Новости мира информационной безопасности. Расследование и реагирование на инциденты. Кибербезопасность.

Новости информационной безопасности




Екатеринбургские хакеры похитили у банков 1,2 млрд руб.

Жители Екатеринбурга Константин М. и Игорь М. обвиняются в участии в преступной группировке, проворачивающей крупные мошеннические операции в сфере компьютерной информации.

По данным следствия, совместно с сообщниками преступники разработали и распространяли через интернет вредоносное ПО, с помощью которого им удалось получить несанкционированный доступ к счетам клиентов различных кредитных организаций. В общей сложности группировка похитила 1,2 млрд руб.

Помимо чужих банковских счетов, злоумышленники также сумели получить доступ к базе данных екатеринбургского аэропорта Кольцово, сообщает сайт banki.ru.

Генеральная прокуратура выдвинула против мужчин обвинения в участии в преступном сообществе, мошенничестве в особо крупном размере, неправомерном доступе к компьютерной информации, а также в создании, использовании и распространении вредоносных компьютерных программ.

В настоящее время уголовное дело против Константина М. и Игоря М. направлено в Кировский районный суд Екатеринбурга. В качестве меры пресечения для обвиняемых выбрано заключение под стражу.

Источник: https://www.securitylab.ru/news/495160.php

Дата: 2018-08-20 16:26:20

Источник: https://exploit.in/2018/11680/



Хакерская группировка DarkHotel эксплуатировала 0-day уязвимость в VBScript

Исследователи безопасности из компании Trend Micro раскрыли подробности новой вредоносной кампании, в ходе которой хакерская группировка DarkHotel, предположительно связанная с северокорейским правительством, активно эксплуатировала уязвимость нулевого дня в движке VBScript.

По словам специалистов, первые случаи эксплуатации CVE-2018-8373 , позволяющей злоумышленнику выполнить произвольный код на компьютере жертвы, были зафиксированы 11 июля 2018 года. Во вторник, 14 августа, Microsoft выпустила исправление, устраняющее данную проблему.

После анализа эксплоита исследователи обнаружили, что в нем используется уже применявшийся ранее метод обфускации. В частности, аналогичный метод был использован в эксплоите для другой уязвимости в VBScript (CVE-2018-8174), известной под названием Double Kill.

По словам специалистов из компании Qihoo 360, CVE-2018-8373, как и Double Kill, вероятнее всего связана с хакерской группировкой DarkHotel. Об этом свидетельствуют ряд характерных черт в коде эксплоитов, а также обнаруженные во вредоносах одинаковые имена доменов.

Хакерская группировка DarkHotel хорошо известна из-за взлома Wi-Fi сетей в дорогих отелях и шпионажа за руководителями крупных компаний. Впервые о ней заговорили в ноябре 2014 года, после отчета Лаборатории Каперского о целенаправленных атаках в Азии. В арсенале хакеров присутствовали инструменты для взлома Wi-Fi сетей и несколько эксплоитов для уязвимостей нулевого дня. Примерно через год группировка начала использовать новую технологию взлома и эксплоит из набора Hacking Team.

Источник: https://www.securitylab.ru/news/495155.php

Дата: 2018-08-20 16:24:36

Источник: https://exploit.in/2018/11679/



Компании хотят узаконить передачу личных данных россиян

Фонд «Сколково» передал на рассмотрение рабочей группы по нормативному регулированию цифровой экономики поправки к закону «О персональных данных». Они позволят бизнесу передавать личную информацию граждан на обработку в сторонние компании без согласия клиентов.

Как сообщает издание «Ведомости», разработкой законопроекта занимались эксперты IT-компаний, операторов связи и банков, входящих в число учредителей АНО «Цифровая экономика»: «Яндекса», Mail.Ru Group, Rambler, «1C», «МТС», «Мегафона», «Билайна», «Ростелекома», Сбербанка и других.

Новые правила предполагают, что первоначальное согласие клиента на обработку личных данных будет автоматически распространяться на все манипуляции компании с его персональной информацией, в том числе на передачу третьим лицам. Те, в свою очередь, получат право делиться конфиденциальными сведениями с кем-то еще, не уведомляя об этом их владельца.

Также договор с пользователем позволит компании, собравшей данные, обрабатывать их «в целях, которые она посчитает выгодными для себя, а не только в изначально согласованных с человеком». Со стороны клиента единственным способом повлиять на манипуляции с его персональной информацией станет право отозвать первоначальное согласие.

Тем не менее с компании, собравшей данные, ответственность за них не снимается. Так, она обязана заранее предупредить клиента о том, кому предоставит доступ к его личным сведениям. Конкретные способы информирования граждан должны быть указаны в договоре. Это может быть, например, размещенный на сайте список партнеров. Кроме того, пользователь имеет право получить более подробные сведения о судьбе своих данных, подав соответствующий запрос. Ответ на него должен прийти не позднее чем через месяц.

По мнению авторов поправок, это позволит упростить получение согласия и оптимизировать обработку данных. Что, в свою очередь, даст возможность предлагать новые услуги именно тем, кому они нужны. Представители «Ростелекома» отмечают, что в случае принятия инициативы гражданам будет удобнее отслеживать сведения о себе, так как их движение станет более прозрачным.

У законопроекта есть и противники. По мнению Михаила Емельянникова, управляющего партнера консалтингового агентства «Емельянников, Попова и партнеры», поправки идут вразрез с идеей защиты личных данных. Они превращают персональную информацию в товар, которым бизнес будет торговать в своих интересах. Кроме того, нововведение может спровоцировать многочисленные нарушения закона о рекламе, запрещающего использование данных потребителя в маркетинговых целях без его согласия.

Скептически смотрят на инициативу бизнеса и в Фонде развития интернет-инициатив (ФРИИ). Сотрудники организации уверены, что отказ от согласия пользователя на передачу данных — это прямое нарушение его прав. В целом противники законопроекта единодушны: поправки выгодны только предпринимателям.

Стоит отметить, что инициатива также противоречит регламенту защиты данных (General Data Protection Regulation, GDPR), который обязаны выполнять все компании, сотрудничающие с Евросоюзом. Бизнес оценивает эти правила неоднозначно и отмечает, что они могут затруднять работу в таких важных сферах, как кибербезопасность, однако соблюдать их необходимо.

Дата: 2018-08-20 15:32:15

Источник: https://threatpost.ru/companies-drafted-a-bill-allowing-personal-data-exchange-without-customer-consent/27800/



Necurs распространял RAT-зловред среди банков

Ботнет Necurs провел короткую спам-кампанию, нацеленную на засев RAT-трояна в корпоративные сети финансовых учреждений. По словам исследователей из Cofence, наблюдавших за атакой, вредоносные письма получили сотрудники нескольких тысяч банков по всему миру. Злоумышленники пытались проникнуть на компьютеры жертв при помощи сообщений, замаскированных под деловую переписку.

Необычная активность ботнета началась утром 15 августа. В отличие от стандартных спам-рассылок Necurs, новая кампания доставляла получателям документы, созданные в программе Microsoft Publisher и небольшое количество PDF-вложений. Файлы формата PUB могут содержать макросы, выполняемые при открытии, однако защитные решения не блокируют их автоматически, как это происходит с документами Word или Excel.

Как отмечают ИБ-аналитики, получателями рассылки стали банковские сотрудники. Спамеры не использовали для этой кампании ресурсы бесплатных почтовых сервисов, что свидетельствует о нацеленности атаки исключительно на финансовый сектор. Письма были замаскированы под типичные для деловой переписки документы, например платежные извещения.

При открытии файла вредоносный макрос подключался к серверу злоумышленников и загружал на скомпрометированное устройство RAT-троян FlawedAmmyy. Многофункциональный зловред представляет собой переработанную версию легитимной утилиты Ammyy Admin, предназначенной для удаленного администрирования. Программа позволяет полностью контролировать зараженную систему и красть данные.

По истечении восьми часов активности рассылка неожиданно прекратилась. Исследователи затрудняются сказать, кто является заказчиком этой атаки и почему она была столь скоротечна. Ранее Necurs выполнял более масштабные задания и специализировался на распространении вредоносов Dridex и Locky.

Возможно, ботнет в очередной раз меняет «основную» полезную нагрузку —FlawedAmmyy уже был замечен в трех кампаниях Necurs, состоявшихся в мае и июне этого года. Тогда в качестве вложения использовались файлы IQY, загружавшие в документы Excel команду на скачивание трояна с удаленного сервера. Антивирусы плохо справлялись с выявлением вредоносного содержимого в письме, поскольку такие объекты выполняются только в среде электронной таблицы.

Дата: 2018-08-20 14:44:31

Источник: https://threatpost.ru/necurs-distributed-rat-trojan-among-banks/27794/



Незакрытая уязвимость в WordPress угрожает утечкой данных

Специалист по информационной безопасности из Secarma Labs обнаружил уязвимость в алгоритме сериализации языка PHP. Ошибка затрагивает системы управления сайтами (CMS) WordPress и TYPO3, а также одну из библиотек Contao. Эксплуатация бага может привести к утечке данных и создать условия для выполнения стороннего кода на сервере.

Сериализация используется PHP для передачи данных между скриптами. Алгоритм предполагает преобразование массива информации в строку, а также обратное декодирование объекта на стороне получателя.

Как утверждает ИБ-эксперт Сэм Томас (Sam Thomas), злоумышленник с правами на загрузку файлов может передать в CMS специальное изображение или другой вредоносный объект, который обращается к некорректно работающей функции phar://. Используя брешь, киберпреступник способен провести атаки XXE и SSRF, которые ведут к несанкционированному раскрытию информации.

Как отмечает ИБ-эксперт, брешь сложно закрыть на стороне PHP — патчи должны быть выпущены разработчиками CMS. По словам исследователя, уязвимыми являются все версии WordPress, включая актуальную сборку 4.9.8. Эксперт продемонстрировал два вида полезной нагрузки, предназначенной для разных релизов движка. Томас сообщил разработчикам о проблеме еще в феврале 2017 года, однако в данный момент брешь остается незакрытой.

Авторы библиотеки TCPDF, отвечающей за обработку PDF-файлов в Contao, тоже не торопятся выпускать заплатку. Как утверждает исследователь, он проинформировал разработчиков о баге в мае этого года.  Лишь создатели движка TYPO3 подошли к проблеме со всей серьезностью. Они получили сообщение об уязвимости 9 июня 2018 года, а уже в середине июля залатали дыру, обновив систему до версий 7.6.30, 8.7.17 и 9.3.

Язык PHP нередко подвергается критике ИБ-специалистов за недостатки в архитектуре, плохую совместимость версий и большое количество уязвимостей. Участники сообщества FriendsOfPHP собрали все надежные библиотеки для этой среды программирования в единый архив, чтобы снизить риск использования небезопасных инструментов. По информации специалистов, к репозиторию, размещенному на GitHub, обратились уже 2 млн разработчиков.

Дата: 2018-08-20 14:34:47

Источник: https://threatpost.ru/vulnerability-in-wordpress-threatens-by-data-leak/27792/



Дыра в Chrome позволяет узнать личные данные жертвы

Злоумышленники могут получить информацию о жертве, проанализировав отклики целевого сайта на запросы, сформированные в Chrome через аудио- и видеотеги. К такому выводу пришел специалист компании Imperva Рон Масас (Ron Masas), который обнаружил уязвимость. Google залатала баг в очередном апдейте браузера.

Как пояснил исследователь, атакующий может разместить на своем сайте вредоносный скрипт, автоматически отправляющий серию запросов на ресурсы, где авторизован посетитель. На основании размера полученного ответа злоумышленник способен определить некоторые персональные данные жертвы.

Масас опубликовал исходник скрипта, который позволяет выяснить возраст посетителя вредоносного сайта при помощи запросов к Facebook. Как пояснил эксперт, злоумышленник может установить для определенной аудитории ограничения на просмотр своих публикаций в социальной сети. Например, сделать одну из них видимой только для пользователей от 20 до 21 года, другую — от 21 до 22 лет. Обратившись от имени жертвы к таким постам, мошенник получит разные ответы в случае одобрения или запрета доступа и узнает год рождения жертвы.

По мнению ИБ-специалиста Майка Гуалтьери (Mike Gualtieri), эксплуатация уязвимости может привести к утечке более значимых данных, если киберпреступники попробуют обратиться к корпоративным IT-системам. Эксперт подчеркнул, что такие платформы часто хранят финансовую информацию.

Еще одним направлением атаки могут стать API различных веб-сервисов. Например, сформировав серию запросов к программному интерфейсу фондовой биржи, злоумышленник способен выяснить объем торгов.

Масас сообщил Google об уязвимости CVE-2018-6177 в марте 2018 года. В конце июля разработчик закрыл дыру, выпустив Chrome версии 68.0.3440.75. В этом же релизе создатели браузера залатали еще четыре десятка брешей, пять из которых оцениваются как критические.

Помимо заплаток разработчики добавили в Chrome новый виджет. В 68-й версии браузер стал помечать сайты, не использующие HTTPS, как не защищенные. Соответствующее предупреждение появилось в адресной строке. Начиная с версии 70 интернет-обозреватель Google будет выделять это сообщение красным цветом при заполнении на небезопасном ресурсе любых форм.

Дата: 2018-08-20 14:27:52

Источник: https://threatpost.ru/chrome-vulnerability-allow-to-steal-user-data/27789/



28% DNS-трафика перехватывается интернет-провайдерами

Из 3047 проверенных провайдеров, DNS-запросы перехватывались 259 поставщиками услуг.

Объединенная команда исследователей из США и Китая выступила в ходе конференции USENIX с докладом о безопасности DNS-трафика. Целью исследовани было выяснить, какая часть DNS-трафика является безопасной и насколько реальна возможность его перехвата. Исследователи создали систему для измерения количества перехваченных DNS-запросов путем анализа данных, полученных посредством анализа 148478 IP-адресов.

Как выяснили специалисты, из 3047 проверенных провайдеров, DNS-запросы перехватывались 259 поставщиками услуг (8.5%), в том числе крупными компаниями, такими как China Mobile. Кроме того, перехватывались 27,9% DNS-трафика из Китая к публичным DNS-серверам Google.

На 97 DNS-серверах, которые проверили эксперты, использовалось устаревшее ПО BIND, не поддерживаемое производителем с 2009 года. Более того, 57% исследованных DNS-серверов не поддерживали протокол DNSSEC. Как отметили эксперты, наиболее перехватываемым трафиком являются запросы на получение А-записей.

Тем временем, исследователи из компании NCC Group выпустили новый инструмент с открытым исходным кодом, предназначенный для выполнения атак типа DNS rebinding. Данный инструмент призван помочь тестировщикам выявлять уязвимые серверы.

Дата: 2018-08-20 13:58:00

Источник: http://www.securitylab.ru/news/495183.php



Скрипт Coinhive зарабатывает $250 тыс. в месяц

По данным аналитиков Рейнско-Вестфальского технического университета Ахена, скрипт Coinhive для добычи криптовалюты является первым по доходности среди всех браузерных майнеров. В месяц сервис генерит в среднем $250 тыс. в токенах Monero.

При этом, как показало исследование, выгоду получают не столько сайты, сколько создатели скрипта: если последним достается 30% от прибыли (или примерно $75 тыс.), то многочисленные пользователи Coinhive зарабатывают сотые, а то и тысячные доли от оставшейся суммы.

Согласно отчету, несмотря на то что на Coinhive приходится 75% всего рынка сайтов, использующих JavaScript-майнеры, с помощью этого сервиса создается чуть более процента от всех блоков Monero. Кроме того, как отмечают в издании Bleeping Computer, последнее время скрипт начинает сдавать свои позиции.

Помимо доходности браузерного майнинга исследователи из Ахена оценили эффективность расширений, блокирующих добычу криптовалюты. Для этого ученые проанализировали выборку сайтов из доменной зоны .org и рейтинга Alexa Top-1M при помощи плагина NoCoin, а также при помощи инструментов для разработчиков браузера Chrome.

Эксперимент показал, что результаты двух методов сильно расходятся: NoCoin не смог обнаружить большую часть майнеров. Не совпали и категории сайтов, использующих скрипты для добычи криптовалюты: среди ресурсов, выявленных при помощи инструментария Chrome, преобладали порталы «для взрослых», а также страницы, посвященные технической и религиозной тематикам, тогда как NoCoin больше всего майнеров отловил на игровых сайтах.

Любопытно, что при значительной популярности Coinhive его аналог AuthedMine, запрашивающий согласие пользователя на эксплуатацию ресурсов его устройства, значительно менее востребован. То есть можно сказать, что большинство порталов предпочитают криптоджекинг. При этом некоторые майнят не только во время просмотра, но и во время загрузки страниц.

Дата: 2018-08-20 13:52:42

Источник: https://threatpost.ru/coinhive-raised-250k-per-month/27784/



Plaso 20180818 released

Plaso 20180818 released

The Plaso team is pleased to announce a new Plaso release, 20180818. We’ve continued our work on migrating Plaso to Python 3, and moving binary parsing to use dtFabric, but we’re aren’t quite ready to fully migrate just yet.

A side effect of the dtFabric migration is that most of the binary-format parsers have been substantially rewritten, and are likely to be more strict parsing file-formats. If you spot any files not being parsed as they were in previous versions, please let us know by opening an issue.

Some of the more noteworthy user-facing features in this release are:



As usual, there’s a bunch of cleanups, performance tweaks and bug fixes, the full list of which are available in the release milestone.

Where/how to get Plaso 20180818?

See Plaso's Users' Guide. As usual, builds are available for Docker, MacOS, Ubuntu, Fedora Core and Windows.

If you run into problems take a look at the Installation Problems page on the Plaso wiki, to see if other people have seen the issue before. If nothing there helps, ask for help on the discuss mailing list: log2timeline-discuss@googlegroups.com or open an issue on the tracker.

Дата: 2018-08-20 13:39:32

Источник: http://blog.kiddaland.net/2018/08/plaso-20180818-released.html



GitMiner v2.0 - Tool For Advanced Mining For Content On Github

GitMiner.png

Advanced search tool and automation in Github. This tool aims to facilitate research by code or code snippets on github through the site's search page.

MOTIVATION

Demonstrates the fragility of trust in public repositories to store codes with sensitive information.


REQUIREMENTS
lxml
requests
argparse
json
re

INSTALL
git clone http://github.com/UnkL4b/GitMiner

sudo apt-get install python-requests python-lxml 
OR
pip install -r requirements.txt

Docker
git clone http://github.com/UnkL4b/GitMiner
cd GitMiner
docker build -t gitminer .
docker run -it gitminer -h

HELP

                                 UnkL4b
  __                   Automatic search for Github
((OO))   ▄████  ██▓▄▄▄█████▓ ███▄ ▄███▓ ██▓ ███▄    █ ▓█████  ██▀███  
 \__/   ██▒ ▀█▒▓██▒▓  ██▒ ▓▒▓██▒▀█▀ ██▒▓██▒ ██ ▀█   █ ▓█   ▀ ▓██ ▒ ██▒      OO
  |^|  ▒██░▄▄▄░▒██▒▒ ▓██░ ▒░▓██    ▓██░▒██▒▓██  ▀█ ██▒▒███   ▓██ ░▄█ ▒      oOo
  | |  ░▓█  ██▓░██░░ ▓██▓ ░ ▒██    ▒██ ░██░▓██▒  ▐▌██▒▒▓█  ▄ ▒██▀▀█▄      OoO
  | |  ░▒▓███▀▒░██░  ▒██▒ ░ ▒██▒   ░██▒░██░▒██░   ▓██░░▒████▒░██▓ ▒██▒  /oOo 
  | |___░▒___▒_░▓____▒_░░___░_▒░___░__░░▓__░_▒░___▒_▒_░░_▒░_░░_▒▓_░▒▓░_/ /
  \______░___░__▒_░____░____░__░______░_▒_░░_░░___░_▒░_░_░__░__░▒_░_▒░__/  v2.0
       ░ ░   ░  ▒ ░  ░      ░      ░    ▒ ░   ░   ░ ░    ░     ░░   ░ 
             ░  ░                  ░    ░           ░    ░  ░   ░     

  -> github.com/UnkL4b
  -> unkl4b.github.io

  +---------------------[WARNING]---------------------+
  | DEVELOPERS ASSUME NO LIABILITY AND ARE NOT        |
  | RESPONSIBLE FOR ANY MISUSE OR DAMAGE CAUSED BY    |
  | THIS PROGRAM                                      |
  +---------------------------------------------------+ 
       [-h] [-q 'filename:shadow path:etc']
       [-m wordpress] [-o result.txt]
       [-r '/^\s*.*?;?\s*$/gm']
       [-c _octo=GH1.1.2098292984896.153133829439; _ga=GA1.2.36424941.153192375318; user_session=oZIxL2_ajeDplJSndfl37ddaLAEsR2l7myXiiI53STrfhqnaN; __Host-user_session_same_site=oXZxv9_ajeDplV0gAEsmyXiiI53STrfhDN; logged_in=yes; dotcom_user=unkl4b; tz=America%2FSao_Paulo; has_recent_activity=1; _gh_sess=MmxxOXBKQ1RId3NOVGpGcG54aEVnT1o0dGhxdGdzWVpySnFRd1dVYUk5TFZpZXFuTWxOdW1FK1IyM0pONjlzQWtZM2xtaFR3ZDdxlGMCsrWnBIdnhUN0tjVUtMYU1GeG5Pbm5DMThuWUFETnZjcllGOUNkRGUwNUtKOVJTaGR5eUJYamhWRE5XRnMWZZN3Y3dlpFNDZXL1NWUEN4c093RFhQd3RJQ1NBdmhrVDE3VVNiUFF3dHBycC9FeDZ3cFVXV0ZBdXZieUY5WDRlOE9ZSG5sNmRHUmllcmk0Up1MTcyTXZrN1RHYmJSdz09--434afdd652b37745f995ab55fc83]

optional arguments:
  -h, --help            show this help message and exit
  -q 'filename:shadow path:etc', --query 'filename:shadow path:etc'
                        Specify search term
  -m wordpress, --module wordpress
                        Specify the search module
  -o result.txt, --output result.txt
                        Specify the output file where it will be
                        saved
  -r '/^\s*(.*?);?\s*$/gm', --regex '/^\s*(.*?);?\s*$/gm'
                        Set regex to search in file
  -c _octo=GH1.1.2098292984896.153133829439; _ga=GA1.2.36424941.153192375318; user_session=oZIxL2_ajeDplJSndfl37ddaLAEsR2l7myXiiI53STrfhqnaN; __Host-user_session_same_site=oXZxv9_ajeDplV0gAEsmyXiiI53STrfhDN; logged_in=yes; dotcom_user=unkl4b; tz=America%2FSao_Paulo; has_recent_activity=1; _gh_sess=MmxxOXBKQ1RId3NOVGpGcG54aEVnT1o0dGhxdGdzWVpySnFRd1dVYUk5TFZpZXFuTWxOdW1FK1IyM0pONjlzQWtZM2xtaFR3ZDdxlGMCsrWnBIdnhUN0tjVUtMYU1GeG5Pbm5DMThuWUFETnZjcllGOUNkRGUwNUtKOVJTaGR5eUJYamhWRE5XRnMWZZN3Y3dlpFNDZXL1NWUEN4c093RFhQd3RJQ1NBdmhrVDE3VVNiUFF3dHBycC9FeDZ3cFVXV0ZBdXZieUY5WDRlOE9ZSG5sNmRHUmllcmk0Up1MTcyTXZrN1RHYmJSdz09--434afdd652b37745f995ab55fc83, --cookie _octo=GH1.1.2098292984896.153133829439; _ga=GA1.2.36424941.153192375318; user_session=oZIxL2_ajeDplJSndfl37ddaLAEsR2l7myXiiI53STrfhqnaN; __Host-user_session_same_site=oXZxv9_ajeDplV0gAEsmyXiiI53STrfhDN; logged_in=yes; dotcom_user=unkl4b; tz=America%2FSao_Paulo; has_recent_activity=1; _gh_sess=MmxxOXBKQ1RId3NOVGpGcG54aEVnT1o0dGhxdGdzWVpySnFRd1dVYUk5TFZpZXFuTWxOdW1FK1IyM0pONjlzQWtZM2xtaFR3ZDdxlGMCsrWnBIdnhUN0tjVUtMYU1GeG5Pbm5DMThuWUFETnZjcllGOUNkRGUwNUtKOVJTaGR5eUJYamhWRE5XRnMWZZN3Y3dlpFNDZXL1NWUEN4c093RFhQd3RJQ1NBdmhrVDE3VVNiUFF3dHBycC9FeDZ3cFVXV0ZBdXZieUY5WDRlOE9ZSG5sNmRHUmllcmk0Up1MTcyTXZrN1RHYmJSdz09--434afdd652b37745f995ab55fc83
                        Specify the cookie for your github

EXAMPLE
Searching for wordpress configuration files with passwords:
$:> python gitminer-v2.0.py -q 'filename:wp-config extension:php FTP_HOST in:file ' -m wordpress -c pAAAhPOma9jEsXyLWZ-16RTTsGI8wDawbNs4 -o result.txt

GitMiner_2.png

Looking for brasilian government files containing passwords:
$:> python gitminer-v2.0.py --query 'extension:php "root" in:file AND "gov.br" in:file' -m senhas -c pAAAhPOma9jEsXyLWZ-16RTTsGI8wDawbNs4
Looking for shadow files on the etc paste:
$:> python gitminer-v2.0.py --query 'filename:shadow path:etc' -m root -c pAAAhPOma9jEsXyLWZ-16RTTsGI8wDawbNs4
Searching for joomla configuration files with passwords:
$:> python gitminer-v2.0.py --query 'filename:configuration extension:php "public password" in:file' -m joomla -c pAAAhPOma9jEsXyLWZ-16RTTsGI8wDawbNs4

GitMiner_3.png

Hacking SSH Servers


Dork to search

by @techgaun (https://github.com/techgaun/github-dorks)

Dork Description
filename:.npmrc _auth npm registry authentication data
filename:.dockercfg auth docker registry authentication data
extension:pem private private keys
extension:ppk private puttygen private keys
filename:id_rsa or filename:id_dsa private ssh keys
extension:sql mysql dump mysql dump
extension:sql mysql dump password mysql dump look for password; you can try varieties
filename:credentials aws_access_key_id might return false negatives with dummy values
filename:.s3cfg might return false negatives with dummy values
filename:wp-config.php wordpress config files
filename:.htpasswd htpasswd files
filename:.env DB_USERNAME NOT homestead laravel .env (CI, various ruby based frameworks too)
filename:.env MAIL_HOST=smtp.gmail.com gmail smtp configuration (try different smtp services too)
filename:.git-credentials git credentials store, add NOT username for more valid results
PT_TOKEN language:bash pivotaltracker tokens
filename:.bashrc password search for passwords, etc. in .bashrc (try with .bash_profile too)
filename:.bashrc mailchimp variation of above (try more variations)
filename:.bash_profile aws aws access and secret keys
rds.amazonaws.com password Amazon RDS possible credentials
extension:json api.forecast.io try variations, find api keys/secrets
extension:json mongolab.com mongolab credentials in json configs
extension:yaml mongolab.com mongolab credentials in yaml configs (try with yml)
jsforce extension:js conn.login possible salesforce credentials in nodejs projects
SF_USERNAME salesforce possible salesforce credentials
filename:.tugboat NOT _tugboat Digital Ocean tugboat config
HEROKU_API_KEY language:shell Heroku api keys
HEROKU_API_KEY language:json Heroku api keys in json files
filename:.netrc password netrc that possibly holds sensitive credentials
filename:_netrc password netrc that possibly holds sensitive credentials
filename:hub oauth_token hub config that stores github tokens
filename:robomongo.json mongodb credentials file used by robomongo
filename:filezilla.xml Pass filezilla config file with possible user/pass to ftp
filename:recentservers.xml Pass filezilla config file with possible user/pass to ftp
filename:config.json auths docker registry authentication data
filename:idea14.key IntelliJ Idea 14 key, try variations for other versions
filename:config irc_pass possible IRC config
filename:connections.xml possible db connections configuration, try variations to be specific
filename:express.conf path:.openshift openshift config, only email and server thou
filename:.pgpass PostgreSQL file which can contain passwords
filename:proftpdpasswd Usernames and passwords of proftpd created by cpanel
filename:ventrilo_srv.ini Ventrilo configuration
[WFClient] Password= extension:ica WinFrame-Client infos needed by users to connect toCitrix Application Servers
filename:server.cfg rcon password Counter Strike RCON Passwords
JEKYLL_GITHUB_TOKEN Github tokens used for jekyll
filename:.bash_history Bash history file
filename:.cshrc RC file for csh shell
filename:.history history file (often used by many tools)
filename:.sh_history korn shell history
filename:sshd_config OpenSSH server config
filename:dhcpd.conf DHCP service config
filename:prod.exs NOT prod.secret.exs Phoenix prod configuration file
filename:prod.secret.exs Phoenix prod secret
filename:configuration.php JConfig password Joomla configuration file
filename:config.php dbpasswd PHP application database password (e.g., phpBB forum software)
path:sites databases password Drupal website database credentials
shodan_api_key language:python Shodan API keys (try other languages too)
filename:shadow path:etc Contains encrypted passwords and account information of new unix systems
filename:passwd path:etc Contains user account information including encrypted passwords of traditional unix systems
extension:avastlic Contains license keys for Avast! Antivirus
extension:dbeaver-data-sources.xml DBeaver config containing MySQL Credentials
filename:.esmtprc password esmtp configuration
extension:json googleusercontent client_secret OAuth credentials for accessing Google APIs
HOMEBREW_GITHUB_API_TOKEN language:shell Github token usually set by homebrew users
xoxp OR xoxb Slack bot and private tokens
.mlab.com password MLAB Hosted MongoDB Credentials
filename:logins.json Firefox saved password collection (key3.db usually in same repo)
filename:CCCam.cfg CCCam Server config file
msg nickserv identify filename:config Possible IRC login passwords
filename:settings.py SECRET_KEY Django secret keys (usually allows for session hijacking, RCE, etc)

Дата: 2018-08-20 13:03:10

Источник: https://www.kitploit.com/2018/08/gitminer-v20-tool-for-advanced-mining.html