Не е лесно да си тъп администратор

ReminD

Well-Known Member
Преди около месец, исках да видя дали изобщо zamunda се индексира в гугъл. Намирам някаква страница забита в директория на субдомейн. И вътре забити всички всевъзможни пароли като се започне от gmail, zamunda, abv, paypal, хостинг акаунти, реселър хостинг, че на всичкото отгоре и user/ pass за cpanel на http://mail.navet.government.bg:2083 . Мисля си си и си викам - тоя не може да е чак толкова тъп, просто не е възможно. Та понеже тези пароли са му малко, върха на айсберга е, че е решил да си направи и още една страничка, където е изтипосал всичките сайтове, които поддържа или има достъп до тях. Като това не са всички - на главната страница, тип bookmark от 90-те, още cpanel пароли до olineza.bg и още няколко големи фирми. По едно време си казах - това сигурно е някакъв joke и honey pot за балъци като мен. Пуснах калито и torphantom и обиколих cpanel-ите - навсякъде се логвах успешно...
985125f5f6cea22e784748a62e128ee4.png


Казвам си, ще звънна на Информационно Обслужване, да им кажа да си сменят паролата. Падна едно въртене на телефони, след 5 телефона, накрая ме прехвърлиха към някакъв човек, който ми казва, да пратя мейл нещоси@ government.bg . Описвам аз проблема с публичните пароли и изпращам мейл. Слетобяд ми звъни системен администратор от government и първото което ми казва, е че ме е проверил обстойно и ми споменава някои от публичните профили ( в гитхъб - е не е трудно, един гугъл сърч на мейла и излиза), и че имал съмнения да не лъжа, и да не съм му пращал phishing... Щели да се свържат с онзи възможно най-скоро и щял да махне въпросната страница и колко е бил загазил.
Да, но пък имало нова агенция, която се занимавала с разследване на компютърни инциденти ( https://www.govcert.bg/BG/Pages/default.aspx ) и ме вкарал и мен като и подал сигнала. След 5 минути ми изпраща мейл към въпросната агенция и да и се обадя, за да ме питат дали е така!? Звъня аз на въпросната агенция, онези казват - при нас такъв сигнал няма - сигурно се бавел, но евентуално ще ме потърсят за подробности...

После звъннах и на човека с въпросната страница ( не беше трудно да му се намери телефон, като се има напредвид всичките пароли, които е оставил) и му казах да махне страниците и да смени всички пароли. На другия ден беше спрял сайта и беше сменил паролите.

Малко сутрешни ментални гимнастики преди кафето.



 
Последно редактирано:

ReminD

Well-Known Member
Междудругото с толкова много cpanel достъп до сайтове, ми мина през главата да ги обиколя и да и лепна по един .js cryptominer, но реших че ще се изкарат стотинки и по-добре да докладвам и да си махне страниците.
 

хейтър

Well-Known Member
Междудругото с толкова много cpanel достъп до сайтове, ми мина през главата да ги обиколя и да и лепна по един .js cryptominer, но реших че ще се изкарат стотинки и по-добре да докладвам и да си махне страниците.
Това е тъпо, по-добре да беше сложил това - http://jsfart.com/
 

Blinky

Owner
Междудругото с толкова много cpanel достъп до сайтове, ми мина през главата да ги обиколя и да и лепна по един .js cryptominer, но реших че ще се изкарат стотинки и по-добре да докладвам и да си махне страниците.
Ее, бате. Ти си от добрите. А иначе защо ги е шернал така? Или просто пропуск да си я скрие. Ама то това, ако не е нарочно, няма как да е публично. А и не се знае, човека може да има да си връща за нещо. :)
 

Svetliooo

Well-Known Member
Евалата, че не си злоупотребил с информацията.
Но ми се изгуби връзката - как си намерил някаква страница в zamunda с всички пароли и после са те пратили да пишеш на някакъв government email ?

пс: ппц бих се изкушил да им изтегля базите данни ( поне на интересните сайтове, поръчки а у ), но предполагам ще направят проверки след това и риска не е оправдан.
 

ReminD

Well-Known Member
@Blinky Не човек, просто си е направил bookmark, ето - скрил съм sensitive информация, вътре буквално пароли за Банки, спанели, като цяло целият му живот
@Svetliooo тази страница се е индексирала, защото като цъкнеш на линка на замунда от ляво, те праща директно с user/pass логин към замунда... Тоест повечето линкове вътре си ги е правил така: url.com/login.php&user=etc&password=password.. Абе проста работа...

be3228ba1515670044235208de69cf10.png
 
Последно редактирано:

Blinky

Owner
Евалата, че не си злоупотребил с информацията.
Но ми се изгуби връзката - как си намерил някаква страница в zamunda с всички пароли и после са те пратили да пишеш на някакъв government email ?

пс: ппц бих се изкушил да им изтегля базите данни ( поне на интересните сайтове, поръчки а у ), но предполагам ще направят проверки след това и риска не е оправдан.
Еее, такива неща не се правят от вкъщи. :) Може да се проследи кой какво само ако не се знае какво се прави. :) Аз бих направил същото като @ReminD , дори бих им дал съвет.

Защо са те препратили верно към нещоси@ government.bg?

Ето ти идея за милиони, букмарк сайт с пароли и юзъри. :)
 

biaaro

Well-Known Member
Ебаси, аз аз балъка още си ги пазя тея работи на флашка в тестов файл... То виж как се правило... :)
 

ReminD

Well-Known Member
Еее, такива неща не се правят от вкъщи. :) Може да се проследи кой какво само ако не се знае какво се прави. :) Аз бих направил същото като @ReminD , дори бих им дал съвет.

Защо са те препратили верно към нещоси@ government.bg?

Ето ти идея за милиони, букмарк сайт с пароли и юзъри. :)
Защото реших да им звънна и да и кажа да си сменят паролите на navet.government.bg , а пък ме сложиха и мен, защото се логнах за да видя дали паса е верен, или е някакъв honey pot. И по телефона въпросния админ на gov.bg ми каза ип-то и че няма как да не ме спомене,защото съм се логнал и аз в navet. government. bg
 
Последно редактирано:

white_pawn

Well-Known Member
ми звъни системен администратор от government и първото което ми казва, е че ме е проверил обстойно...
Remind = магнит за проблеми :D
Даже в полицията го бяха дърпали преди време за някаква публикация, ама не мога да се сетя точно за какво беше.
 

alex.atanasov

Active Member
Мисля, че нещо го е накарал да го направи, подтикнат от чувство за несправедливост.... :) По принцип админите са мързеливо племе. Но от злоба, биха изринали света. :)
хахаха е ти пък, нормално е да го опише, защото се изисква. В случая, браво @ReminD , че не си злоупотребил. :)
 

rutera

Active Member
Преди около месец, исках да видя дали изобщо zamunda се индексира в гугъл. Намирам някаква страница забита в директория на субдомейн. И вътре забити всички всевъзможни пароли като се започне от gmail, zamunda, abv, paypal, хостинг акаунти, реселър хостинг, че на всичкото отгоре и user/ pass за cpanel на http://mail.navet.government.bg:2083 . Мисля си си и си викам - тоя не може да е чак толкова тъп, просто не е възможно. Та понеже тези пароли са му малко, върха на айсберга е, че е решил да си направи и още една страничка, където е изтипосал всичките сайтове, които поддържа или има достъп до тях. Като това не са всички - на главната страница, тип bookmark от 90-те, още cpanel пароли до olineza.bg и още няколко големи фирми. По едно време си казах - това сигурно е някакъв joke и honey pot за балъци като мен. Пуснах калито и torphantom и обиколих cpanel-ите - навсякъде се логвах успешно...
985125f5f6cea22e784748a62e128ee4.png


Казвам си, ще звънна на Информационно Обслужване, да им кажа да си сменят паролата. Падна едно въртене на телефони, след 5 телефона, накрая ме прехвърлиха към някакъв човек, който ми казва, да пратя мейл нещоси@ government.bg . Описвам аз проблема с публичните пароли и изпращам мейл. Слетобяд ми звъни системен администратор от government и първото което ми казва, е че ме е проверил обстойно и ми споменава някои от публичните профили ( в гитхъб - е не е трудно, един гугъл сърч на мейла и излиза), и че имал съмнения да не лъжа, и да не съм му пращал phishing... Щели да се свържат с онзи възможно най-скоро и щял да махне въпросната страница и колко е бил загазил.
Да, но пък имало нова агенция, която се занимавала с разследване на компютърни инциденти ( https://www.govcert.bg/BG/Pages/default.aspx ) и ме вкарал и мен като и подал сигнала. След 5 минути ми изпраща мейл към въпросната агенция и да и се обадя, за да ме питат дали е така!? Звъня аз на въпросната агенция, онези казват - при нас такъв сигнал няма - сигурно се бавел, но евентуално ще ме потърсят за подробности...

После звъннах и на човека с въпросната страница ( не беше трудно да му се намери телефон, като се има напредвид всичките пароли, които е оставил) и му казах да махне страниците и да смени всички пароли. На другия ден беше спрял сайта и беше сменил паролите.

Малко сутрешни ментални гимнастики преди кафето.
Всичко точно и готино, че си решил да помогнеш ама я питай тези нещасници от ицн как за нещо подобно че некъв техен колега беше си записвал всичко пак в подобен боокмарк и го открих като се логвах в системата им с грешни данни. Та ми разправят как щели ме съдят и разни глупости за това, че съм компрометирал системата им за вход. Смешни палячовци. Та имай си едно на ум.
 

Станимир И

Well-Known Member
Здравей, @ReminD това е ужасно, дано някой злобен човек не се добере до тази информация, горките хора. Представиси твойте данни да летят така в интернет.... Това е много лошо.
 

ReminD

Well-Known Member
Аз ако бях щях да сложа по 1 реклама :Д
Няма как, тогава бачках в една компания за киберсигурност където правехме penetration тестове и имаше кофти клаузи в договора ако извърваш нещо подобно и те хванат. За 10 лева от реклами, да плащам после 100 000лв обещетение
 
Последно редактирано:

Горе