Saturday, February 25. 2006
Hack the Phishers - Teil 2
Nach den ersten Versuchen gestern, habe ich noch ein paar mehr Sachen rausgefunden:
Scheinbar leiten die Server den Request nur weiter. Entweder einfaches Portforwarding oder als Reverse-Proxy. Diese Schlußfolgerung basiert darauf, dass unter mehreren Server mit völlig unterschiedlichen IPs (also anderer Netblock) genau dieselben Datendateien liegen. Außerdem liegen submit.php und verify.php auf einem *nix-Server (zu erkennen am Pfad in der Fehlermeldung). Weiterhin haben alle SSL-Hosts auf den IPs genau denselben Zertifikatsfingerprint.
Mittlerweile sind zwei Server mehr gefunden:
http://211.199.252.187:180/ und http://211.32.14.248
Auch einige Phishing-Pfade sind jetzt bekannt:
Sowie die passenden Datendateien:
Witzigerweise hat Heise gerade heute über den Phishing-Baukasten berichtet. Jetzt fehlt mir nur noch der Sourcecode vom "Rock-Phish-Kit" - wer ihn hat: immer her damit!
Scheinbar leiten die Server den Request nur weiter. Entweder einfaches Portforwarding oder als Reverse-Proxy. Diese Schlußfolgerung basiert darauf, dass unter mehreren Server mit völlig unterschiedlichen IPs (also anderer Netblock) genau dieselben Datendateien liegen. Außerdem liegen submit.php und verify.php auf einem *nix-Server (zu erkennen am Pfad in der Fehlermeldung). Weiterhin haben alle SSL-Hosts auf den IPs genau denselben Zertifikatsfingerprint.
Mittlerweile sind zwei Server mehr gefunden:
http://211.199.252.187:180/ und http://211.32.14.248
Auch einige Phishing-Pfade sind jetzt bekannt:
- /r1/an/
- /r1/ba/
- /r1/com/
- /r1/eBayIsap
- /r1/na/
- /r1/wo/
- /r1/Isa/
Sowie die passenden Datendateien:
- /r1/an/anzinfo777777773333.txt
- /r1/Isa/binfertertertert733337tyho.txt
- /r1/na/natfgfgfg73737info.txt
Witzigerweise hat Heise gerade heute über den Phishing-Baukasten berichtet. Jetzt fehlt mir nur noch der Sourcecode vom "Rock-Phish-Kit" - wer ihn hat: immer her damit!
Trackbacks
Trackback specific URI for this entry
No Trackbacks
Comments
Display comments as
(Linear | Threaded)
Citibank habe ich soeben versucht zu informieren - mal sehen wann die antworten..
Ich habe gerade den Hinweis bekommen, dass der eine Server auch schon als Spam-Sender bekannt und blacklisted ist:
1.0 URIBL_SBL Contains an URL listed in the SBL blocklist
[URIs: dhlmailcorp.com 211.32.14.248]
2.0 URIBL_PH_SURBL Contains an URL listed in the PH SURBL blocklist
[URIs: dhlmailcorp.com]
2.5 URIBL_JP_SURBL Contains an URL listed in the JP SURBL blocklist
[URIs: dhlmailcorp.com]
1.5 URIBL_WS_SURBL Contains an URL listed in the WS SURBL blocklist
[URIs: dhlmailcorp.com]
3.2 URIBL_OB_SURBL Contains an URL listed in the OB SURBL blocklist
[URIs: dhlmailcorp.com]
4.3 URIBL_SC_SURBL Contains an URL listed in the SC SURBL blocklist
[URIs: dhlmailcorp.com]
QUOTE:
1.0 URIBL_SBL Contains an URL listed in the SBL blocklist
[URIs: dhlmailcorp.com 211.32.14.248]
2.0 URIBL_PH_SURBL Contains an URL listed in the PH SURBL blocklist
[URIs: dhlmailcorp.com]
2.5 URIBL_JP_SURBL Contains an URL listed in the JP SURBL blocklist
[URIs: dhlmailcorp.com]
1.5 URIBL_WS_SURBL Contains an URL listed in the WS SURBL blocklist
[URIs: dhlmailcorp.com]
3.2 URIBL_OB_SURBL Contains an URL listed in the OB SURBL blocklist
[URIs: dhlmailcorp.com]
4.3 URIBL_SC_SURBL Contains an URL listed in the SC SURBL blocklist
[URIs: dhlmailcorp.com]
Ich habe mich vertan, die Domains zeigen nur auf die oben genannte IP.
sehr interessant !
man beachte den tcpwrapper auf port 4899 auf allen 3 hosts
port 180 ...den nehm ich mal zum suchen
zu erkennen sind sie ausserdem an
Service Info: Host: server.laki2.org; OS: Windows
hf
man beachte den tcpwrapper auf port 4899 auf allen 3 hosts
port 180 ...den nehm ich mal zum suchen
zu erkennen sind sie ausserdem an
Service Info: Host: server.laki2.org; OS: Windows
hf
ja, aber laki2.org ist nicht gültig. Aber so meldet sich der SMTP-Server:
Übrigens noch ein Anzeichen das hinter der IP mehrere Systeme sitzen.
Was meinst du mit tcpwrapper? Ich dachte da sitzt radmin?
CODE:
220 server.laki2.org ESMTP Exim 4.60
Übrigens noch ein Anzeichen das hinter der IP mehrere Systeme sitzen.
Was meinst du mit tcpwrapper? Ich dachte da sitzt radmin?
ich will ja nix heraufbeschwören.. aber das sieht wie nen honeypot aus
genutzt um accounts abzugreifen ?
^^
genutzt um accounts abzugreifen ?
^^
nein, für ein honeypot gäbe es wohl kaum Spammails..
Es gibt auch ein paar Sachen die mich wundern - u.a. die nicht funktionierende Skripte und die Weiterleitung auf einen anderen Server im Hintergrund.
Es gibt auch ein paar Sachen die mich wundern - u.a. die nicht funktionierende Skripte und die Weiterleitung auf einen anderen Server im Hintergrund.
Quicksearch
Statische Seiten
Calendar
|
February '12 | |||||
| Mon | Tue | Wed | Thu | Fri | Sat | Sun |
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | ||||
Kategorien
Blog abonnieren
Creative Commons
Blog Administration
Show tagged entries
26c3 cisco Coding darmstadt dhcp dotNet fachschaft Failover Foto Fun Gadgets Games General gremienarbeit Hacking Handy Hardware Internet Java Kino LAN-Party Linux Microsoft netzwerk Office openldap PHP planspiel Redundanz Server staub studierende Studium stupa switch TV twitter Verwaltung Virtual Server Wahlen Windows Work ältestenrat