Przestepstwo?

[Amarel]

Hej. Dostalem dzisiaj takiego maila:

Witam
Znalazlem Błedy na państwa stronie <link> dzieki ktorym mozna:

-Dostac sie do FTP (plikow)
-Dostac sie do phpmyadmin(Baz danych)
-Dostac sie do Panelu admina

W celu pomocy w zabezpieczeniu tych luk prosimy o skontaktowanie sie ze mna [email protected]
Dziekuje z Poważaniem unnamed

UDOWONIE BŁAD!!!

Odpisalem mu, ze chce wiedziec co i jak to napisal:

Prosze Podac link do Strony

Podalem mu link bedac zdziwionym, ze napisal do mnie sam, a teraz nie wie juz nawet jaki adres, a on mi odpisal:

Bo dzis znalazlem luke na wielu stronach,

U panstwa wystarczy ze dam takie oto zapytanie
<tutaj jest link ze sql injection> i mam hash hasła admina wystarczy dekodowac i mam haslo

Jesli checie panstwo abym zabezpieczyl mozemy sie dogadac co do ceny.
Z powazaniem d3mp0
CZekam na odpowiedz

Wyciagnal hasha z jportala, ale ten system koduje je chyba w md5 wiec chyba trzebaby bylo byc idiota zeby odgadywac te haslo kilka lat metoda brute force, zwlaszcza, ze niektorzy moga miec hasla 20-literowe

Odpisalem:

Troche jest to zalosne co Pan robi
Nie jestem kulejnym glupkiem, ktorego ma Pan nadzieje naciagnac.
Po pierwsze mam inne haslo do wszystkiego, nawet do ftp czy tez mysql.
Zdekodowanie takiego hasla jest niemozliwe. To znaczy szczerze mowiac nie znamy jeszcze przypadku zeby ktos wymyslil dekoder md5, ale to szczegol :P Moze Pan jest swiatowej slawy hakierem. A jesli uda sie nawet Panu odkodowac moje 20-literowe haslo jakims bruteforcem za 20 lat to gratuluje glupoty.

Niestety, nie zdaje Pan sobie sprawe z kim Pan chce w to grac. Dodatkowo zle zabezpieczyl Pan swoja wiadomosc. Wyciagnalem juz pana IP. Chyba nie zglosze tego na policje, chociaz kto wie - tez mozemy dogadac sie w sprawie roznych cen

Pozdrawiam
Konrad, pogromca idiotyzmu spolecznego

P.S.
Jak zechce to sam to naprawie bo jestem skrypterem php. Zdaje sobie sprawe z tych bugow bo mozna je znalezc nawet w google. W krotkim czasie planuje wylaczyc ta strone.

A on mi na to:

Niestety ale na policje nie mozecie isc bo nic nie zrobilem, zapytalem tylko czy pomóc

Wiec ja mu na to:

Ale to jest zerowanie na innych ludziach i wykorzystywanie ich naiwnosci.

Wiec on mi teraz napisal:

Wiec chcesz zglosic na policje tak?

Pomozcie. Co mam z nim zrobic? Czy to jest przestepstwo? Co mu odpisac?
Jego mail to [email protected]

[GSG-9]

a wystarczylo podziekowac porozmawiac i zalatac a nie odrazu afere robic ~~

co do md5 mozna znalesc hash w md5 db

database
passcracking.ru
hashchecker.com
tydal.nu
gdataonline.com
securitystats.com
milw0rm.com
md5.rednoize.com
md5encryption.com
md5.dustinfineout.com
us.md5.crysm.net
md5-db.com
md5hashes.com
sha1search.com
md5.elemneo.pl
md5.xpzone.de
csthis.com/md5
schwett.com/md5
md5.benramsey.com
md5this.com
hackerscity.free.fr
ice.breaker.free.fr
md5search.deerme.org
md5decrypter.com
securitydb.org/cracker
plain-text.info
md5lookup.com
md5.geeks.li
hashreverse.com
md5.overclock.ch
md5crack.it-helpnet.de
astalavista.net
mmkey.com/md5
md5recover.com
und0it.com
emte.w.phc.pl/md5

no chyba ze tam nie bedzie :P

[Amarel]

Po co mi lista stron na ktorych nie koniecznie musi byc 20-literowe haslo? Trafienie na dane haslo to czysty przypadek.
Nie pomogles mi. Chcialem sie dowiedziec jakie kroki mam podjac, aby ten uzytkownik przestal zerowac na innych?

Wejdzie jakies dziecko, nauczy sie podstaw php, wejdzie na byle jaka stronke z bugami, znajdzie cos co znalezli inni i pisze po adminach jportalow, ze znalazlo buga i moze go platnie zalatac chociaz w google instrukcji jest duzo.

[gogulas]

Istotnie, wymyslil sobie gosc sposob na spedzanie wolnego czasu, ogolnodostepna luka w ogolnodostepnym darmowym cmsie, studiowanie google i szukanie frajera ktory sie przestraszy i zaplaci,
Niestety nie jestem do konca pewien czy on robi cos sprzecznego z prawem, nie szantarzuje, nie wlamuje sie, niczego nie wymusza...

Podobna sytuacja byla kiedy Panowie Michaly cos tam wysylali do home.pl ze niby maja luke i za pomoc w jej usunieciu 200k pln. :P

Popos hashow (z jportalu ) passcrackingru odnalazl mi w ok tydzien 15 znakowy (litery cyfry) haslo, wiec przelamywanie skrotow md5 jest jak najbardziej mozliwe i prawdopodobne, okreslam to prawdopodobnienstwo w ciemno na 30% :P

[Amarel]

Dziekuje za pomoc. Nie bede z nim walczyl. Nie ma sensu.

[kosiarz]

a tak w ogóle to d3mp0, to chyba dostał zakaz siadania do kata podłączonego do sieci z tego co sie orientuje, daj sobie z tym spokój poszukaj sam luki uaktualnij soft.