На днях знакомый попросил посмотреть, что за странные письма сыпятся на его почтовый ящик.
Открываем его почту, вижу письмо:
![](https://habrastorage.org/getpro/habr/post_images/99e/875/ae4/99e875ae445bcbe3daca13cb0e800e37.gif)
детали письма скрыты для того, чтобы злоумышленник не стал преследовать знакомого
Ссылка естественно ведет на фейковую страничку аутентификации:
![](https://habrastorage.org/getpro/habr/post_images/488/384/b61/488384b614b54dcbf4798d34bdfb9cf1.gif)
и на этом история бы закончилась, если бы в шапках письма я не нашел хост и скрипт, с которого велась рассылка:
![](https://habrastorage.org/getpro/habr/post_images/caa/a0e/11a/caaa0e11af6bcc206a9017b5d02dc44c.gif)
Гугл дал исходники этого скрипта, и имя файла логов — log.txt
В логе оказались IP адреса того, кто отправлял фейки — 78.36.109.183, 209.73.132.218
Немного погуглив по заголовку intitle:«Sender Anonym Email» я нашел ещё «живые» версии скрипта, а по ним и логи:
anonim-servis.hak-club.ru/log.txt (зеркало)
newamn.h18.ru/log.txt
и в них тоже ip 78.36.109.183 ну и 213.87.128.72, вероятнее всего плохой парень ходит напрямую.
Поизучав логи, мне стало понятно, что «взломщик» использует почту alinashevchykova@mail.ru как тестовую, перед отправкой фейков жертвам.
Далее оказалось, что на хосте фейка не закрыт индекс папок:
![](https://habrastorage.org/getpro/habr/post_images/5c9/5f9/879/5c95f98793d9585f3a82921ceee5cc19.gif)
а файл c содержит пароли попавшихся на фейк пользователей:
![](https://habrastorage.org/getpro/habr/post_images/b91/5eb/e9d/b915ebe9dc1675ee0ec21c667bd1aed2.gif)
список жертв:
Морали нет.
Предупреждать пользователей нет смысла — ведь снова клюнут на очередной «фейк».
Писать хостеру нет смысла — скрипты просто переедут на другие бесплатные хостинги.
Вычислить по айпи? нет даты и времени в логе.
Открываем его почту, вижу письмо:
![](https://habrastorage.org/getpro/habr/post_images/99e/875/ae4/99e875ae445bcbe3daca13cb0e800e37.gif)
детали письма скрыты для того, чтобы злоумышленник не стал преследовать знакомого
Ссылка естественно ведет на фейковую страничку аутентификации:
![](https://habrastorage.org/getpro/habr/post_images/488/384/b61/488384b614b54dcbf4798d34bdfb9cf1.gif)
и на этом история бы закончилась, если бы в шапках письма я не нашел хост и скрипт, с которого велась рассылка:
![](https://habrastorage.org/getpro/habr/post_images/caa/a0e/11a/caaa0e11af6bcc206a9017b5d02dc44c.gif)
Гугл дал исходники этого скрипта, и имя файла логов — log.txt
В логе оказались IP адреса того, кто отправлял фейки — 78.36.109.183, 209.73.132.218
Немного погуглив по заголовку intitle:«Sender Anonym Email» я нашел ещё «живые» версии скрипта, а по ним и логи:
anonim-servis.hak-club.ru/log.txt (зеркало)
newamn.h18.ru/log.txt
и в них тоже ip 78.36.109.183 ну и 213.87.128.72, вероятнее всего плохой парень ходит напрямую.
Поизучав логи, мне стало понятно, что «взломщик» использует почту alinashevchykova@mail.ru как тестовую, перед отправкой фейков жертвам.
Далее оказалось, что на хосте фейка не закрыт индекс папок:
![](https://habrastorage.org/getpro/habr/post_images/5c9/5f9/879/5c95f98793d9585f3a82921ceee5cc19.gif)
а файл c содержит пароли попавшихся на фейк пользователей:
![](https://habrastorage.org/getpro/habr/post_images/b91/5eb/e9d/b915ebe9dc1675ee0ec21c667bd1aed2.gif)
список жертв:
forceoil@mail.ru
omnispb@mail.ru
petrolgroup@mail.ru
agenttr@mail.ru
irik14@mail.ru
an600po@mail.ru
tihonovilya@bk.ru
dizel-toplivo@mail.ru
Морали нет.
Предупреждать пользователей нет смысла — ведь снова клюнут на очередной «фейк».
Писать хостеру нет смысла — скрипты просто переедут на другие бесплатные хостинги.
Вычислить по айпи? нет даты и времени в логе.