SonyUserforum - Coppermine: Phishing-Trick...

Funster · 24.03.2006, 18:20

...oder was soll das hier sein?

Code:

<title>nsTView v2.0:: nst.void.ru</title>
<center>
<table width=100 bgcolor=#D7FFA8 border=1 bordercolor=black><tr><td>
<font size=1 face=verdana><center>
nsTView v2.0 :: <font color=black>nst.void.ru</font>

</center>
<form method=post>
Password:

<input type=password name=pass size=30 tabindex=1>
</form>
Host: www.xxx.tld

IP: 81.169.138.98

Your ip: 84.131.56.144
</td></tr></table>

(das xxx.tld ist von mir)

Vorgehensweise: ein Neu-User meldet sich an (in diesem und anderen Fällen als "kktlung") und lädt eine Datei namens q.php.rar hoch.

So gut bin ich in php auch nicht, aber das sieht mir nach einen Phishing-Versuch aus. Würde das überhaupt funktionieren?

Auf jeden Fall für alle Kupferminenbesitzer: schaut mal, was sich so in letzter Zeit bei Euch getan hat

Cheers,
F.

Tobi. · 24.03.2006, 18:31

Mit php hat das nichts zu tun.
Wenn diese Datei aufgerufen wird, so wird das html vom Browser interpretiert. Angezeigt wird dann ein Eingabefeld "Password:", wo man wohl sein Passwort eingeben soll. Wenn das übermittelt wird geht es an die Adresse, die du gelöscht hast.

Tobi

PauloG · 24.03.2006, 18:45

Hi Funster!

2 Fragen:

1. Wo hast Du den Codeschnipsel her? Aus einer Datei? Wenn ja, aus welcher? Oder aus der Quelltxtansicht im Browser?
2. Warum stellst Du die Frage nicht im CPM-Forum?

Gruß
Paulo

Funster · 24.03.2006, 19:04

@wishmaster: merci vielmals. Mit der Funktion hatte ich also Recht - die Sprache war nur fast richtig

@PauloG:
1. der Typi hat die Datei q.php.rar hochgeladen, ergo landet sie im Userverzeichnis des neu angemeldeten. Da habe ich sie samt dem Neu-User ungesehen gelöscht. Google mal nach q.php.rar

Von einer der Seiten habe ich die .rar runtergeladen und angeguckt.
2. Jetzt, da ich weiß, was das Ding tut, werde ich mal GauGau und Konsorten informieren. Versteht sich von selbst.

Cheers,
F.

jubilee33 · 24.03.2006, 19:25

Hallo Sven

Vielen Dank für den Tip.

In meinen Einstellungen sind nur JPG Dateitypen erlaubt.
Ist ja eine Fotogalerie und keine Videothek

Ob das ein Schutz vor dem Pishing ist?

gruß Martin

Funster · 26.03.2006, 10:52

Hey Martin!

Jepp, die Fileextensions auf jpg beschränken, Anmelde- und upload-Approval und gut is.

Cheers,
F.

jubilee33 · 26.03.2006, 10:57

Zitat:

Zitat von Funster

Anmelde- und upload-Approval

Ähhh
Was

Funster · 26.03.2006, 11:01

Bestätigung neuer Anmeldungen

und

Bestätigen von uploads durch den Administrator.

Soll ich mal die q.php.rar-Nummer bei Dir abziehen, so als Stresstest?

Cheers,
F.

jubilee33 · 27.03.2006, 18:54

Hallo Sven

Streß mag ich gar nicht.

Also habe ich mal die Aktivierung neuer User durch den Admin aktiviert.
Ist das schön, wenn man Hausrecht hat

gruß Martin

24.03.2006, 18:20	#1
Funster Registriert seit: 01.10.2003 Ort: Sydney, Australien Beiträge: 2.060	Coppermine: Phishing-Trick... ...oder was soll das hier sein? Code: <title>nsTView v2.0:: nst.void.ru</title> <center> <table width=100 bgcolor=#D7FFA8 border=1 bordercolor=black><tr><td> <font size=1 face=verdana><center> nsTView v2.0 :: <font color=black>nst.void.ru</font> </center> <form method=post> Password: <input type=password name=pass size=30 tabindex=1> </form> Host: www.xxx.tld IP: 81.169.138.98 Your ip: 84.131.56.144 </td></tr></table> (das xxx.tld ist von mir) Vorgehensweise: ein Neu-User meldet sich an (in diesem und anderen Fällen als "kktlung") und lädt eine Datei namens q.php.rar hoch. So gut bin ich in php auch nicht, aber das sieht mir nach einen Phishing-Versuch aus. Würde das überhaupt funktionieren? Auf jeden Fall für alle Kupferminenbesitzer: schaut mal, was sich so in letzter Zeit bei Euch getan hat Cheers, F. __________________ Status: Beauty is in the eye of the beerholder Have a look @ f/8 \| Latest Capture \| Feed me!

24.03.2006, 18:45	#3
PauloG Registriert seit: 18.02.2005 Ort: Hamburg Beiträge: 1.974	Hi Funster! 2 Fragen: 1. Wo hast Du den Codeschnipsel her? Aus einer Datei? Wenn ja, aus welcher? Oder aus der Quelltxtansicht im Browser? 2. Warum stellst Du die Frage nicht im CPM-Forum? Gruß Paulo __________________ Frei nach Shakespeare: To RAW or not to RAW, That is (allways) the question!

24.03.2006, 19:04	#4
Funster Themenersteller Registriert seit: 01.10.2003 Ort: Sydney, Australien Beiträge: 2.060	@wishmaster: merci vielmals. Mit der Funktion hatte ich also Recht - die Sprache war nur fast richtig @PauloG: 1. der Typi hat die Datei q.php.rar hochgeladen, ergo landet sie im Userverzeichnis des neu angemeldeten. Da habe ich sie samt dem Neu-User ungesehen gelöscht. Google mal nach q.php.rar Von einer der Seiten habe ich die .rar runtergeladen und angeguckt. 2. Jetzt, da ich weiß, was das Ding tut, werde ich mal GauGau und Konsorten informieren. Versteht sich von selbst. Cheers, F. __________________ Status: Beauty is in the eye of the beerholder Have a look @ f/8 \| Latest Capture \| Feed me!

24.03.2006, 19:25	#5
jubilee33 Registriert seit: 24.12.2003 Beiträge: 1.679	Hallo Sven Vielen Dank für den Tip. In meinen Einstellungen sind nur JPG Dateitypen erlaubt. Ist ja eine Fotogalerie und keine Videothek Ob das ein Schutz vor dem Pishing ist? gruß Martin __________________ die "letzten"

26.03.2006, 10:52	#6
Funster Themenersteller Registriert seit: 01.10.2003 Ort: Sydney, Australien Beiträge: 2.060	Hey Martin! Jepp, die Fileextensions auf jpg beschränken, Anmelde- und upload-Approval und gut is. Cheers, F. __________________ Status: Beauty is in the eye of the beerholder Have a look @ f/8 \| Latest Capture \| Feed me!

24.03.2006, 18:31	#2
Tobi. Registriert seit: 24.08.2005 Beiträge: 5.348	Mit php hat das nichts zu tun. Wenn diese Datei aufgerufen wird, so wird das html vom Browser interpretiert. Angezeigt wird dann ein Eingabefeld "Password:", wo man wohl sein Passwort eingeben soll. Wenn das übermittelt wird geht es an die Adresse, die du gelöscht hast. Tobi

26.03.2006, 11:01	#8
Funster Themenersteller Registriert seit: 01.10.2003 Ort: Sydney, Australien Beiträge: 2.060	Bestätigung neuer Anmeldungen und Bestätigen von uploads durch den Administrator. Soll ich mal die q.php.rar-Nummer bei Dir abziehen, so als Stresstest? Cheers, F. __________________ Status: Beauty is in the eye of the beerholder Have a look @ f/8 \| Latest Capture \| Feed me!

27.03.2006, 18:54	#9
jubilee33 Registriert seit: 24.12.2003 Beiträge: 1.679	Hallo Sven Streß mag ich gar nicht. Also habe ich mal die Aktivierung neuer User durch den Admin aktiviert. Ist das schön, wenn man Hausrecht hat gruß Martin __________________ die "letzten"

Sponsored Links

Sponsored Links