Pokaż wyniki 1 do 9 z 9

Temat: Przestepstwo?

  1. #1
    Zarejestrowany
    Jan 2008
    Postów
    3

    Domyślnie Przestepstwo?

    Hej. Dostalem dzisiaj takiego maila:

    Witam
    Znalazlem Błedy na państwa stronie <link> dzieki ktorym mozna:

    -Dostac sie do FTP (plikow)
    -Dostac sie do phpmyadmin(Baz danych)
    -Dostac sie do Panelu admina

    W celu pomocy w zabezpieczeniu tych luk prosimy o skontaktowanie sie ze mna [email protected]
    Dziekuje z Poważaniem unnamed

    UDOWONIE BŁAD!!!
    Odpisalem mu, ze chce wiedziec co i jak to napisal:

    Prosze Podac link do Strony
    Podalem mu link bedac zdziwionym, ze napisal do mnie sam, a teraz nie wie juz nawet jaki adres, a on mi odpisal:

    Bo dzis znalazlem luke na wielu stronach,

    U panstwa wystarczy ze dam takie oto zapytanie
    <tutaj jest link ze sql injection> i mam hash hasła admina wystarczy dekodowac i mam haslo

    Jesli checie panstwo abym zabezpieczyl mozemy sie dogadac co do ceny.
    Z powazaniem d3mp0
    CZekam na odpowiedz
    Wyciagnal hasha z jportala, ale ten system koduje je chyba w md5 wiec chyba trzebaby bylo byc idiota zeby odgadywac te haslo kilka lat metoda brute force, zwlaszcza, ze niektorzy moga miec hasla 20-literowe

    Odpisalem:

    Troche jest to zalosne co Pan robi
    Nie jestem kulejnym glupkiem, ktorego ma Pan nadzieje naciagnac.
    Po pierwsze mam inne haslo do wszystkiego, nawet do ftp czy tez mysql.
    Zdekodowanie takiego hasla jest niemozliwe. To znaczy szczerze mowiac nie znamy jeszcze przypadku zeby ktos wymyslil dekoder md5, ale to szczegol :P Moze Pan jest swiatowej slawy hakierem. A jesli uda sie nawet Panu odkodowac moje 20-literowe haslo jakims bruteforcem za 20 lat to gratuluje glupoty.

    Niestety, nie zdaje Pan sobie sprawe z kim Pan chce w to grac. Dodatkowo zle zabezpieczyl Pan swoja wiadomosc. Wyciagnalem juz pana IP. Chyba nie zglosze tego na policje, chociaz kto wie - tez mozemy dogadac sie w sprawie roznych cen

    Pozdrawiam
    Konrad, pogromca idiotyzmu spolecznego

    P.S.
    Jak zechce to sam to naprawie bo jestem skrypterem php. Zdaje sobie sprawe z tych bugow bo mozna je znalezc nawet w google. W krotkim czasie planuje wylaczyc ta strone.
    A on mi na to:

    Niestety ale na policje nie mozecie isc bo nic nie zrobilem, zapytalem tylko czy pomóc
    Wiec ja mu na to:

    Ale to jest zerowanie na innych ludziach i wykorzystywanie ich naiwnosci.
    Wiec on mi teraz napisal:

    Wiec chcesz zglosic na policje tak?

    Pomozcie. Co mam z nim zrobic? Czy to jest przestepstwo? Co mu odpisac?
    Jego mail to [email protected]

  2. #2
    Avatar GSG-9
    GSG-9 jest offline Shapeshifter
    Zarejestrowany
    Jul 2007
    Skąd
    C:\Perl\bin
    Postów
    1,578

    Domyślnie

    a wystarczylo podziekowac porozmawiac i zalatac a nie odrazu afere robic ~~

    co do md5 mozna znalesc hash w md5 db
    database
    passcracking.ru
    hashchecker.com
    tydal.nu
    gdataonline.com
    securitystats.com
    milw0rm.com
    md5.rednoize.com
    md5encryption.com
    md5.dustinfineout.com
    us.md5.crysm.net
    md5-db.com
    md5hashes.com
    sha1search.com
    md5.elemneo.pl
    md5.xpzone.de
    csthis.com/md5
    schwett.com/md5
    md5.benramsey.com
    md5this.com
    hackerscity.free.fr
    ice.breaker.free.fr
    md5search.deerme.org
    md5decrypter.com
    securitydb.org/cracker
    plain-text.info
    md5lookup.com
    md5.geeks.li
    hashreverse.com
    md5.overclock.ch
    md5crack.it-helpnet.de
    astalavista.net
    mmkey.com/md5
    md5recover.com
    und0it.com
    emte.w.phc.pl/md5
    no chyba ze tam nie bedzie :P

  3. #3
    Zarejestrowany
    Jan 2008
    Postów
    3

    Domyślnie

    Po co mi lista stron na ktorych nie koniecznie musi byc 20-literowe haslo? Trafienie na dane haslo to czysty przypadek.
    Nie pomogles mi. Chcialem sie dowiedziec jakie kroki mam podjac, aby ten uzytkownik przestal zerowac na innych?

    Wejdzie jakies dziecko, nauczy sie podstaw php, wejdzie na byle jaka stronke z bugami, znajdzie cos co znalezli inni i pisze po adminach jportalow, ze znalazlo buga i moze go platnie zalatac chociaz w google instrukcji jest duzo.

  4. #4
    Avatar gogulas
    gogulas jest offline killboy powerhead
    Zarejestrowany
    Sep 2007
    Skąd
    Tu
    Postów
    1,236

    Domyślnie

    Istotnie, wymyslil sobie gosc sposob na spedzanie wolnego czasu, ogolnodostepna luka w ogolnodostepnym darmowym cmsie, studiowanie google i szukanie frajera ktory sie przestraszy i zaplaci,
    Niestety nie jestem do konca pewien czy on robi cos sprzecznego z prawem, nie szantarzuje, nie wlamuje sie, niczego nie wymusza...

    Podobna sytuacja byla kiedy Panowie Michaly cos tam wysylali do home.pl ze niby maja luke i za pomoc w jej usunieciu 200k pln. :P

    Popos hashow (z jportalu ) passcrackingru odnalazl mi w ok tydzien 15 znakowy (litery cyfry) haslo, wiec przelamywanie skrotow md5 jest jak najbardziej mozliwe i prawdopodobne, okreslam to prawdopodobnienstwo w ciemno na 30% :P
    http://gogulas.yoyo.pl/h.gif

  5. #5
    Zarejestrowany
    Jan 2008
    Postów
    3

    Domyślnie

    Dziekuje za pomoc. Nie bede z nim walczyl. Nie ma sensu.

  6. #6
    Zarejestrowany
    Dec 2006
    Postów
    726

    Domyślnie

    a tak w ogóle to d3mp0, to chyba dostał zakaz siadania do kata podłączonego do sieci z tego co sie orientuje, daj sobie z tym spokój poszukaj sam luki uaktualnij soft.
    "dobrzy hakerzy są sławni na cały świat, ale o hakerach geniuszach nikt nic nie wie."

  7. #7
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    W sumie nic zlego nie zrobil, probowal co najwyzej wysepic kase (napisal ze udowodni swoja teorie wiec to zabrzmialo jak grozba) ale nic wiecej. Ja bym zignorowal i odeslal na przyslowiowe drzewo.

    Pamietajmy, ze w takich sytuacjach nalezy zachowac dalece idacy dystans i rozsadek udzielajac jakichkolwiek odpowiedzi. W koncu nie wazne jak wielka moze byc moja wiedza i doswiadczenie - zawsze mozna trafic na lepszego... a nie doceniac przeciwnika to najwiekszy blad (vide Sun Tzu).

    Jak do tej pory widzialem tylko raz aby jakikolwiek szantaz on-line zadzialal ale tam szlo o doslownie grube miliony i firma poswiecila jednego klienta by nie stracic wszystkich klientow... w tym wypadku widac delikwent sie nie wysilil
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  8. #8
    Avatar eMCe
    eMCe jest offline Emil Grzegorz Gubała
    Zarejestrowany
    Dec 2006
    Skąd
    Kielce
    Postów
    1,767

    Domyślnie

    hehe ja w takiej sytułacji:
    a) sprawdziłbym czy mam najnowszą wersję...

    b) jeśli nie uaktualnił zmienił Hasło,
    podziękowałbym za poinformowanie o błędzie,
    powiedział że nie potrzebujesz pomocy ponieważ soft jest darmowy,
    i odpowiednie łatki znajdują się na stronie projektu...
    gość się za specjalnie w tym wypadku się widocznie nie wysilił - bo czuję że nie zrobił nic więcej jak znalazł coś w bugtraq i poszukał w google jakie serwisy stoją na tym cms'ie

    c) jeśli nie poprosiłbym w ramach upewnienia się o podanie tego hash'a i porównania ze swoim...
    jesli hash'e sie zgadzają na pewno należało by dać znak twórcą projektu...

    raczej nie zawierałbym transakcji z takim gościem - nawet jesli chcesz pomóc w rozwoju projektu to lepiej przekarz dotację dla opiekunów projektu a oni niech wykupią informację o błędzie....

    ------------
    czego bym nie robił w takiej sytułacji...

    napewno nie odgrażał się policją (tutaj nie ma szantarzu typu - mam twoje hasło cukierek albo psikus...)
    tutaj jest propozycja pomocy....
    jeśli nie chesz z niej skorzystać poprostu grzecznie odmów i podziękuj za poinformowanie o błędzie...

    ------------
    co do łamania prawa to nie wiem czy wyciągnięcie hash'a nie jest już złamaniem prawa...
    wkońcu jest to pozyskanie informacji nie przeznaczonej dla danej osoby poprzez przełamanie zabezpieczeń...

    hehe no niestety tak sie to przedstawia...
    z odnajdywaniem zabezpieczeń niestety tak już jest....
    w znanych cms'ach trudno coś znaleźć..
    w nowych nie ma funduszy na audyty...
    a w cms'y "prywatne" - np. firm webmasterskich strach zaglądać z sieci...

    jeśli ktoś już naprawdę jest w tym dobry zna rużne metody ataków sql inj,xss,csrf, js inj, html inj, itp... to może powysyłać maile do firm z oferta audytu aplikacji... - niestety programisci w takich firmach są przekonani że się nie mylą - i to jest ich największy błąd - ja tam nieraz błędy znajduję sam po sobie czytając kod z 5 raz... (o 4 nad ranem bardzo łatwo jest zapomnieć o walidacji którejś ze zmiennych...)

    bynajmniej takie jest moje zdanie...
    Agencja reklamy kielce (mały kilkudniowy case pozycjonerski )

  9. #9
    Avatar anti
    anti jest offline Tomasz Gałdyś
    Zarejestrowany
    May 2006
    Postów
    18

    Domyślnie Przestępstwo?

    Skoro w sprawie home.pl prokuratura stwierdziła, że nie było szantażu ani próby wyłudzenia, to tutaj chyba tymbardziej.. Nie popadajmy w paranoje.

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52