mah_one Posted February 9, 2014 Report Posted February 9, 2014 Am inceput pe 9 dec 2013 un studiu (nu doresc sa intru in detalii) si am cumparat o masina virtuala cu windows server 2008 de la godaddy. La ora 23 am platit catre ei, pe la 12 noaptea ei mi-au trimis datele de autentificare.Mi-am instalat rapid un apache server si am pus niste script-uri (nu e nimic ilegal). Tot pe server, tineam o pagina pentru loguri la anumite chestii, loguri neinteresante, dar am zis totusi sa pun parola.Dupa o ora, se poate vedea mai jos din access_log, cineva a stiut sa faca request-ul perfect la server-ul meu si mi-a ghicit parola la log-urile mele fara a face un brute force.Request-urile:54.242.94.63 - - [10/Dec/2013:01:03:04 +0200] "GET /1.php?pass=EDITED HTTP/1.1" 200 488184.73.120.177 - - [10/Dec/2013:20:18:11 +0200] "GET /1.php?pass=EDITED HTTP/1.1" 200 9784As vrea sa va dati cu parerea si sa imi ziceti toate posibilitatile. Cum s-a putut intampla asta si in maxim o ora dupa ce am ridicat server-ul.Pana acum eu vad doua posibilitati:- keyloger (nu cred, fiindca era gol pana acum contul de paypal si altele).- din cauza ca era trafic http, cineva a interceptat si a avut curiozitatea sa se uite. Aici as dori sa mai dezvoltati voi, am cateva scenarii in minte dar vreau si parerea voastra. Quote
xact Posted February 9, 2014 Report Posted February 9, 2014 Sau,- firma de hosting face verificari pentru respectarea ToS-ului- ti-ai pus parola in ceva executabile care au ajuns sa fie analizate/facut reverse pe ele si ti-au gasit parola.Daca verifici detalii despre ip-urile respective, poti afla mai multe. Quote
cybercop Posted February 10, 2014 Report Posted February 10, 2014 (edited) Mai mult ca sigur sunt cei de la GD. Ei sunt printre primii care au semnat tot felul de conventii si intelegeri anti-, anti-, anti-.... Firma nu poate face verificari de respectare a TOS interceptand userul si parola ta, nici chiar cu mandat. Asta nu o fac, ei. Din cate imi amintesc prima data la ei in DC s-a lasat cu anulari de domenii, de expluzii la hosting si returnare de bani (daca a fost cazul) plus curatenie la matracanii. Asa ca daca ai gasi vreo urma de IP, mare minune de nu e din reteaua lor privata. Oricum, indiferent ca au avut ei o idee strafulgerata si au intrat in awarness, daca reusesti sa dovedesti ca ei au fost... Ar fi o incalcare grava a conditiilor si termenilor de acordare a serviciilor, plus violarea confidentialitatii datelor.LE: Ma indoiesc tare de faptul ca te-a sniff-at cineva accidental si asa ti-a aflat datele de logare... Edited February 10, 2014 by cybercop adaugire Quote
mah_one Posted February 10, 2014 Author Report Posted February 10, 2014 (edited) Nu aveam date importante acolo, dar pentru ca in request aparea un keyword ca "pass", cineva a fost foarte curios sa vada ce este.ip-urile alea sunt din amazon, nu cred ca il poate gasi cineva pe cel care mi-a intrat pe pagina aia. Edited February 10, 2014 by mah_one Quote
wildchild Posted February 10, 2014 Report Posted February 10, 2014 E posibil ca un proces din windows s? aib? un backdoor, keylogger mai precis.Cite?te bine TOS-ul, s? vezi dac? nu cumva au porti?? pentru a?a ceva. Quote
