LINUX.ORG.RU

[cuntакт][не нужно]Как какому-то чудаку с другой буквы удалось два раза утянуть пароль?


0

2

Моя страница вконтакте была дважды за несколько минут заблокирована в связи с рассылкой спама, хотя не совсем понимаю, как пароль мог попасть к злоумышленнику. На моих компьютерах только Linux. Браузер Firefox 9, дополнения только с mozilla.org, так что вариант с вредоносным ПО у меня на компьютере маловероятен. Порты, на которых висят службы, которые могут выдать эту информацию (ssh, smb) для внешней сети вроде закрыты. те Вероятность подключения к домашней WiFi-сети тоже маловероятно, вроде в логах hostapd все mac-адреса, подключавшиеся за то время, знакомые, используется WPA2. Причём второй раз я даже не сохранил новый пароль для автоматического заполнения.

Где может быть уязвимость? Вообще можно ли, утянув cookie, зайти на чужую страницу вконтакте с другого IP-адреса?

Я им в техподдержку написал, чтобы всё же выяснить, но пока не отвечают.

☆☆☆☆☆

Последнее исправление: Ttt (всего исправлений: 2)

Вообще можно ли, утянув cookie, зайти на чужую страницу вконтакте с другого IP-адреса?

Раньше да ,сейчас незнаю

visual ★★★
()
Ответ на: комментарий от PolarFox

А как туда сторонний скрипт попал? Я вроде даже тогда даже приложения не запускал.

Ttt ☆☆☆☆☆
() автор топика
Ответ на: комментарий от winddos

Нет. А как туда чужой скрипт попадёт? Причём если даже приложения не использовать? Уже были случаи?

Ttt ☆☆☆☆☆
() автор топика
Ответ на: комментарий от Ttt

Ну просто NoScript почти на 100% исключает возможность xss.

Ещё вопрос, почта где? Проверь там логи входов.
И какой был пароль? Нормальный, или?

winddos ★★★
()
Ответ на: комментарий от winddos

Проверь там логи входов.

Всё нормально.

И какой был пароль? Нормальный, или?

Вроде нормальный. По крайней мере за несколько минут вряд ли можно подобрать.

Ttt ☆☆☆☆☆
() автор топика

И да, не стоит исключать возможность тупой подмены сервера на уровне провайдера.
Проверь на какой IP/домен улетает форма авторизации.

Проверь отпечаток SSL ключа.

winddos ★★★
()
Ответ на: комментарий от winddos

Проверь отпечаток SSL ключа.

cuntакт вроде не поддерживает https.

И да, не стоит исключать возможность тупой подмены сервера на уровне провайдера.

Проверь на какой IP/домен улетает форма авторизации.

tim@tim-pc:~$ nslookup vk.com
Server:         192.168.0.1
Address:        192.168.0.1#53

Non-authoritative answer:
Name:   vk.com
Address: 87.240.131.101
Name:   vk.com
Address: 87.240.131.102
Name:   vk.com
Address: 87.240.131.103
Name:   vk.com
Address: 87.240.131.104
Name:   vk.com
Address: 87.240.143.245
Name:   vk.com
Address: 87.240.143.246
Name:   vk.com
Address: 87.240.143.247
Name:   vk.com
Address: 87.240.143.248
Name:   vk.com
Address: 87.240.188.247
Name:   vk.com
Address: 87.240.188.251
Name:   vk.com
Address: 93.186.224.245
Name:   vk.com                                                                                   
Address: 93.186.224.246                                                                          
                                                                                                 
tim@tim-pc:~$ nslookup login.vk.com                                                              
Server:         192.168.0.1
Address:        192.168.0.1#53

Non-authoritative answer:
Name:   login.vk.com
Address: 87.240.131.102
Name:   login.vk.com
Address: 87.240.131.101
Name:   login.vk.com
Address: 93.186.224.246
Name:   login.vk.com
Address: 93.186.224.245
Name:   login.vk.com
Address: 87.240.188.251
Name:   login.vk.com
Address: 87.240.188.247
Name:   login.vk.com
Address: 87.240.143.248
Name:   login.vk.com
Address: 87.240.143.247
Name:   login.vk.com
Address: 87.240.143.246
Name:   login.vk.com
Address: 87.240.143.245
Name:   login.vk.com
Address: 87.240.131.104
Name:   login.vk.com
Address: 87.240.131.103
Ttt ☆☆☆☆☆
() автор топика
Ответ на: комментарий от seed_stil

Да ты шо!

Я хоть вашим втентакликом никогда не пользовался, но как то могу пойти и посмотреть, как там идет авторизация.

2:27:25.529[493ms][total 493ms] Status: 302[Found]
POST https://login.vk.com/?act=login Load Flags[LOAD_DOCUMENT_URI LOAD_INITIAL_DOCUMENT_URI ] Content Size[26] Mime Type[text/html]
Request Headers:
Host[login.vk.com]
User-Agent[Mozilla/5.0 (Ubuntu; X11; Linux i686; rv:9.0.1) Gecko/20100101 Firefox/9.0.1]
Accept[text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8]
Accept-Language[en-us,en;q=0.5]
Accept-Encoding[gzip, deflate]
Accept-Charset[ISO-8859-1,utf-8;q=0.7,*;q=0.7]
DNT[1]
Connection[keep-alive]
Referer[http://vk.com/]
Cookie[remixlang=3; remixchk=5; remixflash=11.1.102; remixdt=0]
Post Data:
act[login]
q[1]
al_frame[1]
expire[1]
captcha_sid[]
captcha_key[]
from_host[vk.com]
from_protocol[http]
ip_h[7eec9e8bc111294baa]
email[lor%40linux.ru]
pass[lor%40linux.ru]
Response Headers:
Server[nginx/1.0.11]
Date[Tue, 31 Jan 2012 22:27:25 GMT]
Content-Type[text/html; charset=windows-1251]
Connection[keep-alive]
X-Powered-By[PHP/5.2.6-1+lenny4]
Pragma[no-cache]
Cache-Control[no-store]
P3P[CP=«IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT»]
Location[http://vk.com/login.php?act=slogin&al_frame=1&m=4&email=lor%40lin...
Content-Encoding[gzip]
Vary[Accept-Encoding]
Content-Length[26]

winddos ★★★
()
Ответ на: комментарий от anonymous_sapiens

ну зашел ты вк с компа друга...

Нет больше у меня никаких друзей!©

Но я действительно не заходил. Тем более после первого раза. Если я непонятно объяснил, то дело было так:

Зашёл сегодня вечером: написано, что страница заблокирована из-за спама, и нужно восстановить пароль. Восстановил. Спам действительно имел место быть. Сразу же вышел. Новый пароль в менеджере паролей браузера не сохранил. Через несколько минут опять захожу. Написано, что опять заблокировано, но на этот раз восстановление возможно только через сутки, т.к. это уже второй раз подряд.

Ttt ☆☆☆☆☆
() автор топика
Ответ на: комментарий от Ttt

а в игры ты вконтактовские не гамаешься случаем? может флешом увели куки?

AGUtilities ★★★
()
Ответ на: комментарий от Ttt

Для начала глянь ip'шки тех кто спамил. Таки да надеюсь пароль не что-то из даты рождения ибо такое ломает даже не человек.

anonymous_sama ★★★★★
()

У меня один раз был случай «взлома». При восстановлении пришлось указать мобильный номер, который я ранее не указывал. Подозреваю, что это разводка на засвечивание номера, мотивы подобной разводки для меня неочевидны, но подозрение осталось. Не ваш случай?

pianolender ★★★
()

Перешел поди по ссылке с другого сайта, который поимел тебя по XSS или через флеш. Поставь noscript.

madgnu ★★★★★
()

Втентаклик через https ходишь? Если не - обычный сниффинг, и все. Сам проверял из любопытства - пароль там отправляется тупо плэйнтекстом.

segfault ★★★★★
()
Ответ на: комментарий от anonymous_sapiens

После первого похищения пароля и, соответственно, его смены — точно никогда-никогда.

Ttt ☆☆☆☆☆
() автор топика
Ответ на: комментарий от Ttt

хммм, просто если то, что пишет segfault выше - правда (я проверю), то все равно очень мала вероятность что кому то понадобилось вручную тырить твой пароль ради спама.

anonymous_sapiens ★★★★★
()
Ответ на: комментарий от anonymous_sapiens

Значит, с того времени кое-что изменилось... Но опять же, передается один и тот же хеш, или с разной солью? Несли первое, то смысла в том хеше нет.

segfault ★★★★★
()
Ответ на: комментарий от anonymous_sapiens

очень мала вероятность что кому то понадобилось вручную тырить твой пароль ради спама.

А почему именно вручную? Это очень легко автоматизируется. Но при наличии сломанного шлюза. А вообще, если в профиле не указан номер телефона - то скорее всего это вымогательство со стороны контакта.

segfault ★★★★★
()
Ответ на: комментарий от Ttt

А в контакте есть способы восстановления пароля, которые были изменены злоумышленником? Скажем украли пароль, поменяли настройки вопроса «номер вашего паспорта». Вы пароль поменяли, а вопрос по восстановлению остался тем же. Просто не знаю, если там вопрос такого рода. А первый раз, думаю украли через куки. Зашли куда, там куки отгрузились, браузер у вас настроен на множественный вход, вот и все.

anonymous
()
Ответ на: комментарий от snoopcat

был пароль вида «слово_цифры», сейчас тупо рандомный набор букв и цифр

snoopcat ★★★★★
()
Ответ на: комментарий от Eddy_Em

Пароль стибрил «контактер №1» (как его там?)

Я раз завел виртуала и ввел его логин/пароль на таком сайте. Потом забыл про него, вспомнил где-то через полгода. Зашел, вижу: висит фото (не мое), есть друзья (я никого не добавлял, была пустая страница), и, самое главное, я админ (или как там его) 2 групп, в одной ~10 000 чел, в второй - 2000.

ymuv ★★★★
()

Мне кажется самое просто объяснение такое. Вы подцепили некий скрипт, который выслал ваши куки. Заменили пароль, вошли, и этот же скрипт вновь выслал куки. Не думаю (хотя не проверял и специалистом в этой области не являюсь) что это проблема, войти на вконтактик имея кукисы. Надо вобщем-то проверить.

kristall ★★
()

Разблокировали страницу, и в истории сообщений нового исходящего спама нет. То есть, скорее всего, второй раз заблокировали по желанию левой пятки.

Ttt ☆☆☆☆☆
() автор топика
Ответ на: комментарий от kristall

Прямым перебором подобрали пароль.
У вконтакта много серваков, и по сути куча точек входа с одним и тем же паролем.
Очень просто брутить...

Но сколько нибудь нормальный пароль сбрутить не реально, нигде.
Я везде где это возможно юзаю просто длинные :)

winddos ★★★
()

cuntакт

Интересно, если сервис так не нравится то зачем им пользоваться?

А если так нравится что используешь, то зачем на него так обижаться?

sin_a ★★★★★
()
Ответ на: комментарий от winddos

Не знаю ни одного, но на твои слова ответом второй пункт.

sin_a ★★★★★
()

есть подозрение на киберсквоттинг. Зашел на vlontakte.ru например, там стояла ловилка паролей с дальнейшим перенаправлением на нормальный сайт.

Еще не факт, что у тебя на линуксе не стоит rootkit какой-нить. Я недавно проверял свое ядро сплоитом двухгодичной давности и он отработал, так что все может быть...

insider ★★★
()

У тебя флеш в браузере разрешен для всех вподряд?

Вероятность подключения к домашней WiFi-сети тоже маловероятно, вроде в логах hostapd все mac-адреса, подключавшиеся за то время, знакомые, используется WPA2.

ARP Poisoning, роутер взломан, детектор вконтакта глючит.

shahid ★★★★★
()

У меня точно такое же недавно произошло

Но я грешу на TorButton и на очепятку в vkmessenger.com, когда к пидгину подключал учетку.

Также я снес все левые дополнения, тор, и прочее. Через пидгин подключаюсь только к vk.com, хоть оно и на сертификат ругается.

anonymous
()
Ответ на: комментарий от snoopcat

у меня пароль сложный был, не может такого быть, чтобы сбрутили

anonymous
()

И ты случайно в Xabber не вводил свои данные накануне?

anonymous
()
11 марта 2012 г.
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.