Jump to content
mah_one

Intamplare dubioasa pe trafic necriptat.

Recommended Posts

Posted

Am inceput pe 9 dec 2013 un studiu (nu doresc sa intru in detalii) si am cumparat o masina virtuala cu windows server 2008 de la godaddy.

La ora 23 am platit catre ei, pe la 12 noaptea ei mi-au trimis datele de autentificare.

Mi-am instalat rapid un apache server si am pus niste script-uri (nu e nimic ilegal). Tot pe server, tineam o pagina pentru loguri la anumite chestii, loguri neinteresante, dar am zis totusi sa pun parola.

Dupa o ora, se poate vedea mai jos din access_log, cineva a stiut sa faca request-ul perfect la server-ul meu si mi-a ghicit parola la log-urile mele fara a face un brute force.

Request-urile:

54.242.94.63 - - [10/Dec/2013:01:03:04 +0200] "GET /1.php?pass=EDITED HTTP/1.1" 200 488

184.73.120.177 - - [10/Dec/2013:20:18:11 +0200] "GET /1.php?pass=EDITED HTTP/1.1" 200 9784

As vrea sa va dati cu parerea si sa imi ziceti toate posibilitatile.

Cum s-a putut intampla asta si in maxim o ora dupa ce am ridicat server-ul.

Pana acum eu vad doua posibilitati:

- keyloger (nu cred, fiindca era gol pana acum contul de paypal si altele).

- din cauza ca era trafic http, cineva a interceptat si a avut curiozitatea sa se uite. Aici as dori sa mai dezvoltati voi, am cateva scenarii in minte dar vreau si parerea voastra.

Posted

Sau,

- firma de hosting face verificari pentru respectarea ToS-ului

- ti-ai pus parola in ceva executabile care au ajuns sa fie analizate/facut reverse pe ele si ti-au gasit parola.

Daca verifici detalii despre ip-urile respective, poti afla mai multe.

Posted (edited)

Mai mult ca sigur sunt cei de la GD. Ei sunt printre primii care au semnat tot felul de conventii si intelegeri anti-, anti-, anti-.... Firma nu poate face verificari de respectare a TOS interceptand userul si parola ta, nici chiar cu mandat. Asta nu o fac, ei. Din cate imi amintesc prima data la ei in DC s-a lasat cu anulari de domenii, de expluzii la hosting si returnare de bani (daca a fost cazul) plus curatenie la matracanii. Asa ca daca ai gasi vreo urma de IP, mare minune de nu e din reteaua lor privata. Oricum, indiferent ca au avut ei o idee strafulgerata si au intrat in awarness, daca reusesti sa dovedesti ca ei au fost... Ar fi o incalcare grava a conditiilor si termenilor de acordare a serviciilor, plus violarea confidentialitatii datelor.

LE: Ma indoiesc tare de faptul ca te-a sniff-at cineva accidental si asa ti-a aflat datele de logare...

Edited by cybercop
adaugire
Posted (edited)

Nu aveam date importante acolo, dar pentru ca in request aparea un keyword ca "pass", cineva a fost foarte curios sa vada ce este.

ip-urile alea sunt din amazon, nu cred ca il poate gasi cineva pe cel care mi-a intrat pe pagina aia.

Edited by mah_one

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...