• XSS.stack #1 – первый литературный журнал от юзеров форума

Шлю линк. Домен краснеет

Отслеживать
Focus17

Focus17

(L2) cache
Пользователь
Регистрация
10.10.2019
Сообщения
328
Реакции
51
Гарант сделки
2
Депозит
0.11
Всем привет! До этого слал аттач, что-то не особо заходят все эти зипы, решил слать линк на ленд оттуда выдавать файл. Итак. Беру левый действующий сайт, создаю там сабдомен, лью туда скрипт от тдс, ботов редиректит в корень, юзеров на другой сайт где лежит мой фиш. Шлю так - "сабдомен.домен.ком" Через несколько переходов страница со скриптом недоступна, фиш красный. Как вылечить? в чем дело? Тдс накручиваю и по гео и по ос и тп.
 
Код редиректа убивает домен. Отдавай кодом 200 любую херню, типа: Сайт на обновлении, зайдите позже (на белом фоне черными буквами), станет существенно лучше. Ну и ТДС в качестве клоаки не очень годится, нужно клоаку полноценную ставить. По провайдерам хотя бы анализировать, ну и реферер в идеале (откуда был переход, прямые заходы - рубить).
 
phishing сказал(а):
The redirect code kills the domain. Give code 200 any garbage, like: The site is being updated, come back later (on a white background in black letters), it will become much better. Well, TDS as a cloaca is not very suitable, you need to put a full-fledged cloaca. By providers, at least analyze, well, the referrer, ideally (where the transition came from, direct calls - cut).
like he mentioned, don't redirect. create session tokens and store them in a db, then redirect customers with the GET token in the URL (eg, domain.com/?sess=TOKEN_HERE), and have it expire the entire token after a few hours and also start banning IPs after a few minutes of their initial visit to prevent snooping. if they didn't fill out the form, they aren't going to later on either.

that way you can control who sees the phishing page and prevent long term visiting to it, while the rest of the visitors see a normal page, such as a 404 page.
 
phishing сказал(а):
Код редиректа убивает домен. Отдавай кодом 200 любую херню, типа: Сайт на обновлении, зайдите позже (на белом фоне черными буквами), станет существенно лучше. Ну и ТДС в качестве клоаки не очень годится, нужно клоаку полноценную ставить. По провайдерам хотя бы анализировать, ну и реферер в идеале (откуда был переход, прямые заходы - рубить).
шлется некликабельный линк, только копи паст.
какую клоаку юзать?
 
vei сказал(а):
like he mentioned, don't redirect. create session tokens and store them in a db, then redirect customers with the GET token in the URL (eg, domain.com/?sess=TOKEN_HERE), and have it expire the entire token after a few hours and also start banning IPs after a few minutes of their initial visit to prevent snooping. if they didn't fill out the form, they aren't going to later on either.

that way you can control who sees the phishing page and prevent long term visiting to it, while the rest of the visitors see a normal page, such as a 404 page.
то есть если вместо редиректа ботов в корень редиректить на 404? это поможет от банов?
 
А как ты защитил свой фиш на поддомене? Как только ты запускаешь сервер, а на нем еще и сайт, а еще и сертификат, куча ботов в первые же минуты набегают и сканируют его. Не исключено, что именно так и палится твой фиш.
Как уже сказал vei , следует использовать токен или, как это делается в Evilginx2, уникальный параметр в url или уникальный url.
Например: phish.domen.com/ufjrheg или phish.domen.com/?id=ehuheuehuhu
Всем, кто заходит по другим ссылкам, показывать другую страницу на этом же домене (поддомене) и автоматом добавлять в черный список . Таким образом для ботов и IP из черного списка в следующий раз сайт будет недоступен.
Посмотри логи сервера кто и с каких IP заходил, какие страницы посещал, какие юзерагенты. Думаю что после анализа логов станет понятна причина.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
1) добавить горящий домен в google webmaster console
- если консоль покажет, что горит корень домена с файлом - проблема в фише
- если консоль покажет, что горит ссылка на скачивание файла - нужно сделать ее разовой, например добавить хеш айпи параметром, и проверять совпадение при отдаче файла. Т.к. сейфбраузинг бегает по ссылкам, с которых хром что-то скачивал, перекачивает файлы и отправляет аверам. Задача - показать ему фигу при попытке зайти на ссылку с другого айпи
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх