Caída del foro?

Iniciado por SCU, 9 Septiembre 2014, 21:31 PM

0 Miembros y 4 Visitantes están viendo este tema.

Eleкtro

Cita de: WIитX en 11 Septiembre 2014, 01:34 AM
Buenas en un foro de "Decode" un usuario de Under encontré este post por el cual parece que se conocen todos...
http://revolutions-net.com/foro/showthread.php?tid=37

Viendo el perfil de Ares que deje arriba también es de under demasiadas coincidencias.

En ese post escribe otra de las personas que hackeó la web de Payasako, Remiix: http://revolutions-net.com/foro/member.php?action=profile&uid=1

El cual es administrador de la página http://revolutions-net.com








WIитX

#41
Cita de: Eleкtro en 11 Septiembre 2014, 01:39 AM
En ese post escribe otra de las personas que hackeó la web de Payasako, Remiix: http://revolutions-net.com/foro/member.php?action=profile&uid=1

El cual es administrador de la página http://revolutions-net.com

Exactamente los cuales los conocí buscando a "calco" hace un tiempo y llegue hasta hay deberán de ser amigos de él o algo así..

Y aquí está el perfil de "Decode" en under: http://underc0de.org/foro/index.php?action=profile;u=33482

Alguien me pasa el #IRC por el que me dicen que estais?
"Es más divertido hacerse pirata que unirse a la marina." (Steve Jobs)

Eleкtro

#42
Cita de: WIитX en 11 Septiembre 2014, 01:42 AMdeberán de ser amigos de él o algo así..

Si, es más que obvio

pero por si caben dudas, diré que el tal Remiix solo tiene 3 posts en su web, y en dos de ellos se muestra el chat de haboolibre, ¿coincidencia?, jaja.

¿Recuerdan que salia en el video de youtube que copié yo y el-brujo?, una pestaña con el chat de haboolibre.

Relacionen a los sujetos.




perdonarme si me equivoco, pero en este o en el otro post de la caida dle foro creo que alguien escribió algo sobre que podría haber sido un tal "richi" no se que?, no encuentro el comentario, no se si se habrá borrado o simplemente no lo encuentro, pero esto podría interesarles:

Me da la espina de que el atacante podría hacerse llamar pr0xXx0r, o ricky2000 (ricky > richi) o quizás sean el mismo individuo.

Al parecer el tal pr0xXx0r no le tiene mucho aprecio a Álex (el-brujo) por lo que se especula en este post, del año 2012: http://foro.elhacker.net/buscador-t359317.0.html

El tal pr0xXx0r está relacionado con la web undercode.org, aquí hay un video: https://www.youtube.com/watch?v=wJDi0uRIeL8

Y aquí hay un post de ricky2000: http://leakforums.sx/showthread.php?tid=295

No hacer ni caso sobre lo de richi, confusión tremenda: http://foro.elhacker.net/foro_libre/me_voy_del_foro_fueron_8_grandiosos_anos-t420797.0.html;msg1964090#msg1964090
Gracias <WINTX> xD








Eleкtro

Más nombres distintos de individuos que podrían estar relacionados:

http://emege.com.uy/

4R3S
Tiburon
InDemonHS
Inyetrol
Asparux
Decode

Fuente: https://twitter.com/Infiernako

PD: no la encontré yo.








WIитX

Cita de: Eleкtro en 11 Septiembre 2014, 02:26 AM
Más nombres distintos de individuos que podrían estar relacionados:

http://emege.com.uy/

4R3S
Tiburon
InDemonHS
Inyetrol
Asparux
Decode

Fuente: https://twitter.com/Infiernako


PD: no la encontré yo.

Dame créditos chica mala :C
"Es más divertido hacerse pirata que unirse a la marina." (Steve Jobs)

el-brujo

#45
de momento han parado el ataque....

Esto por momento parecia Equipo de Investigación o Comando Actualidad, un equipo de investigadores al servicio del bien xD

Se está hablando con los responsables del hosting del vps llamado webfusion

En el siguiente vídeo (una copia del video original borrado por su autor)
[youtube=640,360]https://www.youtube.com/watch?v=2Xv9dtnWTUM[/youtube]

WHK dixit:

CitarEn el vídeo se puede ver como se conecta a un escritorio remoto a un servidor con Windows Server cuya ip ha sido parcialmente ofuscada (se ve borrosa)
medio oculta porque se pueden ver algunos rastros de la ip cortada (la parte superior, asi que la recorté, la pasé al gimp (photoshop de ubuntu) y lo agrandé y le escribí algunos posibles números que correspondieran a la silueta de la ip que no se alcanza a ver... casi casi obtuve la ip excepto porque algunos números aparecen con una vuelta en la parte superior... o sea, pueden ser un cero, un ocho o un nueve, as que... hice un script en php para recorrer todas las ips bajo esas posibilidades y luego les hace un ping a cada una y me entrega un resultado al final de cuentas obtuve muchas ips pero solo 3 respondieron al ping... ahora, de esas 3 ips solo dos responden a una conexión de escritorio remoto.

Dos de sus servidores:

Citar217.199.167.38 -> whv217-8-245-38.whv.webfusion.com -> webfusion.com
217.199.167.39 -> whv217-8-245-39.whv.webfusion.com -> webfusion.com

Desde luego hay que ser muy tonto para lanzar un ataque de Denegación de Servicios usando como intermediarios un servidor, sabiendo que último que lo hizo también era menor de edad, y ahora tiene antecedentes penales para el resto de su vida. A parte de pagar una multa e ir a un centro de menores. Y el enfado de sus padres, ni te cuento. Si, él pensaba que era muy listo, que nunca lo cogerian, se conectaba con la wifi de varios vecinos... pero mira al final la Guardia Civil viajó desde Barcelona hasta Tenerife para hacerle una visita a su casa y de ahí al juzgado de menores.

Un menor de edad imputado en un ataque masivo contra el sitio 'ElHacker.net'
http://www.elmundo.es/elmundo/2009/11/26/navegante/1259238023.html

WIитX

Que paguen con los hechos, no se puede ir por la vida tirando webs cuando uno hace una cosa debe de saber lo que acarrea, y más que nada dudo que haya tenido motivos para hacerlo simplemente lo hacen para joder.
"Es más divertido hacerse pirata que unirse a la marina." (Steve Jobs)

sanson

Que pena que haya cambiado el sistema de pagos de la publi ,  si no tendrías para un mesecito grqtos de servers como aquella vez


Saludos
Es más difícil desaprender conocimientos inútiles, que aprender cosa nuevas.

MANUAL BÁSICO DE WIFISLAX Y SUS HERRAMIENTAS DE AUDITORIA WIRELESS

WHK

#48
Aunque intente borrar rastros o cambiarse la ip no sacará nada porque el mismo proveedor del servidor tiene logs propios de conexión fuera del windows que contrató asi que es cuestión de que la policia pida esas ips y compruebe quien es el operador y llegar con una orden judicial al operador para que ellos digan quien fue el cliente que utilizó esa ip ese dia a esa hora y en ese minuto.

Si yo fuera el que hizo el ataque no podría dormir sabiendo que en unos dias voy a tener a la poli en mi casa todo un juicio encima y a mis papas con cara de felicidad.

Al ver el video me dije... chale, la ip esá oculta, pero no tan tan oculta... asi que lo agrandé y le saqué captura de pantalla y lo pasé al gimp:





Asi que tenia algunos números que no coincidian y que podian ser 0, 9 u 8 por la vuelta que trae en la parte de arriba en el número, asi que hice un script que recorriera todas las posibilidades y le hiciera ping uno por uno:

Código (php) [Seleccionar]
<?php

// 217.1**.167.3*
// *=890

function ping($host) {
$package "\x08\x00\x7d\x4b\x00\x00\x00\x00PingHost";
if(!$socket  socket_create(AF_INETSOCK_RAW1))
return 0;

socket_set_option($socketSOL_SOCKETSO_RCVTIMEO, array('sec' => 1'usec' => 0));
if(!socket_connect($socket$hostnull))
return 0;

$ts microtime(true);
socket_send($socket$packagestrLen($package), 0);
if (socket_read($socket255))
$result microtime(true) - $ts;
else
$result 0;

socket_close($socket);
return $result;
}

/* Crea un rango de ips a buscar */
$rango range(ip2long('217.100.1.1'), ip2long('217.199.255.255'));
$posibles = array();
$revisados 0;
foreach(
$rango as $ip){
$ip long2ip($ip);
if(preg_match('/^217\.1(8|9|0)(8|9|0)\.167\.3(8|9|0)$/'$ip$coincidencias)){
$revisados++;
$ping ping($ip);

if($ping !== 0){
$posibles[] = $ip;
echo '+ '.$revisados.': '.$ip.' (ping '.ping($ip).'s)'."\n";

}else{
echo '- '.$revisados.': '.$ip.' (ping '.ping($ip).'s)'."\n";
}
}
}
unset(
$rango);

echo 
"Guardando resultados...\n";
file_put_contents('posibles.txt'implode("\n"$posibles));
echo 
"Mostrando resultados...\n";
print_r($posibles);


Eran miles de ips pero solo unos cuantos correspondian a los numeros faltantes y solo 3 respondieron al ping:



De esas 3 ips solo la ip del servidor de la botnet es la que responde a un escritorio remoto con windows :P

Luego de eso el resto es fácil, le haces un reverse dns a la ip y obtienes el dominio real junto a su proveedor de hosting: http://webfusion.com/

Y listo, esto sumado al video con el minuto exacto del ataque será facil saber quien lo hizo ya que todos los proveedores de hostings tienen logs propios fuera del sistema operativo donde se aloja el servidor virtual o dedicado, ademas de los respaldos que constantemente se hacen a los discos duros en caos de perdida de datos... algunos guardan imagenes de discos hasta por un año, la mayoría durante 6 o 3 meses.

Nota: el foro ya no anda lento, que pasó? banearon todas las ips o detuvo el ataque? :P talves está ocupado haciendo un oyo debajo de su cama antes de que lo vayan a buscar xD

kaiserr

Pero no le expliqueis la sorpresa  :silbar: