Namierzanie IP po włamaniu na serwer


(Fedrix) #1

Witam serdecznie. Wraz ze znajomymi tworzymy stronę fanowską poświęconej pewnej grze MMORPG. Domena oczywiście nie jest lipna, bowiem końcówka .pl i hosting jest opłacany co miesiąc, ale nie o tym. Otóż w ostatnim czasie jakiś haker-amator włamał się nam na nią. Użyłem określenia ‘amator’, ponieważ dowiedziałem się teraz, że strona była praktycznie niezabezpieczona, poza kilkoma podstawowymi rzeczami. Chciałbym teraz zlokalizować owego szkodnika i uzyskać jak najwięcej informacji, mając jego adres IP. Próbowałem przez wszelkiego rodzaje strony, które odnosiły się do whois/trace, ale poza nazwą dostawcy internetu i przybliżonej lokalizacji miejsca, z którego zalogowano się do sieci, niczego konkretnego się nie dowiedziałem. Kiedyś pamiętam była jakaś wyszukiwarka, w której podając adres IP uzyskiwało się dane ostatnich postów owego użytkownika i stron na jakich zostały opublikowane. Jeśli znacie cokolwiek, co może pogłębić moją wiedzę, będę ogromnie wdzięczny.


(okokok) #2

Obawiam się że jedyna opcja to właśnie baza whois, ale tam znajduje się wpis dotyczący całej podsieci jego dostawcy. W dodatku ten amator może mieć zmienne IP, albo być za NAT-em.

A skoro to taki amarot to przypuszcza że wykorzystał podatność SQLinjection, prawda? To raczej Wasze amatorstwo a nie jego :smiley:

No i co Wam da info na jego temat? Bo jeśli chcecie zgłosić to na Policje, to raczej IP i konkretna data wystarczy. Resztę na wniosek prokuratury będzie można wyciągnąć od dostawcy.


(Fedrix) #3

No ja wiem, że nasze amatorstwo i również podejrzewam zwykłą filtrację poprzez SQL, ale potrzebuję się o nim jak najwięcej dowiedzieć. Chwilowo mam tylko dostawcę internetu i zbliżoną lokalizację, ale to mnie nie rajcuje. Może ktoś zna stronę, dzięki której dowiem się, gdzie jeszcze “się udzielał”, albo jakiś inny sposób. Ogromnie proszę o pomoc.


(okokok) #4

A masz dostęp do jakiś logów. Chyba więcej niż po adresie IP będzie można się dowiedzieć z nagłówków HTTP wysyłanych przez jego przeglądarkę. Daj to IP :smiley:


(Fedrix) #5

{ciach}

Nie mam tam administratora, a kolega, który jest gospodarzem wyjechał przed atakiem na szkolenie i nie ma z nim kontaktu. Każda informacja będzie przydatna.

//proszę nie publikować adresów IP osób trzecich.

roobal


(Rst00) #6

Co dadzą Ci takie dane? Jeżeli chcesz, to zgłoś to na Policję a nie bawisz się w detektywa. Znajdziesz jego posty i co dalej, da Ci to coś? Pewnie i tak nie dowiesz się w jaki sposób został przeprowadzony atak, lepiej byś wziął się za naukę aby nie popełniać błędów mogących doprowadzić do takiej właśnie sytuacji. Lepiej na tym wyjdziesz.


(Fedrix) #7

Tak się składa, że da mi dużo, ponieważ poruszamy się w zamkniętym obszarze i dojdę do tego użytkownika. Pewnie nie da mi nic więcej, prócz satysfakcji, że dałem radę, a nie wymiękłem. Nie chcesz pomóc, nie wbijaj w temat i nie trolluj, proszę.


(okokok) #8

UPC raczej daje zmienne IP-ki, więc nawet jak znajdziesz czyjeś posty na jakimś forum to prawdopodobieństwo tego że należą do hajkiera to 1:65533 - tyle jest hostów w tej podsieci.

Opisz dokładnie co zrobił, na jakim skrypcie jest ta strona. Masz jakieś logi?


(Drobok) #9

Albo zgłaszasz na policję, albo olewasz. Sam nic nie zdziałasz :slight_smile:


(Adam Bialek) #10

{ciach}

To tyle w tym temacie.

//równie dobrze to może być moje IP, patrz na moją lokalizację. Poza tym ten ISP nie przydziela zmiennego IP.

roobal


(Drobok) #11

Tak może zrobić każdy, takie coś nic nie daje. Jak dobrze pójdzie to trafisz w miasto (pomijając fakt zmiennego ip od upc) :slight_smile:


(roobal) #12

Dalsza dyskusja nie ma sensu, wystarczające informacje zostały już napisane. Temat zamykam.