Hirdetés

Domain Stealer Mint sokan már tudják, november 2-án, a MakeUseOf.com domainjét ellopták tőlünk. Körülbelül 36 óra telt el, hogy visszanyerjük a domaint. Amint rámutattunk korábban a hackereknek valahogy sikerült hozzáférni a Gmail-fiókomhoz, és onnan a GoDaddy-fiókunkhoz, felszabadítani a domaint, és áthelyezni egy másik regisztrátorba.

Az egész történetet az ideiglenes blogunkban láthatja makeuseof-temporary.blogspot.com/

Nem akartam semmit közzétenni az eseményről vagy a krakkolóról (személy, aki domaineket lop ki) és arról, hogy miként sikerült leráznia, kivéve, ha magamban teljesen biztos voltam benne. Jó érzésem volt, hogy ez a Gmail biztonsági hibája, de még mielőtt bármit közzétennék, meg akartam erősíteni róla a MakeUseOf-on. Szeretjük a Gmailt, és a rossz nyilvánosság biztosítása nem valami, amit valaha is szeretnénk csinálni.

Akkor miért írna erről most?

Az elmúlt két napban számos olyan esemény történt, amelyek arra késztettek bennem, hogy a Gmailen súlyos biztonsági hibája van, és mindenkinek tudnia kell róla. Különösen azokban az időkben, amikor Steve Rubelhez hasonló egyének mondják neked

instagram viewer
Hogyan állíthatjuk be a GateWay-t az internetre. Most ne tégy engem rosszul, a Gmail Fantasztikus e-mail program. A legvalószínűbb. A probléma az, hogy a biztonság szempontjából nem biztos, hogy megbízható. Mindemellett ez nem feltétlenül jelenti azt, hogy jobb lesz a Yahoo vagy a Live Mail alkalmazásban.

1. esemény: MakeUseOf.com - november 2

Amikor domainünket ellopták, azt gyanítottuk, hogy a hacker valamilyen lyukat használt a Gmailben, de nem voltunk benne biztosak. Miért gyanítottam, hogy ennek valami köze van a Gmailhez? Nos, egyrészt meglehetősen óvatos vagyok a biztonság iránt, és ritkán futok bármi, amiben nem vagyok biztos. Rendszeresen frissítem a rendszert, és minden lényeges elemet megvan, beleértve 2 rosszindulatú monitorot, egy vírusölőt és 2 tűzfalat. Szintén hajlok erős és egyedi jelszavakat használni minden fiókomhoz.

A hackerek hozzáfértek a Gmail-fiókomhoz, és ott beállítottak néhány szűrőt, amelyek végül segítették neki a GoDaddy-fiókhoz való hozzáférést. Amit nem tudtam, az hogy hogyan sikerült ezt megtennie. Biztonsági lyuk volt a Gmailben? Vagy keylogger volt a számítógépemen? Nem voltam biztos benne. Az esemény után számos rosszindulatú program eltávolításával átvizsgáltam a rendszert, és semmit sem találtam. Minden futási folyamaton is átmentem. Mindannyian tisztanak tűntek.

Tehát hajlamosak vagyok azt hinni, hogy a probléma a Gmaillel kapcsolatos.

2. esemény: YuMP3.org - november 19

November 18-án kaptam egy e-mailt Edin Osmanbegovic nevû személytől, aki a webhelyet üzemelteti yump3.org. (Valószínűleg megtalálta az e-mailemet a Google-on keresztül, mivel a MakeUseOf-nal történt eseményt számos népszerű blog fedte fel ebből az e-mail azonosítómat is tartalmaztam.) Az e-mailben Edin azt mondta nekem, hogy domainjét ellopták, és áthelyezték egy másik nyilvántartóba. Gyorsan megnéztem a yoump3-ot, és láttam, hogy egy meglehetősen megalapozott weboldal egy link farm oldalát szolgálja fel (pontosan mint a mi esetünkben).

Google (az utolsó indexen):

BREAK: Új Gmail biztonsági hiba. További domainek lopnak! gmail domain stealing3

YouMP3.org honlap (jelen):

BREAK: Új Gmail biztonsági hiba. További domainek lopnak! yoump3org 2

Itt van a legelső e-mail példány, amelyet Edintől kaptam:

Szia,
Ugyanaz a probléma van a domainommal.
A domain átkerült az Enom-ról a GoDaDDy-re.
Azonnal támogatási jegyet küldök erről a problémáról.

Az új domain tulajdonos Whois a következő:

Név: Amir Emami
1. cím: P.O. 1664. Rovat
Város: League City
Állam: Texas
Irányítószám: 77574
Ország: USA
Telefon: +1.7138937713
Email:Adminisztratív kapcsolattartási információk:
Név: Amir Emami
1. cím: P.O. 1664. Rovat
Város: League City
Állam: Texas
Irányítószám: 77574
Ország: USA
Telefon: +1.7138937713
Email:

Műszaki elérhetőség:
Név: Amir Emami
1. cím: P.O. 1664. Rovat
Város: League City
Állam: Texas
Irányítószám: 77574
Ország: USA
Telefon: +1.7138937713
Email:

E-mail: [email protected]
Tegnap az e-mail címen lévő srác felvette a kapcsolatot Gtalk-on.
Azt mondta, hogy 2000 dollárt akar a domainért.
Kérjen tanácsot, kérem, felvettem a kapcsolatot az Enommal.

Köszönöm.

És hiszem, ugyanaz a fickó, aki a hónap elején ellopta a MakeUseOf.com webhelyet. Ugyanazzal az e-mail címmel is felvettük a kapcsolatot velünk: [email protected]. Edin ma is e-mailen küldött nekem, és megerősítette, hogy a srác szintén hozzáférést kapott domain-fiókjához a Gmail-fiókján keresztül. Tehát ez ismét a Gmail.

A legutóbbi (ma megérkezett) e-mailben Edin röviden összefoglalta az eseményeket


Nekem van története, hogy mindent megtett.

November 10-én voltam a tulajdonos.
November 13-án Mark Morphew.
November 18-án Amir Emami.

Mindkét személynél a [email protected] címet használta.

Tegnap minden harmadikat elküldtem Monikernek.
Meg fogják vizsgálni.

3. eset: Cucirca.com - november 20

Ez az utolsó e-mail volt a bejegyzés fő oka. Florin Cucirkától, a cucirca.com tulajdonosától származott. A webhely alexa rangja 7681, és Florin szerint naponta több mint 100 000 látogatást ér el.

Első e-mail Florin-tól:

Üdvözlet Aibek

Ugyanebben a helyzetben vagyok, a makeuseof.com kiszállt.

Cucirca Florin vagyok, és a www.cucirca.com domain volt
átutalásom a godaddy számlámról engedély nélkül.

Úgy tűnik, hogy a tolvaj ismerte a gmail jelszavam, ami furcsa.
Sikerült néhány szűrőt létrehozni a számlámhoz.

Csatoltam 2 képernyőképeket.

Tudsz segíteni nekem? Adjon nekem néhány részletet arról, hogyan juthattam el
ki ebből a rossz álomból? Csak ma találtam erről és én
ne gondolja, hogy nem tudok aludni ma este.

Előre is köszönöm.

Florin Cucirca.

E-mailen küldtem Florinnak, és néhány részletet kértem tőle a domainjével kapcsolatban, hogy felvette-e a kapcsolatot a GoDaddy-vel, és bármilyen információt, amelyet eddig a domain cracker (domain domain stealer kifejezéssel használt) srácról kapott.

Második e-mail Florin-tól:

A hacker hozzáférést kapott az e-mail fiókomhoz (gmail). A domaint godaddy tárolta.
A gmail notifier kiterjesztést használtam a Firefoxon. talán ott van a nagy hiba.
A domaint átadta a register.com webhelynek

Nem beszéltem a hackerekkel. Azt akarom, hogy legálisan visszaszerezze, és ha nincs más megoldás, akkor fizethetek neki

A www.cucirca.com Alexa rangja 7681, és naponta több mint 100 000 látogatást tesz.

Csatolok neked 2 képernyőképeket a gmail-fiókomból.

[email protected] és a második képernyőn [email protected]

Ha google keresést végez a [email protected] webhelyről, akkor ezt megtalálja:

http://www.domainmagnate.com/2008/08/11/788-domains-stolen-including-yxlcom/

Szerintem valakinek meg kell állítania őket.

E-mailben küldtem a [email protected] e-mailt, és várom a választ.

Mit gondolsz? Vissza fogom hozni a domainemet?

Úgy tűnik, hogy ismét a Gmail! Íme a részleges képernyőképeket annak, amit küldött nekem:

BREAK: Új Gmail biztonsági hiba. További domainek lopnak! gmail domain lopása
BREAK: Új Gmail biztonsági hiba. További domainek lopnak! gmail domain lopása 2

Florin esetében a hacker több hónappal ezelőtt megváltoztatta a domain tulajdonjogát. A cucirca.com-t áthelyezték a GoDaddy-ről a Register.com-ra. Mivel a hackerek elfogták e-maileit, és soha nem változtattak meg a névszervereket, feltételezem, hogy Florinnak fogalma sem volt arról, hogy valami nincs rendben. Amikor megkérdeztem tőle, miért tartott sokáig, hogy megtudja, a következőt küldte nekem:

2008.09.05-én a domainjét a nevére ruházta át, a névszervereket változatlanul hagyva. Ezért nem vettem észre, hogy tegnap ellopták a doomainomat, amikor egy barátom egy whiszt készített a domainomon.

Nem volt oka ellenőrizni a Whois nyilvántartást, mert a domaint 7 év alatt regisztrálták (2013-11-08-ig)

Nem kapott e-mailt ettől a személytől.

És ismét úgy tűnik, hogy ugyanaz a fickó! Miért gondolom? Ha megnézi azt a linket, amelyet Florin szerepelt az egyik e-mailben (én is hozzáadtam az alábbiakhoz), akkor látni fogja hogy más hasonló esetekben (ki tudja, hány további domaint lopott el ilyen módon) e-mailt cím [email protected] az Aydin Bolourizadeh névvel együtt említik. Ugyanez az e-mail megjelenik a továbbítási szabályban is Florin Gmail-fiókjában (lásd az első képernyőképet).

Amikor a MakeUseOf.com-t elvitték tőlünk, a krakkoló 2000 dollárt kért tőlem. Amikor megkérdeztem tőle, hol és hogyan akar fizetni, azt mondta, hogy küldjek el pénzt a Western Unionon keresztül a következő címre:

Aydin Bolourizadeh
pulyka
Ankara
Cukurca kirkkonaklar mah 3120006954

képernyőképe a http://www.domainmagnate.com/2008/08/11/788-domains-stolen-including-yxlcom/

BREAK: Új Gmail biztonsági hiba. További domainek lopnak! yxl link

Nagyon csinos vagyok, hogy ugyanaz a fickó volt mind a három eseményben, és valószínűleg 788 másik, a fenti hivatkozásban említett esemény, beleértve a yxl.com, a visitchina.net és a visitjapan.net domaineket.

Amikor ezt a címet kerestem a Google-on, azt is felfedeztem, hogy ő rendelkezik a következő domainekkel (valószínűleg ellopta őket is):

    • Elli.com -

http://whois.domaintools.com/elli.com

    • Ttvx.net -

http://www.dnforum.com/post252-post-1399775.html

Feltételezem, hogy a srác valóban Törökországból származik, és valószínűleg valahol a következő területen lakik.

    • Cukurca kirkkonaklar mah 3120006954
    Ankara, Törökország

Azt is tudjuk, hogy e-mailként a [email protected] címet használja. Tehát ha tudjuk, ki áll a domainsgames.org mögött, akkor csak egy lépéssel közelebb kerülhetünk. Valójában néhány nappal ezelőtt e-mailt küldött és arra kért, hogy távolítson el e-mailjeinek összes példányát a webhelyről, és ha nem feleljük meg, akkor DDOS-t küld nekünk.

Íme a pontos szavai:

Szia,
Arra kérem, hogy távolítsa el e-mail címemet ([email protected]) webhelyéről!
Csináld, ha nem akarod, hogy a jövőben bármilyen probléma merülhessen fel, különben először elkezdek a nagy DDOS-ok a webhelyen, és le fogom csinálni ...
Nagyon seriuos vagyok, ezért távolítsuk el az e-mail címemet és a domainsgame.org nevét

Tehát úgy tűnik, ha eljutunk a domainsgame.org mögötti azonosítóhoz, előfordulhat, hogy megszerezzük a srácot, és valószínűleg felfedezzük még sok más domaint, amelyet elrejt. Olvassa tovább az alábbiakban. Most beszéljünk a Gmailről.

A Gmail biztonsági rése

Emlékszik valaki, mi üldözte David Aireyt tavaly? A domainjét is ellopták. A történet az egész interneten megtalálható.

FIGYELMEZTETÉS: A Google GMail biztonsági hibája miatt a vállalkozásom szabotált
- A kollektív erőfeszítés visszaállítja David Airey.com webhelyet

Nekünk és Davidnek sikerült visszanyernie a domaint. De nem vagyok biztos benne, hogy mindenki olyan szerencsés, mint mi. Sajnos a regisztrátorok valójában nem működnek együtt veled ebben a kérdésben, hacsak a történet nem kap némi figyelmet. Tehát nem kétséges, hogy több száz ember van ott, akiknek nincs esélyük arra, hogy megadják domainnevüket, vagy fizetsék a fickót.

Mindenesetre, vissza a Gmailbe.

Első cikkében David Airey egy Gmail biztonsági résre hivatkozott, amelyet (ha nem tévedek) említettek itt néhány hónappal korábban. Összefoglalva:

Az áldozat felkeres egy oldalt, miközben be van jelentkezve a GMailbe. Végrehajtás után az oldal többrészes / űrlapadatok POST-ot hajt végre a GMail interfészek egyikében, és szűrőt fecskendez az áldozat szűrőlistájába. A fenti példában a támadó szűrőt ír, amely egyszerűen megkeresi a mellékletekkel ellátott e-maileket, és továbbítja azokat a választott e-mailhez. Ez a szűrő automatikusan továbbítja az összes, a szabálynak megfelelő e-mailt. Ne feledje, hogy a jövőbeli e-maileket is továbbítják. A támadás mindaddig fennáll, amíg az áldozat rendelkezik a szűrővel a szűrőlistáján, még akkor is, ha a kezdeti sérülékenységet, amely a befecskendezés oka, a Google kijavítja.

eredeti oldal: http://www.gnucitizen.org/blog/google-gmail-e-mail-hijack-technique/

Most érdekes az, hogy a fenti GNU Citizen hivatkozás frissítése kimondja, hogy a sebezhetőséget 2007. szeptember 28. előtt javították meg. De David esetében az incidensre decemberben, 2-3 hónappal később került sor.

Tehát akkoriban valóban rögzítették-e a kizsákmányolást? Vagy új eset volt David esetében? És ami a legfontosabb: van-e hasonló biztonsági hiba a Gmailben MOST?

Mit tegyél most?

(1) Nos, legelső tanácsom az lenne, hogy ellenőrizze az e-mail beállításait, és ellenőrizze, hogy e-mailje nem kerül-e veszélybe. Ellenőrizze a bejutási lehetőségeket és a szűrőket. Ügyeljen arra is, hogy tiltsa le az IMAP-t, ha nem használja. Ez vonatkozik a Google Apps-fiókokra is.

(2) Változtassa meg az érzékeny webes fiókok (paypal, domain regisztrátor stb.) Kapcsolattartási e-mail címét az elsődleges Gmail-fiókjából másra. Ha Ön a webhely tulajdonosa, akkor a host és regisztrátor fiókok kapcsolattartási e-mailjét cserélje más e-mailre. Inkább olyan dolog, amelybe nem jelentkezett be az internetes böngészés során.

(3) Ügyeljen arra, hogy frissítse domainjét magán regisztrációra, hogy elérhetőségi adatai ne jelenjenek meg a WhoIS kereséseknél. Ha GoDaddy-on van, azt javaslom, hogy menjen a Védett regisztrációval.

(4) Ne nyisson meg linkeket e-mailben, ha nem ismeri azt a személyt, ahonnan jönnek. És ha úgy dönt, hogy megnyitja a linket, akkor először jelentkezzen ki.

UPDATE:

A MakeUseOf cikkre adott válaszként néhány jó cikket fedeztem fel a lehetséges biztonsági hibáról:

A Gmail biztonsági hibája a koncepció bizonyítéka
Hozzászólások erről az YCombinatoron
- (november 26'th) A Gmail biztonsága és a legutóbbi adathalászati ​​tevékenység [Hivatalos válasz a Google-tól]

Segíts nekünk elkapni a srácot!

A fenti levelezési címen kívül azt is tudjuk, hogy ő használja [email protected] mint az e-mailje. Tehát ha megtudjuk, hogy ki a tulajdonosa a domainsgames.org-nak, akkor egy lépéssel közelebb kerülhetünk. vagy legalább visszaadja az általa ellopott domaineket a tulajdonosoknak.

A dolog az, hogy a domainsgames.org domain nevet a Moniker védi, és elrejti az összes elérhetőséget.

Domain azonosító: D154519952-LROR
Domain név: DOMAINSGAME.ORG
Létrehozás dátuma: 2008. október 22., 07:35:56 UTC
Utolsó frissítés: 2008. november 8-án 12:11:53 UTC
Lejárat dátuma: 2009. október 22., 07:35:56 UTC
Szponzoráló hivatalvezető: Moniker Online Services Inc. (R145-LROR)
Állapot: ÜGYFÉL-TÖRLÉS Tilos
Állapot: ÜGYFÉL-ÁTADÁS Tilos
Állapot: ÜGYFÉLFOGYASZTÁSI Tilos
Állapot: AZ ÁTADÁS Tilos
Regisztrációs azonosító: MONIKER1571241
.
.
.
.
Névkiszolgáló: NS3.DOMAINSERVICE.COM
Névkiszolgáló: NS2.DOMAINSERVICE.COM
Névkiszolgáló: NS1.DOMAINSERVICE.COM
Névkiszolgáló: NS4.DOMAINSERVICE.COM

Már e-mailen e-mailt küldtem (Edinnek is) nekik, és itt értesítem, amint meghallok tőlük valamit.

Van néhány kérésem a következő társaságok számára is, amelyek most nyújtják szolgáltatásaikat ennek az egyéneknek.

Amikor több e-mailen keresztül fejléc fájlokat kerestek, egyértelmű volt, hogy a hacker a Google Apps alkalmazást használja. Kérjük, vizsgálja meg. A domain domainsgame.org. És kérjük, rögzítse is! a Gmail.

Mindenekelőtt kérjük, segítsen Edinnek és Florinnak a domainjének visszaszerzésében. Az egyik okos dolog az lenne, ha ellenőriznénk a fiók bejelentkezési IP-címét az összes hasonló jelentett esetre. Például, mind Edin, mind a miénk esetében (nem vagyunk biztosak Florinban) a hacker 64.72.122.156 IP-címet használt. (Ez egyébként kompromittált szervernek bizonyult az Alpha Red Inc.-nél.) Vagy még könnyebb, csak zárolja be a domain nevet, és kérje meg a jelenlegi számlatulajdonosot, hogy igazolja személyazonosságát. Mivel a hackerek mindenhol különböző identitásokat használtak, lehetetlen lenne ezt megtenni. Az Ön érdekében áll, hogy ez a személy már nem használja az Ön szolgáltatásait.

Zárja be a fiókját! (ez az a domainsgame.org esetében). Minden további információt vagy segítséget, amelyet megadhat, értékelni fogunk.

Nem vagyok benne biztos, de azt hiszem, hogy a DomainSponsor az a cég, amely pénzt keres azokon a területeken, amelyeket ez a srác lop. Ez történt a MakeUseOf.com webhelyen, és most a YouMP3.org függvényében.

5-ig PayPal. COM: (TÁMOGATÁSA félelmetes)

Biztos vagyok benne, hogy nem is fogják elolvasni ezt, ezért inkább csak elmondom neked. E-mailt küldtem a [email protected] címre és figyelmeztettem őket, hogy az a személy, aki ellopta domainünket és korábban zsarolt minket, [email protected] fiókot használt (más fiókokat is használ). Csak arra kértem őket, hogy vizsgálják meg. Ehelyett olyan e-mailt kapok, amelynek semmi köze sincs ahhoz, amit mondtam. Alapvetően egy e-mail sablon volt, amelynek eredetinek kellett lennie, és azt elküldte az embereknek, akik hamisak voltak. Gyerünk! Minden tranzakcióért 3% -os jutalékot fizetünk, nem tudnak jobb ügyfélszolgálatot biztosítani?

Ennyi van!

Még egyszer nagyon sajnálom, hogy mi történt Florinnal és Edinnel. Nagyon remélem, hogy hamarosan megkapják a domainjukat. Ez mind a megfelelő regisztrátorok kezében van. De ami a legfontosabb: szeretném látni, hogy valami nagy testület (nem az ügyfelek) csinálja el az embert. Biztos vagyok benne, hogy minden ott lévő blogger értékelni fogja ezt, és valószínűleg még a blogjában is ír róla.

Ideje változtatni ;-)

Üdvözlettel
Aibek

kép hitel: köszönhetően gép a „Mr. Cracker” felső képhez

A srác a MakeUseOf.com mögött. Kövesse őt és MakeUseOf-ot a Twitteren @MakeUseOf. További részletekért tekintse meg a MakeUseOf oldalát.