это преувеличение. если сервер за одинарным впном, то да, это считай вообще без впна, а всего-лишь двойной впн уже даст защиту от товарища майора, т.к. как только физически отключится первое звено - будет ясно, что пора менять второе.
- Статус
я зарегистрировался на протонмейл, телефон не просили.
На протоне просят указать запасную почту?
Вместо гугл аутентификатора и расширений можно использовать ТОТР в KeePass
- Автор темы
- Добавить закладку
- #25
Что тебе не понятно? Как они нашли сервер? Как они получили доступ?
1. В onion нет IP адресов - по этому никто не знает где находится сервер какого-нибудь форума/сайта и не может туда физически прийти, потому что просто не знает где он находится! Ни спецслужбы, ни простой человек не знает где сервер
2. В клирнете любой домен привязан к какому-то IP адресу (cоответственно мы знаем где находится сервер).
IP адрес - это адрес твоего компьютера или сервера в сети интернет
Если ты спрятал свой IP адрес за прокси - ты подключился к прокси - потом ты подключился еще к одному прокси - потом еще к одному ...
Используй ты хоть 10, 20, 30, 40 ... прокси - эту цепочку можно раскрутить
Как ее раскрутят?
1. Посмотрят к какому серверу привязан домен
2. Физически придут туда, где находится сервер (к хостинг компании или к тебе домой)
3. Посмотрят с какого сервера идут подключения к этому серверу и поедут в другую хостинг компанию или просто отправят запрос
4. Потом посмотрят с какого сервера подключаются к этому серверу
...
И так до самого первого и основного твоего сервера
Доступ они получат, просто показав бумажку)
1. поиск утекших юзернеймов пользователей
2. попытка логина и пароля на форуме
3. вы увидите двухфакторный адрес электронной почты
4. поиск адреса электронной почты на дампах и тд.
2. попытка логина и пароля на форуме
3. вы увидите двухфакторный адрес электронной почты
4. поиск адреса электронной почты на дампах и тд.
нет только капчу пройти
да, но вроде можно пропустить.
наверное это как с gmail - тип подтверждения зависит от твоего IP адреса. в некоторые страны гугл не может отправить смс, и поэтому регистрацию по телефону не просят
Я имел ввиду как этот бэкдор может быть реализован, а ты мне отвечаешь совершенно другое, чихарду какую-то
Возможно я не улавливаю мысль ТС до конца, но у xss домен тоже в клирнете, и что мешает придти по айпи сразу к нему?
- Автор темы
- Добавить закладку
- #31
Для начала расскажи как ты шифруешь почту, полный мануал пришли
Тебе сообщения на почту поступают шифрованными уже или ты их шифруешь после того как они пришли и потом хранишь?)
Собщение от XSS к тебе на почту придет уже зашифрованным?)
И точно так же могут получить доступ к серверу с которого XSS рассылает сообщения в клирнете на ваши почты и получить доступ к этому серверу
Я точно не знаю и не уверен, но предполагаю что так все и работает
Кто знает - подтвердите или опровергните
А если они его не отключат?)
ERROR ERROR ERROR )))
в такие байки вообще не верю) хотят найти, тебя никакой тор не спасет) спасет только хитрость и все.
- Автор темы
- Добавить закладку
- #34
То, что там может и не быть самой базы
Я думаю, что xss в клирнете просто проксирует onion версию сайта
И если они придут на клирнет сервер xss, они не получат доступ к базе - могут только фишить пользователей, которые сидят с клирнет зеркал
Для примера посмотри как работает evilginx и модлишка
Ты можешь сделать зеркало onion сайта без доступа к базе
И если твое клирнет зеркало захватят, там не будет базы пользователей
По такому же принципу работают TOR2WEB сайты
Ты можешь просто через них смотреть ONION версию сайта, но на самих клирнет сайтах нет базы и подключений к базе
Последнее редактирование:
Допустим придёт незашифрованное. Так каким образом сообщение перехватят? Можешь рассказать как этот бэкдор будет реализован, просто простейший алгоритм?
сатоши накамото поди не нашли) а у него ляма 2 монет) и юзал он тор
если сервер настраивали по мануалам с ютуба, то он найдётся примерно за 1 час
- Автор темы
- Добавить закладку
- #38
В этот момент его сохранят
Пришло не зашифрованное сообщение, они его сохранили
Дальше пошло твое шифрование и хранение шифрованного сообщения
Я тебе выше рассказал
Если хочешь подробно - рассказывай как ты его шифруешь, показывай сервер с почтой, плати мне (или возможно даже не мне) деньги и тд.
Я тебе из воздуха должен информацию про твой сервер и почту брать и рассказывать что-ли?
Да, может бытьесли сервер настраивали по мануалам с ютуба, то он найдётся примерно за 1 час
тогда всё очень плохо) проблема нивелируется удлинением цепочки проксей - чем больше в ней звеньев - тем меньше шанс того, что майоры вас найдут.
особенно если хотя бы одно из звеньев "абузоустойчивое"
Сохранят куда? На мой же сервер? Себе на флешку? Или на свой сервер? Я просто реально хочу разобраться.
- Статус