, он до сих пор там). 

 

Я удалил этот адрес из DNS, заменив его стандартным для нашего региона, сменил пароль на роутере и перезапустил его. После этого, все заработало как положено. Выслушав благодарности знакомого, я решил заняться фейком поплотнее.


Вот это поворот

2ip.ru сказал, что адрес украинский и показал из какого он диапазона. Диапазон был небольшим, поэтому логично было бы его просканировать. Сказано-сделано. Полчаса возни и был обнаружен другой интересный адрес. Вот он: 176.102.38.39

Сейчас там расположена ненормативная лексика, но когда я его нашел, там была форма с названием «Fake admin panel» и поля для логина и пароля. Чем черт не шутит? Подумал я, и ввел admin:admin. Как вы думаете, что произошло?

Я оказался в админке, с логами всех входов в фейки мошенников! Поразительно, они попались на своем же методе заражения.
Признаю, я сначала подумал, что это ханипот, и попробовал войти в один из кошельков QIWI из лога. Данные были верными, на счету кошелька было около 1000 рублей. Значит, это не ханипот. Я вышел из кошелька, и начал изучать админку. 



В тылу врага

 
Оформлена админка была со вкусом:
 
a98e6d87cf1b65ef9aa7d03d4ddb17b0.png
(эти игрушечки сверху шевелились, когда на них наводишь крыской, и издавали звук (и это была не флешка))
 
В разделе Stat можно было увидеть сколько всего залогировано входов. Ситуация примерно такая:
  • VK ~72000
  • OK ~45000
  • QIWI ~9000
  • BTC — 5

Неплохие результаты (не считая btc), да?

Отдельно нужно отметить лог QIWI, судя по всему, ради него это все и было сделано. В логе QIWI отображался не только логин, пароль и IP, но и баланс на момент входа, а так же включено ли SMS подтверждение для платежей (что поразительно, в большей части аккаунтов оно было выключено). Такой лог, говорит о том, что после авторизации через фейк, человека авторизировало на реальном QIWI, и бедняга даже не подозревал о подвохе.

В правом верхнем углу отображается количество записей, которые еще не убраны в архив (замечу, что эти записи пополнялись очень быстро). 
А внизу (на картинке не видно), были кнопочки для удобного экспорта не архивных логов в txt файл и кнопочка для восстановления всех записей из архива.

Ощущая, что мое время на исходе, я восстановил все записи из архива QIWI и скачал их себе. Хотел проделать тоже самое с остальными сервисами, но не смог. Потому как при следующем запросе я увидел ошибку 403, а потом и то, что там есть сейчас.
 

Результаты

Полученный файл я очистил от одинаковых записей и проверил нет ли там кошелька моего знакомого. Знакомому повезло, его кошелек в руки мошенников не попал. 
Вот этот файл (естественно без паролей), можете проверить, нет ли там вашего кошелька.

 

Скрытый текст

 

 

Будь осторожен, зло не дремлет!


Сообщение отредактировал bobby9991: 06 06 2015 - 14:27




    • 1
  • Наверх
  • Ответить

OFFLINE Отправлено

ex-roll
группа пользователя

    Пользователь

  • Cообщений: 618
  • Друзей:9
  • Поинты: 8
  • Предупреждений: 0
  • Онлайн:9д 8ч 54м
59

дай маленько паролей, че жалко чтоль 


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

bobby9991
группа пользователя

    Пользователь

  • Cообщений: 261
  • Друзей:7
  • Поинты: 1
  • Предупреждений: 0
  • Онлайн:2д 1ч 58м
6

дай маленько паролей, че жалко чтоль 

Не мои


Up
    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

DearFox
группа пользователя

    Новичок

  • Cообщений: 79
  • Друзей:1
  • Поинты: 7
  • Предупреждений: 99
2

Скинь ссылку на админку


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

bobby9991
группа пользователя

    Пользователь

  • Cообщений: 261
  • Друзей:7
  • Поинты: 1
  • Предупреждений: 0
  • Онлайн:2д 1ч 58м
6

Скинь ссылку на админку


Хахаха..Просто скинь?Почему не приложил 5К рублей за админку?

Сообщение отредактировал bobby9991: 10 06 2015 - 00:00

    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

bobby9991
группа пользователя

    Пользователь

  • Cообщений: 261
  • Друзей:7
  • Поинты: 1
  • Предупреждений: 0
  • Онлайн:2д 1ч 58м
6

дам ссылку админки за 400 руб


    • 0
  • Наверх
  • Ответить

OFFLINE Отправлено

cooper554
группа пользователя

    andrey7-soft.ru

  • Cообщений: 4 922
  • Друзей:53
  • Поинты: 21 254
  • Предупреждений: 0
  • Онлайн:12д 19ч 8м
215

ХакИр

Тема как бы не нова.


Сообщение отредактировал cooper554: 12 06 2015 - 12:51

InstaTool - программа для продвижения в инстаграме - http://zismo.biz/forum/56-539309-1

Боты для сервисов накрутки - http://andrey7-soft.ru/
    • 0
  • Наверх
  • Ответить



Напишите свое сообщение