Всем привет! До этого слал аттач, что-то не особо заходят все эти зипы, решил слать линк на ленд оттуда выдавать файл. Итак. Беру левый действующий сайт, создаю там сабдомен, лью туда скрипт от тдс, ботов редиректит в корень, юзеров на другой сайт где лежит мой фиш. Шлю так - "сабдомен.домен.ком" Через несколько переходов страница со скриптом недоступна, фиш красный. Как вылечить? в чем дело? Тдс накручиваю и по гео и по ос и тп.
Runion
You are using an out of date browser. It may not display this or other websites correctly.
You should upgrade or use an alternative browser.
You should upgrade or use an alternative browser.
Шлю линк. Домен краснеет
- Thread starter Focus17
- Start date
Код редиректа убивает домен. Отдавай кодом 200 любую херню, типа: Сайт на обновлении, зайдите позже (на белом фоне черными буквами), станет существенно лучше. Ну и ТДС в качестве клоаки не очень годится, нужно клоаку полноценную ставить. По провайдерам хотя бы анализировать, ну и реферер в идеале (откуда был переход, прямые заходы - рубить).
phishing сказал(а):
The redirect code kills the domain. Give code 200 any garbage, like: The site is being updated, come back later (on a white background in black letters), it will become much better. Well, TDS as a cloaca is not very suitable, you need to put a full-fledged cloaca. By providers, at least analyze, well, the referrer, ideally (where the transition came from, direct calls - cut).
like he mentioned, don't redirect. create session tokens and store them in a db, then redirect customers with the GET token in the URL (eg, domain.com/?sess=TOKEN_HERE), and have it expire the entire token after a few hours and also start banning IPs after a few minutes of their initial visit to prevent snooping. if they didn't fill out the form, they aren't going to later on either.
that way you can control who sees the phishing page and prevent long term visiting to it, while the rest of the visitors see a normal page, such as a 404 page.
phishing сказал(а):
Код редиректа убивает домен. Отдавай кодом 200 любую херню, типа: Сайт на обновлении, зайдите позже (на белом фоне черными буквами), станет существенно лучше. Ну и ТДС в качестве клоаки не очень годится, нужно клоаку полноценную ставить. По провайдерам хотя бы анализировать, ну и реферер в идеале (откуда был переход, прямые заходы - рубить).
шлется некликабельный линк, только копи паст.
какую клоаку юзать?
Focus17 сказал(а):
шлется некликабельный линк, только копи паст.
какую клоаку юзать?
Юзаю adspect , доволен
vei сказал(а):
like he mentioned, don't redirect. create session tokens and store them in a db, then redirect customers with the GET token in the URL (eg, domain.com/?sess=TOKEN_HERE), and have it expire the entire token after a few hours and also start banning IPs after a few minutes of their initial visit to prevent snooping. if they didn't fill out the form, they aren't going to later on either.
that way you can control who sees the phishing page and prevent long term visiting to it, while the rest of the visitors see a normal page, such as a 404 page.
то есть если вместо редиректа ботов в корень редиректить на 404? это поможет от банов?
Focus17 сказал(а):
that is, if instead of redirecting bots to the root, redirect to 404? will it help with bans?
don't redirect out of site, use timed sessions like mentioned in my last post and encode/obfuscate the html/js. that'll prevent bans.
А как ты защитил свой фиш на поддомене? Как только ты запускаешь сервер, а на нем еще и сайт, а еще и сертификат, куча ботов в первые же минуты набегают и сканируют его. Не исключено, что именно так и палится твой фиш.
Как уже сказал vei , следует использовать токен или, как это делается в Evilginx2, уникальный параметр в url или уникальный url.
Например: phish.domen.com/ufjrheg или phish.domen.com/?id=ehuheuehuhu
Всем, кто заходит по другим ссылкам, показывать другую страницу на этом же домене (поддомене) и автоматом добавлять в черный список . Таким образом для ботов и IP из черного списка в следующий раз сайт будет недоступен.
Посмотри логи сервера кто и с каких IP заходил, какие страницы посещал, какие юзерагенты. Думаю что после анализа логов станет понятна причина.
Как уже сказал vei , следует использовать токен или, как это делается в Evilginx2, уникальный параметр в url или уникальный url.
Например: phish.domen.com/ufjrheg или phish.domen.com/?id=ehuheuehuhu
Всем, кто заходит по другим ссылкам, показывать другую страницу на этом же домене (поддомене) и автоматом добавлять в черный список . Таким образом для ботов и IP из черного списка в следующий раз сайт будет недоступен.
Посмотри логи сервера кто и с каких IP заходил, какие страницы посещал, какие юзерагенты. Думаю что после анализа логов станет понятна причина.
Пожалуйста, обратите внимание, что пользователь заблокирован
1) добавить горящий домен в google webmaster console
- если консоль покажет, что горит корень домена с файлом - проблема в фише
- если консоль покажет, что горит ссылка на скачивание файла - нужно сделать ее разовой, например добавить хеш айпи параметром, и проверять совпадение при отдаче файла. Т.к. сейфбраузинг бегает по ссылкам, с которых хром что-то скачивал, перекачивает файлы и отправляет аверам. Задача - показать ему фигу при попытке зайти на ссылку с другого айпи
1) добавить горящий домен в google webmaster console
- если консоль покажет, что горит корень домена с файлом - проблема в фише
- если консоль покажет, что горит ссылка на скачивание файла - нужно сделать ее разовой, например добавить хеш айпи параметром, и проверять совпадение при отдаче файла. Т.к. сейфбраузинг бегает по ссылкам, с которых хром что-то скачивал, перекачивает файлы и отправляет аверам. Задача - показать ему фигу при попытке зайти на ссылку с другого айпи