Что такое логи кардинг
Мануал по логам
Что понадобится?
Понадобятся прокси или SSH, тут уже что тебе больше нравится, я привык к работе с носками и все делаю через них. VPN не использую, натягиваю прокси сразу на основу и все.
Также бывают случаи когда необходимо пробить дополнительную информацию о КХ, для этого я пользуюсь тремя разными сервисами (не нашел в одном, найдешь в другом):
Все они отлично вбиваются с любой СС, на которой есть бабки, я вбивал с одной карты все три сервиса и два из них до сих пор активны.
Для проверки настроек анонимности и подстройки системы под КХ я обычно использую вот это:
Изучаем лог
Итак, допустим, что ты достал себе лог. Со стилера Азор он выглядит вот так:
Это лог, полученный со стилера с выключенным грабером, то есть файлы с рабочего стола (или с любого другого места, с учетом настроек граба) отсутствуют. Бывает еще попадаются криптокошельки, это папка «Coins», но в данном логе ее тоже нет. В первую очередь нам интересны куки и пароли. Куки лежат в папке Browsers\Cookies:
В корневой директории лежит файлик PasswordsList.txt в котором перечислены логины и пароли от всех сайтов, которые посещал КХ.
Обычно я всегда ищу в файле с паролями нужные линки и переношу их в начало файла, удаляю повторы, собираю все возможные пароли, компаную поудобнее и только потом работаю по логу. Всегда сразу найди доступы на все почты, которые фигурируют в необходимых тебе сервисах. Мой лог, подготовленный к работе обычно выглядит вот так:
Во втором файлике находится информация об IP жертвы, она понадобится нам для пробива геолокации, вставляй этот айпишник и получай подробную информацию в таком виде:
Теперь попробуем сверить эти данные с теми, что успел украсть стилер, идем в папку Browsers\AutoComplete (там тоже бывает несколько файлов, в зависимости от количества браузеров и профилей настроек) и открывай находящийся там файл.
Я ищу поиском по файлу такие слова как ZIP, Address или City. В моем случае по слову ZIP я нашел близкое значение к пробитому по IP:
Искать прокси я буду по этим данным, думаю что-то да найду. City в автокомплите был указан другой, а штат, естественно, совпал.
В этом файле можно найти много интересного, например ответы на секретный вопрос в каком-либо сервисе или даже CVV от кредитки, только вот разобраться во всем этом довольно тяжело, да и не всегда эти файлы бывают большие, так что это рандом.
Настройка системы
Начнем с прекрасного и ранее никому не известного сервиса прокси 911.re, после того, как многие недалекие люди (ебучие инфоцыганы) распиздели всему даркнету про него, мы получили падение качества материала, но все равно этот сервис лучший на сегодняшний день, да и цена просто смешная.
В отличии от большинства моих ебанутых «коллег», которые знают только ссылку на ресурс, но не умеют им пользоваться, я расскажу тебе подробную настройку этого клиента для работы со сферой. Итак, переходи по ссылке, выбирай тариф, качай приложение, распаковывай, устанавливай проксифаер (есть в папке с программой) и запускай!
Сделай все также как на скриншоте, эти настройки используются для работы со сферой, для других браузеров лучше всего ставить галочку на «Proxifier Standart Edition (More Stable)», впрочем, именно для этого и нужен проксифаер. Сразу предупреждаю, что в таком режиме 911 сама настроит проксифаер и поменяет кастомные настройки, так что при работе, например, с SSH тебе придется все менять руками.
Выбираем прокси для нашего КХ, мы знаем какой у него ZIP (смотри предыдущие скрины), так что подбираем под него, для этого переходи в 911 на вкладку ProxyList и делай так:
Чтобы подключить необходимый прокси необходимо кликнуть правой кнопкой мыши по записи и выбрать следующее:
Любой из свободных портов
После этого, выбранный носок будет отображаться вот здесь:
Оставляй это окно открытым, оно нам понадобится
Переходим к настройкам Сферы, открывай браузер и создавай новую сессию, то есть нажимай на «+» на главном окне.
В итоге мы имеем следующие данные: Windows 10.0 x64 Windows 10 Enterprise и браузер Google Chrome (73.0.3683.103). Берем любой UserAgent с 10-й 64-битной виндой и гуглом, например, вот такой:
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.113 Safari/537.36
У нас другая версия браузера Хром, просто меняем его на нашу и получаем:
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.103 Safari/537.36
Именно эту строчку нам надо добавить и выбрать как наш UserAgent.
Жми на кнопку generate from userAgent, именно после того, как ты сделал все настройки до этого. Получишь что-то похожее на вот это:
Теперь жми на Save!
Осталось подправить пару параметров в дополнительных настройках (точнее проверить все ли там правильно), для этого переходи сюда:
Все совпало с нашими настройками, теперь мы готовы запускать созданную сессию и проверить работоспособность настроек. Но сначала необходимо заменить дефолтную страницу с Whoer.net на Google.com
Теперь проверяй свою анонимность на Whoer.net, там должно быть все на 10/10, иначе надо искать проблему в настройках или дырявом носке и менять его. После того как ты все проверил и убедился на все 100%, что все ОК, почисти куки и загрузи куки с лога:
Чистим куки 
Импорт
Работаем
Если все сделано как надо и куки свежие, то на главной странице google.com справа вверху у тебя будет иконка ЛК аккаунта КХ, если, конечно, у него есть почта и аккаут google.
Ставь фильтры на те сервисы, которыми собираешься воспользоваться. Я обычно ставлю фильтры на совпадение по словам: Amazon, Chase, Wells, Bank, PayPal, Google. Настраивай фильтры таким образом, чтобы письма отмечались прочитанными и удалялись, в таком случае КХ не придет даже уведомление на телефон (если вдруг у него есть доступ к почте со смартфона).
На интересующие тебя запросы старайся также переходить именно из почты, с тех писем, которые присылали КХ, это выглядит более правдоподобно и менее подозрительно. Например, попасть в тот же амазон лучше всего по ссылке из письма о предыдущем ордере, а в БА по письму об очередной выписке или отчете за месяц.
После того как я заканчиваю работу с логом, файл с паролями (PasswordList.txt) выглядит примерно вот так:
В самом верху файла я всегда записываю пробитую информацию о КХ, его адреса, кредитные карты, а также записываю адрес дропа, на которого собираюсь сделать ордер (или уже сделал) или подготавливаю рерут.
Послесловие
Эти люди крадут деньги с вашей банковской карты. Кто такие кардеры
Вы наверняка встречали в интернете кучу объявлений о продаже новых вещей или техники из США, Европы и так далее. Но вряд ли догадывались, что весомая их часть публикуется кардерами.
Рассказываем, что это за тёмный бизнес, и как кардеры работают.
Предупреждение: статья носит исключительно информационный характер. Кража и мошенничество преследуются законом.
Что такое кардинг?
По большому счёту, кардинг – это кража денег с карты на свою карту, счет, аккаунт в платёжной системе, а также покупка товаров с использованием чужой кредитной карты. Чаще всего кардеры используют снятие наличных, покупку брендовой одежды или электроники.
Раньше многие кардеры работали с американским eBay через PayPal, к которому была привязана чужая карта. Теперь eBay в США и PayPal ужесточили правила, но кардеры никуда не делись – перешли на работу с другими странами, к примеру, Германией, Францией, Италией и т.д.
У кардеров есть свои гуру, каналы в Telegram и обучающие курсы, где учат правильно проворачивать чёрные схемы. И это также приносит доход, порой больший, чем непосредственно от кардинга. В общем, индустрия в тренде.
Как работают кардеры?
Прежде всего, им нужен номер карты и данные для аутентификации (пароль от банковского аккаунта, VDV для карт с 3D Secure, CVV2/CVC2 и т.п.). Часто кардеры покупают базу данных и проверяют актуальность информации в ней или же подбирают пароли с помощью брутфорса или других методов.
В даркнете купить данные карты можно за 300-500 рублей. Кроме того, кардеры оплачивают VPN с возможностью выбора сервера (желательно с точностью до штата или хотя бы до страны) и другие средства анонимизации.
Другой вариант – организация фишинговой кампании. Копируется страница банка с формой для входа в аккаунт или создаётся фальшивое приложение, с помощью спама распространяется ссылка на него.
Пользователь, обеспокоенный тем, что его карту могут заблокировать; банк просит подтвердить операцию; поступил перевод неизвестно от кого – идёт на фальшивый сайт или запускает поддельное приложение. Кардер забирает введённые данные и переводит все деньги себе. Или ждёт больших поступлений, чтобы выгрести по максимуму.
Судя по обсуждениям в даркнете, кардер на старте тратит 5-10 тыс. рублей. Это оплата VPN, туннелей ipsocks, взломанных аккаунтов и доступов к компьютерам, услуг «прозвонщиков», которые общаются с продавцами или службой поддержки банка на нужном языке, сканов документов для посредников. А также «набивание шишек» – далеко не с первой карты всё идёт гладко.
Что такое вбив?
Это процесс ввода данных карты в форму на сайте магазина или платёжной системы. Чтобы не рисковать, кардеры используют для вбива взломанные компьютеры рядовых пользователей. Затем их чистят от логов или избавляются от железа.
Другой вариант – работа с эмулятора Android-смартфона или виртуальной машины. После вбива достаточно удалить программное обеспечение, чтобы замести следы.
Как заказывают товары с чужой карты
Американские и европейские магазины часто не отправляют товар покупателю в Россию, Украину, Казахстан и другие страны бывшего СССР, если он был заказан с привязанного к карте PayPal, который принадлежит гражданину США, Канады или европейских стран. В крупных магазинах и платёжных системах есть системы антифрода, которые блокируют подозрительные транзакции.
Но мошенников это не останавливает.
Они заказывают с карты жертвы подарочную карту (e-gift), а затем со взломанной почты жертвы получают код этой подарочной карты. Непосредственно заказ осуществляется со своего аккаунта, но по коду подарочной карты.
Кроме того, кардеры создают «самореги». Покупается взломанный банковский аккаунт, на него регистрируется PayPal, указывается свой номер телефона, адрес и почта. На такой аккаунт часто можно взять кредит, а не только расходовать доступный положительный баланс.
Однако в последнее время этот вариант практически не используют, потому что PayPal в большинстве случаев отклоняет регистрацию и привязку банковского аккаунта.
Ещё один вариант – использовать посредника.
Конечно, теоретически посредник может развернуть посылку обратно, если магазин ему позвонит и укажет, что имеет место кардинг. Но можно нечаянно ошибиться в номере телефона посредника. Это повышает шанс прохода посылки.
Крупные магазины стали бороться с кардерами, но магазины помельче не так активно противостоят мошенникам. Под ударом фактически все магазины, в которых предлагаются подарочные карты или сертификаты. Заказ вещей и техники напрямую с чужого аккаунта с большей вероятностью «завернут».
Кардеры не только заказывают вещи
С карт можно не только заказать физические товары, но и вывести деньги. Есть казино, онлайн-игры и другие варианты виртуальной передачи денег.
Наконец, есть криптовалютные биржи, которые позволяют относительно анонимно купить монеты, затем их продать и вывести деньги на свою карту. Транзакции в криптовалюте невозвратные, так что система не сможет автоматически вернуть деньги держателю карты.
Кассир в супермаркете тоже может быть кардером
Кассиры в супермаркетах и продавцы в магазинах обычно не могут похвастаться высокой зарплатой. Но если они занимаются кардингом, то получают в 5-10 раз больше денег.
Когда вы проводите оплату картой, кассир или продавец может незаметно посмотреть и запомнить данные. Для некоторых сайтов при заказе товаров достаточно номера карты и CVV2, который написан на обороте. Но кардер может пойти дальше и поставить собственный «ридер» для считывания всех данных карты.
Так что если у вас внезапно через несколько часов или дней после посещения магазина с карты вдруг пропадут деньги, на кого вы подумаете? Уж точно не на кассира или продавца…
А что думает полиция?
Обычно полноценное расследование начинается, только если кардер украл значительную сумму средств – более 1000 долларов. Обычно после этого ФРБ направляет запрос полиции. И в запросе содержатся IP-адреса, имена, адреса отправки и другая информация о потенциальном преступнике.
Для этого кардеры используют дропов. Это люди, которые стоят на низшей ступени в цепочке и выполняют самую грязную работу: обналичивают деньги, предоставляют свои данные для получения посылок, отправляют посылки кардерам и т.д.
Кардеры дают дропам минимум информации и практически не контактируют с ними. Так что даже если дропа выследят, у него будет алиби на момент взлома банковского аккаунта или снятия денег с карты. Да и о кардере он ничего не сможет рассказать. В итоге преступление останется нераскрытым.
Почему кардеры избегают наказания
Практика показывает, что если кардер работает через VPN, прокси и другие сервисы, а также соблюдает правила безопасности в интернете, доказать его вину практически нереально. Но ошибаются все…
Однако даже если полиция нагрянет домой к кардеру, сотрудникам ещё придётся доказать факт совершения компьютерного преступления. А если следов нет, то на нет и суда нет.
Ловят чаще всего на переписке в мессенджерах, наличии данных чужих карт и аккаунтов, сборок вредоносного программного обеспечения и т.п. Но если использовать portable-софт, средства анонимизации, самоуничтожающиеся сообщения и криптозащищенные мессенджеры, доказать что-то будет сложно.
Денежные переводы сами по себе достаточным доказательством не являются. Свидетельские показания тоже. Если кардер сможет притвориться дропом или посредником, то быстро переквалифицируется из обвиняемого в свидетеля.
Что теперь делать?
Некоторые думают, что кардинг – это лёгкие деньги и безнаказанность. Но на самом деле магазины и платёжные системы всё сильнее противостоят им. И уголовное наказание никто не отменял.
Думайте, прежде чем переходить по ссылкам. Установите лимиты на оплату в интернете, не забывайте про антивирус на смартфоне Android и Windows-компьютере.
Также можно использовать одну карту для повседневных покупок, а вторую для хранения более крупных сумм денег, и по необходимости переводить деньги со второй на первую. В случае любых подозрений по поводу незаконного списания средств звоните в банк, чтобы заблокировать карту и начать расследование.
Выжимаем максимум с Логов
cardman123
Завсегдатай
cardman123
Завсегдатай
Расскажем о том, что такое логи. Покажем, как необходимую информацию вытащить с лога для настойки конфигураций с нуля.
Начнем очень кратко для новичков о том, что такое логи. Логи – это набор файлов, которые содержат различную информацию с ПК пользователя. Логи включают в себя: данные браузера (Cookie, Историю посещений, Авто заполнения, Список загрузок, Логины/Пароли от различных сайтов), Информацию о системе пользователя, Скриншот экрана пользователя. Могут также содержать: файлы кошельков от криптовалюты, файлы от Steam, сохраненные СС и.т.д.
Логи используют в разных сферах работы: начиная от серой и заканчивая черной, но чаще, как правило, последний вариант. Логи можно купить, либо получить самому. Чаще всего встречаются такие варианты продажи логов:
Отработка логов в Linken Sphere очень удобна тем, что, используя разные вкладки, можно отрабатывать несколько логов одновременно, что также экономит время.
Отработка лога может быть комплексной, либо отработка на один конкретный запрос.
Часто бывает, что новички отрабатывают логи всего лишь на 1 запрос, например на Paypal, а если уж отработать не получается, то расстраиваются и выкидывают лог. Это плохой подход к работе, так как с ним не получишь нормального профита и знаний; если у вас много времени и мало опыта, отрабатывайте лог по полной, набивайте руку.
Советы и фишки при работе с логами
Получение базовой информации с лога о системе
В логе самая базовая информация о системе содержится в файле System.txt, либо Information.log.
На скриншоте я выделил параметры, которые нужны нам для настройки системы.
А также файлы в папке «Cookies» на наличие нужных сайтов (файлы в этой папке поделены на браузеры; возможен вариант, что файлы Cookies могут лежать в общей папки. Все зависит от того, с какого стиллера лог).
Пример:
В моем случае в логе только один браузер Google Chrome, поэтому я помечаю себе только 1 браузер. Переходим к более интересной информации, которая не лежит на поверхности.
Как мы работаем с логами (сбор, хранение, анализ при помощи Graylog)
Всем привет! В этой статье мы хотим поделиться нашим опытом использования полезной платформы Graylog, которая ежедневно помогает собирать, надежно хранить и анализировать логи с десятков серверов, окутанных заботой нашей поддержки 🙂
Это первая часть статьи, в которой мы собрали в одном месте информацию, которая поможет установить и настроить Graylog, плюс, расскажем почему мы остановились имено на этой платформе.
Вторая часть, которая появится совсем скоро, будет содержать примеры использования и их реализацию.
Какую задачу мы решали?
Можно долго рассуждать о важности серверных логов и привести много примеров ситуаций, в которых они жизненно необходимы, но так как речь пойдет именно о сторонней системе и ее особенностях, то выделим ряд важных моментов:
Удобно, когда все логи хранятся в одном месте.
Круто, когда есть отчеты и возможность автоматически их проанализировать.
Полезно, когда логи можно посмотреть даже при “упавшем” сервере или после того как злоумышленник “прибрался” за собой.
Бесценно, когда о возникшей ошибке в логах будет оповещение.
Сформулировали задачу так:
“Подобрать бесплатное open source решение для сбора и анализа логов, не перегруженное функционалом, производительное, простое в установке и использовании.”
Почему Graylog?
Это не единственная и, возможно, далеко не самая лучшая платформа, но она широко распространена, прошла проверку временем и все еще поддерживается разработчиками.
Но, начать мы решили с анализа “конкурентов”.
Альтернативы
Splunk
Классный, модный, современный Splunk соответствует подавляющему большинству потребностей и скорее всего, может даже больше.
Но есть три момента, которые не понравились:
В нужной конфигурации решение платное.
Это закрытое решение.
Компания, без объяснений причин покинула рынок РФ.
Но, если вас это не смущает, немного полезной информации по платформе:
С этим “претендентом” не получилось, идем дальше.
Например, тут и тут его часто сравнивают с ELK, который и рассмотрим.
Что же пошло не так?
Некоторые фишки все же платные, например, уведомления и контроль доступа (однако, после некоторых событий часть данного функционала стала бесплатной).
Систему сложно настроить, “из коробки” она работать не будет.
Еще нужно упомянуть Open Distro, которая развивается на базе ELK, но полностью бесплатная, что не отменяет ресурсоемкость и сложность в настройке.
Немного полезной информации:
Инструкция по установке и настройке (eng).
Остановились на Graylog
Это open source решение.
Бесплатная версия имеет все необходимое.
Функционал небольшой, что удобно, ничего лишнего (для наших задач).
“Из коробки” решение уже работает, нужны минимальные настройки.
По сравнению с ELK ресурсоемкость значительно ниже.
Далее, мы предлагаем лонгрид по настройке и установке Graylog.
Установка и базовые настройки Graylog
В примере используем CentOS 8.
Prerequisites
Обновления обязательны, также установим пакеты для удобства работы, top-ы, etc.
смотрим где лежат сертификаты (пока самоподписанные)
кладём crt и key файлы в /etc/cockpit/ws-certs.d/
Firewall
(настройки будут индивидуальными для вашей сети, все команды даны для примера)
Кокпит должен быть доступен только админам, снаружи ему делать нечего. Создадим зону для интранета и добавим нужные адреса подсетей:
После добавления/удаления перезагрузим сервис:
Проконтролируем, что все правила верные:
SELinux
(настраиваем, а не отключаем его. )
Устанавливаем пакеты, если ещё не установлены, разрешаем апачу подключения:
Проверяем порты 9000, 9200, 27017:
Elastic Search
Импортируем ключ репозитория, добавляем конфигурационный файл репозитория, устанавливаем (вместо vim можно использовать nano, mcedit или любой другой редактор по вашему выбору):
Чтобы Elasticsearch работал с Graylog, необходимо установим имя кластера “graylog”:
Запускается довольно долго, в зависимости от конфигурации сервера или виртуальной машины. Проверяем:
Файлы Elasticsearch расположены здесь:
MongoDB
Добавляем конфигурационный файл репозитория:
Файлы MongoDB расположены здесь:
Graylog
Ссылки на оригинальную документацию:
Graylog не запускается самостоятельно (об этом есть сообщение в процессе установки).
Сначала настраиваем, потом пробуем запускать.
Генерируем хеш пароля:
Параметры эластика только для первого запуска, дальше конфигурация будет производиться уже из веб-интерфейса грейлога:
Также полезно будет настроить Email transport:
Download files → В секции GeoLite2 City → Get Permalinks (1, 2)
В Services → Manage License Keys (3)
Нажимаем «Generate new license key» создастся новый License Key. На email придёт уведомление о создании ключа.
Лицензия активируется в течение 5 минут.
Подставляем в ссылки, полученные на первом шаге ключ, полученный на втором шаге, загружаем файл с базой и файл контрольной суммы:
Проверяем целостность архива:
Установка GeoLite2 Database выполнена.
Немного ждём, затем смотрим логи запуска:
Возникают из-за того что установлена версия Enterprise, но нет соответствующей лицензии.
Заходим браузером, проверяем что веб-интерфейс доступен, можем залогиниться в веб-интерфейс:
Нас встречает мини-учебник по настройке:
NGINX
Создаём конфиг nginx, размещаем файлы сертификатов в /etc/nginx/ssl (у нас будут в одном файле сертификат + ключ):
Если получили ошибку:
То это из-за SELinux. Исправляем:
Немного реконфигурим Graylog:
Теперь Graylog слушает только на локалхосте, если открывали порт 9000, то необходимости в нём больше нет:
Размер БД
Установим размер индекса, так как виртуальный сервер имеет ограниченный объём диска.
System → Indices → Default index set → Edit
В Index Rotation Configuration:
В Index Retention Configuration:
Итого общий размер индексов будет не более 32GiB
Подведем итоги
Если вы дочитали и все еще с нами, то на этом закончим первую часть, где мы разобрали чем нам приглянулся Graylog и как можно его установить / настроить.
Надеемся, что наш опыт будет вам полезен.
Вопросы в комментариях приветствуются 🙂
Во второй части мы расскажем, как используя Graylog можно собирать системные логи и логи веб-сервера.
Дата-центр ITSOFT — размещение и аренда серверов и стоек в двух дата-центрах в Москве. За последние годы UPTIME 100%. Размещение GPU-ферм и ASIC-майнеров, аренда GPU-серверов, лицензии связи, SSL-сертификаты, администрирование серверов и поддержка сайтов.