Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2010-12-08 08:52:05

  ich - Użytkownik

ich
Użytkownik
Zarejestrowany: 2008-06-22

włamanie na konto pocztowe [gmail].

Witam,

wczoraj około 13-16 miałem włamanie na konto pocztowe na gmail`a.
Z tego co widzę to włamywacz wysłał tylko jednego maila do ludzi z mojej książki adresowej.
Włam miał miejsce z: Chiny (ny.adsl:115.49.89.115) , Chiny (ny.adsl:115.59.74.131).

Dziwi minie jedna włamywacz zdobył hasło, ponieważ było ono dosyć trudne do zgadnięcia (miało ono formę aaw124JAU), litery i cyfry były przypadkowe nie tworzyły żadnego słowa.
Dodam że dzień wcześniej uruchomiłem na swoim kompie thunderbird v3.6.1 (linux) oraz firefox v3.6.12 (linux) z dodatkami.
Czy ktoś z was miał podobną sytuację? Czy wiecie jak sprawdzić czy na linuxie niema jakiegoś wirusa (jakiś skaner systemu jak w windzie)??

Pozdrawiam.

Offline

 

#2  2010-12-08 14:11:35

  qluk - Pan inż. Cyc

qluk
Pan inż. Cyc
Skąd: Katowice
Zarejestrowany: 2006-05-22

Re: włamanie na konto pocztowe [gmail].

Podaj dodatki i skad je masz.

Logowanie ruchu wychodzacego ale to w trzy dupy miejsca zajmie jesli sie zle zrobi wiec odrazu jakis IDS najlepiej.

Offline

 

#3  2010-12-08 16:58:49

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: włamanie na konto pocztowe [gmail].

Widział taką sytuację w Windowsach, w Linuxie jeszcze nie, o ile ktoś nie posiada dziwnych repozytoriów diabli wiedzą skąd, i nie instaluje każdego skryptu - jaki znajdzie, bez zagłębiania się w jego zawartość.
Radziłbym  do Firefoxa dorzucić dodatek noscript, a poczty nie sprawdzać w firefoxie, lecz w thunderbirdzie ustawionym na imap.

Ponadto bezwzględnie dostęp do poczty szyfrowany.
W sieci lokalnej da się wyłapać hasła przesyłane otwartym tekstem, zwłaszcza, gdy te komputery mają neta konfigurowanego przez dhcp, lub podłączenie przez nieszyfrowane wifi.

I wtedy trojan może być nie w twoim komputerze, tylko - z wbudowanym snifferem, gdzieś w "sąsiedztwie"

To by było na tyle
;-)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#4  2010-12-08 17:52:14

  ich - Użytkownik

ich
Użytkownik
Zarejestrowany: 2008-06-22

Re: włamanie na konto pocztowe [gmail].

repoz.

Kod:

# deb cdrom:[Debian GNU/Linux 5.0.3 _Lenny_ - Official i386 NETINST Binary-1 20090906-12:06]/ lenny main

# deb cdrom:[Debian GNU/Linux 5.0.3 _Lenny_ - Official i386 NETINST Binary-1 20090906-12:06]/ lenny main

deb http://ftp.man.poznan.pl/pub/linux/debian/debian/ lenny main
deb-src http://ftp.man.poznan.pl/pub/linux/debian/debian/ lenny main

deb http://security.debian.org/ lenny/updates main
deb-src http://security.debian.org/ lenny/updates main

deb http://volatile.debian.org/debian-volatile lenny/volatile main
deb-src http://volatile.debian.org/debian-volatile lenny/volatile main


deb http://backports.debian.org/debian-backports lenny-backports main contrib non-free
#deb http://deb.opera.com/opera/ stable non-free
#deb http://dl.google.com/linux/deb/ stable non-free main
#deb http://www.debian-multimedia.org lenny main non-free
#deb-src http://www.debian-multimedia.org lenny main non-free
#deb http://download.skype.com/linux/repos/debian/ stable non-free

Jeśli chodzi o dodatki do firefox nie powiem teraz dokładnie jakie one były.
Ale nie było tam niczego specjalnego: addblock, plus 4 dodatki do tworzenia stron www.
W każdym bądź razie wywaliłem całego firefoxa, thunderbirda i ściągnąłem  nowe czyste wersje.

Pozdr.

Offline

 

#5  2010-12-08 18:01:03

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: włamanie na konto pocztowe [gmail].

To na 95% hasło wyciekło z nieszyfrowanego połączenia.
Zmienić, i włączyć połaczenia przez ssl/starttls - gmail obsługuje oba standardy.
Poza tym wrzuć do firefoxa [url=https://addons.mozilla.org/pl/firefox/addon/722/]noscripta[/url] - to diabelnie skuteczny drobiazg.

Sznurek:
http://noscript.net/

Ostatnio edytowany przez Jacekalex (2010-12-08 18:02:24)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#6  2010-12-08 19:21:40

  mareq - Członek DUG

mareq
Członek DUG
Zarejestrowany: 2010-10-19

Re: włamanie na konto pocztowe [gmail].

.

Ostatnio edytowany przez mareq (2013-11-14 06:00:27)

Offline

 

#7  2010-12-09 01:18:09

  qluk - Pan inż. Cyc

qluk
Pan inż. Cyc
Skąd: Katowice
Zarejestrowany: 2006-05-22

Re: włamanie na konto pocztowe [gmail].

[quote=Jacekalex]To na 95% hasło wyciekło z nieszyfrowanego połączenia.
Zmienić, i włączyć połaczenia przez ssl/starttls - gmail obsługuje oba standardy.
Poza tym wrzuć do firefoxa [url=https://addons.mozilla.org/pl/firefox/addon/722/]noscripta[/url] - to diabelnie skuteczny drobiazg.

Sznurek:
http://noscript.net/[/quote]
Czemu zakładasz że on jest za nat i do tego w jakimś trzepaku? Mało to syfu w dodatkach było (mówiła, gnome-look, itd.).
Po drugie co ma do tego noscript? Swego czasu to właśnie on był zainfekowany.

Offline

 

#8  2010-12-09 01:35:18

  bercik - Moderator Mamut

bercik
Moderator Mamut
Skąd: Warszawa
Zarejestrowany: 2006-09-23
Serwis

Re: włamanie na konto pocztowe [gmail].

[quote=qluk]Czemu zakładasz że on jest za nat i do tego w jakimś trzepaku?[/quote]
a czy aby podsluchac lub przechwycic nieszyfrowane polaczenie ofiara musi byc za natem lub w jakims trzepaku?


"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)

Offline

 

#9  2010-12-09 01:36:06

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: włamanie na konto pocztowe [gmail].

Przechwycenie hasła to jedna z możliwości, i nie zakładam, że za nat, zakładam raczej, że: jeśli laptop (hotspot?), jeśli blaszak, to snifer jest bardzo prawdopodobny.
Sam nie jestem za żadnym natem, ale charakterystyka sieci jest taka, ze gdybym zastosował dość prosty trik z serwerem dhcp lub arpspoofingiem, to w ciągu tygodnia miałbym całkiem sporo haseł, i danych od sąsiadów.
Już pomijając, co się dzieje u mnie na firewallu, i to często ataki i skany z tej samej sieci (maska /24).
Dziwnym trafem zawsze przychodzą z kompów z Windą.

Jakiś syf z gnome-look też jest możliwy, ale bardziej w Ubuntu aniżeli Debianie.
Jak ktoś bierze Debiana, to nie dlatego, ze to łatwy system dla każdego, gdzie każdy  syf z netu można  instalować.

Poza tym wcześniej napisałem po polsku:

Kod:

o ile ktoś nie posiada dziwnych repozytoriów diabli wiedzą skąd, i nie instaluje każdego skryptu - jaki znajdzie, bez zagłębiania się w jego zawartość.

A noscript bardzo skutecznie zabezpiecza firefoxa przed różnymi niespodziankami, których w internecie nie brakuje.
Poza tym dobry firewall też nie zaszkodzi, wręcz przeciwnie.

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2010-12-09 01:45:01)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#10  2010-12-09 14:49:56

  qluk - Pan inż. Cyc

qluk
Pan inż. Cyc
Skąd: Katowice
Zarejestrowany: 2006-05-22

Re: włamanie na konto pocztowe [gmail].

[quote=bercik][quote=qluk]Czemu zakładasz że on jest za nat i do tego w jakimś trzepaku?[/quote]
a czy aby podsluchac lub przechwycic nieszyfrowane polaczenie ofiara musi byc za natem lub w jakims trzepaku?[/quote]
Sprawdzales siec z jakiej pisze autor? Zrob nasluch w takiej sieci bez fizycznego dostepu do centrali isp'a.

Offline

 

#11  2010-12-09 15:06:20

  ich - Użytkownik

ich
Użytkownik
Zarejestrowany: 2008-06-22

Re: włamanie na konto pocztowe [gmail].

Podejrzewam że było to spowodowane jakimś dodatkiem z FF. Problem powstał w sieci domowej wlan szyfrowany, a połączenie z pocztą po ssl.

Zaraz sprawdzę noscript co to jest i co potrafi.

Dzięki za pomoc.

Offline

 

#12  2010-12-09 21:08:25

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/urandom
Zarejestrowany: 2008-01-07

Re: włamanie na konto pocztowe [gmail].

A którą wersję FF miałeś w momencie tego włamania?
Czy nie przypadkiem 3.6.9? Bo miał dziury jak ser szwajcarski.
A i aktualna wersja [url=https://bugzilla.mozilla.org/show_bug.cgi?id=CVE-2010-3765]3.6.12[/url] też bezbłędna nie jest.
Do dziurawego FF wystarczy odpowiednio spreparowana strona www z exploitem.

Ostatnio edytowany przez Jacekalex (2010-12-09 21:15:58)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)

[ Generated in 0.009 seconds, 11 queries executed ]

Informacje debugowania

Time (s) Query
0.00013 SET CHARSET latin2
0.00005 SET NAMES latin2
0.00102 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.145.97.235' WHERE u.id=1
0.00071 UPDATE punbb_online SET logged=1732637629 WHERE ident='3.145.97.235'
0.00068 SELECT * FROM punbb_online WHERE logged<1732637329
0.00061 SELECT topic_id FROM punbb_posts WHERE id=160339
0.00141 SELECT id FROM punbb_posts WHERE topic_id=17884 ORDER BY posted
0.00059 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=17884 AND t.moved_to IS NULL
0.00005 SELECT search_for, replace_with FROM punbb_censoring
0.00105 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=17884 ORDER BY p.id LIMIT 0,25
0.00075 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=17884
Total query time: 0.00705 s