На днях знакомый попросил посмотреть, что за странные письма сыпятся на его почтовый ящик.
Открываем его почту, вижу письмо:
детали письма скрыты для того, чтобы злоумышленник не стал преследовать знакомого
Ссылка естественно ведет на фейковую страничку аутентификации:
и на этом история бы закончилась, если бы в шапках письма я не нашел хост и скрипт, с которого велась рассылка:
Гугл дал исходники этого скрипта, и имя файла логов — log.txt
В логе оказались IP адреса того, кто отправлял фейки — 78.36.109.183, 209.73.132.218
Немного погуглив по заголовку intitle:«Sender Anonym Email» я нашел ещё «живые» версии скрипта, а по ним и логи:
anonim-servis.hak-club.ru/log.txt (зеркало)
newamn.h18.ru/log.txt
и в них тоже ip 78.36.109.183 ну и 213.87.128.72, вероятнее всего плохой парень ходит напрямую.
Поизучав логи, мне стало понятно, что «взломщик» использует почту alinashevchykova@mail.ru как тестовую, перед отправкой фейков жертвам.
Далее оказалось, что на хосте фейка не закрыт индекс папок:
а файл c содержит пароли попавшихся на фейк пользователей:
список жертв:
Морали нет.
Предупреждать пользователей нет смысла — ведь снова клюнут на очередной «фейк».
Писать хостеру нет смысла — скрипты просто переедут на другие бесплатные хостинги.
Вычислить по айпи? нет даты и времени в логе.
Открываем его почту, вижу письмо:
детали письма скрыты для того, чтобы злоумышленник не стал преследовать знакомого
Ссылка естественно ведет на фейковую страничку аутентификации:
и на этом история бы закончилась, если бы в шапках письма я не нашел хост и скрипт, с которого велась рассылка:
Гугл дал исходники этого скрипта, и имя файла логов — log.txt
В логе оказались IP адреса того, кто отправлял фейки — 78.36.109.183, 209.73.132.218
Немного погуглив по заголовку intitle:«Sender Anonym Email» я нашел ещё «живые» версии скрипта, а по ним и логи:
anonim-servis.hak-club.ru/log.txt (зеркало)
newamn.h18.ru/log.txt
и в них тоже ip 78.36.109.183 ну и 213.87.128.72, вероятнее всего плохой парень ходит напрямую.
Поизучав логи, мне стало понятно, что «взломщик» использует почту alinashevchykova@mail.ru как тестовую, перед отправкой фейков жертвам.
Далее оказалось, что на хосте фейка не закрыт индекс папок:
а файл c содержит пароли попавшихся на фейк пользователей:
список жертв:
forceoil@mail.ru
omnispb@mail.ru
petrolgroup@mail.ru
agenttr@mail.ru
irik14@mail.ru
an600po@mail.ru
tihonovilya@bk.ru
dizel-toplivo@mail.ru
Морали нет.
Предупреждать пользователей нет смысла — ведь снова клюнут на очередной «фейк».
Писать хостеру нет смысла — скрипты просто переедут на другие бесплатные хостинги.
Вычислить по айпи? нет даты и времени в логе.