Unser Thema phishing - in Bezug auf die Politikarena.

  • Die eine Sache ist das Provozieren einer htaccess Eingabemaske in einem Strang. Was kann ich damit erreichen.
    1. Den Forenbetrieb stören, in dem ich jeden Strang mit htaccess Eingabe Aufforderungen zupflastere.
    2. Zugangsdaten abgreifen. Wir wir oben lesen konnten, haben die Benutzer der PA ohne nachzudenken ihre Forum Zugangsdaten in eine unerwartete htaccess Maske eingegeben.


    Das war in irgendeinem Vorstellungsstrang der PA... ich erinnere mich. Welcher Spaßvogel war das eigentlich und warum wurde darauf nicht umgehend reagiert? Diese Eingabeaufforderung blieb mindestens 2 Tage im besagten Strang bestehen.

  • Theoretisch geht das.
    Doch man müsste dann erstens die Datei Index.htm oder besser Index.php in eine HTACCESS Abfrage verwandeln und dann auf den Rechner (Forenserver) in das richtige Verzeichnis (meist HTML) abladen.


    Das ist aber nicht so einfach, wenn man nicht vorher die Zugangsdaten gehackt und sich einen FTP Zugang verschafft hat.


    Na ja, mit Jewrassig hat tabasco ja einen unredlichen Admin in ihren Reihen, der das ohne hacken bewerkstelligen könnte, die
    kriminelle Energie hat er ja schon im alten DF unter Beweis gestellt.

    Vaterlandsliebe fand ich stets zum Kotzen. Ich wusste mit Deutschland noch nie etwas anzufangen und weiß es bis heute nicht.“ - Robert Habeck (Stellvertreter des Bundeskanzlers).

  • Theoretisch geht das.
    Doch man müsste dann erstens die Datei Index.htm oder besser Index.php in eine HTACCESS Abfrage verwandeln und dann auf den Rechner (Forenserver) in das richtige Verzeichnis (meist HTML) abladen.


    Das ist aber nicht so einfach, wenn man nicht vorher die Zugangsdaten gehackt und sich einen FTP Zugang verschafft hat.


    Du hast es immer noch nicht verstanden oder :) Die htaccess Abfrage kommt nicht vom Forum, sondern von dem Bild. Teste es aus. Poste hier eine Antwort mit einem Bild, das als Quelle die PA URL hat. Und mir nix Dir nix, erscheint die Passwortabfrage der PA



    Na ja, mit Jewrassig hat tabasco ja einen unredlichen Admin in ihren Reihen, der das ohne hacken bewerkstelligen könnte, die
    kriminelle Energie hat er ja schon im alten DF unter Beweis gestellt.


    Erzähl mal.

    ______________________________________________________________________________________________________________________________________________________________
    „Krieg ist ein Zustand, bei dem Menschen aufeinander schießen, die sich nicht kennen, auf Befehl von Menschen, die sich wohl kennen, aber nicht aufeinander schießen.“
    George Bernard Shaw

  • Poste hier eine Antwort mit einem Bild, das als Quelle die PA URL hat. Und mir nix Dir nix, erscheint die Passwortabfrage der PA


    Wie soll das gehen?


    Erzähl mal.


    Na ja, er war Admin im DF und hatte seine Vertrauensstellung missbraucht.

    Vaterlandsliebe fand ich stets zum Kotzen. Ich wusste mit Deutschland noch nie etwas anzufangen und weiß es bis heute nicht.“ - Robert Habeck (Stellvertreter des Bundeskanzlers).


  • Hättest mal vorher das Stichwort "Phishing" erwähnt, hättest du weniger Verwirrung erzeugt.
    Diese Methode ist aber auch nicht "jedermanns" Ding, da der Herr Jedermann dafür einen eigenen Webserver braucht, den er dergestalt konfigurieren kann, dass er den User-Input der HTTP-Authentifizierung mitloggt.

  • HEHE

    ______________________________________________________________________________________________________________________________________________________________
    „Krieg ist ein Zustand, bei dem Menschen aufeinander schießen, die sich nicht kennen, auf Befehl von Menschen, die sich wohl kennen, aber nicht aufeinander schießen.“
    George Bernard Shaw

  • Es ist aber blind, d.h. ich kann nichts damit anfangen.
    Wenn ich die IP Adressen der Nutzer sehen will brauche ich nur in "wer ist online" gehen.


    Das hier ist nur ein Verweis auf die PA Seite.

    Vaterlandsliebe fand ich stets zum Kotzen. Ich wusste mit Deutschland noch nie etwas anzufangen und weiß es bis heute nicht.“ - Robert Habeck (Stellvertreter des Bundeskanzlers).


  • Hättest mal vorher das Stichwort "Phishing" erwähnt, hättest du weniger Verwirrung erzeugt.
    Diese Methode ist aber auch nicht "jedermanns" Ding, da der Herr Jedermann dafür einen eigenen Webserver braucht, den er dergestalt konfigurieren kann, dass er den User-Input der HTTP-Authentifizierung mitloggt.


    1. Kann man solche Webserver auf seinem Rechner installieren und per Gratisdienste im Web verfügbar machen
    2. Stehen diese Angaben im Klartext ohne spezielle Konfiguration zu Verfügung. Man muss sie allerdings abfragen. Insofern hast Du recht.

    ______________________________________________________________________________________________________________________________________________________________
    „Krieg ist ein Zustand, bei dem Menschen aufeinander schießen, die sich nicht kennen, auf Befehl von Menschen, die sich wohl kennen, aber nicht aufeinander schießen.“
    George Bernard Shaw

  • Es ist aber blind, d.h. ich kann nichts damit anfangen.
    Wenn ich die IP Adressen der Nutzer sehen will brauche ich nur in "wer ist online" gehen.


    Das hier ist nur ein Verweis auf die PA Seite.


    Völlig richtig. Und jetzt tausche einfach die PA URL mit der URL Deines Webserver aus.

    ______________________________________________________________________________________________________________________________________________________________
    „Krieg ist ein Zustand, bei dem Menschen aufeinander schießen, die sich nicht kennen, auf Befehl von Menschen, die sich wohl kennen, aber nicht aufeinander schießen.“
    George Bernard Shaw

  • So ...


    [ img ]http://politikarena.net[/img]


    Übrigens, mit Chrome passiert da gar nichts.
    Mit firefox kommt die PA Startseite mit der Eingabeaufforderung.


    Könnte aber schon sein, dass jemand die PA gekapert hat.


    Komisch, dass tabasco nichts dazu schreibt. ?(

    Vaterlandsliebe fand ich stets zum Kotzen. Ich wusste mit Deutschland noch nie etwas anzufangen und weiß es bis heute nicht.“ - Robert Habeck (Stellvertreter des Bundeskanzlers).

  • Es ist aber blind, d.h. ich kann nichts damit anfangen.
    Wenn ich die IP Adressen der Nutzer sehen will brauche ich nur in "wer ist online" gehen.


    Das hier ist nur ein Verweis auf die PA Seite.


    Deswegen brauchst du zum erfolgreichen "Phishing" auch einen eigenen Server, der die Anmeldebox erzeugt und der die Daten abfängt und speichert.


  • Hättest mal vorher das Stichwort "Phishing" erwähnt, hättest du weniger Verwirrung erzeugt.
    Diese Methode ist aber auch nicht "jedermanns" Ding, da der Herr Jedermann dafür einen eigenen Webserver braucht, den er dergestalt konfigurieren kann, dass er den User-Input der HTTP-Authentifizierung mitloggt.


    Wuffi, was haste wieder mit der PA angestellt? 00002005


  • Stimmt, per Dyn-DNS.


    Jetzt haben wir hier ja fast ein vollständiges Tutorial fürs ForenAccount-Phishing gebastelt. :)


    Genau das war der Grund für meine initiale Druckserei.


    Vielleicht sollten wir nun auch schreiben, wie man sich und das Forum davor schützen kann

    ______________________________________________________________________________________________________________________________________________________________
    „Krieg ist ein Zustand, bei dem Menschen aufeinander schießen, die sich nicht kennen, auf Befehl von Menschen, die sich wohl kennen, aber nicht aufeinander schießen.“
    George Bernard Shaw

  • Vielleicht sollten wir nun auch schreiben, wie man sich und das Forum davor schützen kann


    Ja, dass wäre nicht schlecht.


    Trotzdem hätte ich jetzt gerne mal aus berufener Hand erfahren was drüben los ist. ;)

    Vaterlandsliebe fand ich stets zum Kotzen. Ich wusste mit Deutschland noch nie etwas anzufangen und weiß es bis heute nicht.“ - Robert Habeck (Stellvertreter des Bundeskanzlers).

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!