Одним из способов заработка для хакера является добывание баз данных. К
сожалению в последние годы многие хакерские темы отмирают, в частности найти
кредитные карты в шопах становится все труднее. Поэтому перед каждым взломщиком
встает проблема - либо искать другие объекты для взлома, либо отказывать себе в
пиве.
Одними из таких объектов являются базы сайтов знакомств, на которые пока
существует постоянный спрос у отечественных скамеров. Поработав некоторое время
в этой тематике я приобрел кой какой опыт, который готов разделить с тобой.
Начнем с начала, с выбора объекта. Масса форумов пестрит предложениями для
хакера по взлому датингов, и как правило народ хочет базы таких ресурсов как
match.com или americansingles.com. Можешь конечно попробовать их взломать, но
во-первых они хорошо защищены, во-вторых, даже если тебе удастся получить доступ
к базе и ее слить, ты получишь массу претензий от недовольного клиента ее
купившего. Однажды нам с напарником удалось вытащить базу на лимон с лишним
юзеров одного серьезного европейского датинга. В итоге мы получили массу
претензий от ее покупателя. Суть претензий заключалась в том, что отписка была
низкой, часть отписавшихся утверждали, что на данном ресурсе они не
зарегистрированы, хотя мы предоставили покупателю не только мыла, но и логины с
паролями, так что проверить принадлежность юзеров к данному датингу не было
проблемой. В итоге нам удалось разобраться, с чем это связано. Ресурсу было уже
более 8 лет и те, кто регался там лет 6-7 назад, либо уже давно женились,
либо забыли о своей регистрации. И кроме того, там оказалось огромное количество
аккаунтов африканцев из бывших колоний этой европейской страны, но это уже
претензии не к нам, а к колониальной политике сверхдержав в XIX-XX веках.
Поэтому предпочтительно ломать либо датинги которым от силы года 2-3, либо
(если сайт создан давно) сливать только данные юзеров зарегистрировавшихся год
или два назад.
Хорошим спросом пользуются западно-европейские базы, США тоже не плохо идет,
как и Арабские Эмираты, Япония и Австралия. Остальное мусор. И еще, периодически
на форумах встречаются предложения взломать гей-датинги. Смысла особого в этом
нет, я однажды повелся на подобные предложения и не только травмировал себе
психику насмотревшись на голозадых «тружеников тыла», но и уже более двух
месяцев не могу сбыть базы порядка 700К юзеров с гей-датингов даже по депинговой
цене.
Когда с объектом определились, начинается сам процесс взлома. Тут тебе
помогут знания SQL-инъекций в MySQL, MSSQL, PostgreSQL. Мой опыт показывает, что
95% взломанных датингов содержали уязвимости класса SQL-инъекции. Так что
штудируй мануалы и вперед, благо в информации по SQL-инъекциям недостатка нет.
И вот доступ к базе получен, осталось сдампить базу и искать покупателя. Но
здесь тоже есть свои нюансы. Если нет возможности залить на сайт скрипт для
коннекта к базе или если админка не позволяет сдампить базу, придется тянуть ее
с помощью SQL-дамперов. В этом случае дампить надо следующие поля - gender или
sex (пол), данное поле лучше выводить первым, тогда потом будет легче
отсортировать дамп и удалить из него ненужных скамерам женщин, логин и пароль –
это для того, чтобы клиент купивший базу мог проверить, что она именно с этого
датинга, email – это понятно, ради него собственно все и затевается, страна
проживания – очень немаловажный фактор в случае взлома интернациональных
датингов, и возраст. Последний параметр в принципе не обязателен, и клиенты
требуют его крайне редко. Остальное не нужно. Т.е. данные должны быть примерно в
таком виде:
Male : diver_rat : liverpool : david@burkey.f2s.com : UK : 42 :
Male : moussa : soumou : mrezig@hotmail.com : USA : 48 :
Female : jessy1234 : 12345 : simjoo1234@yahoo.com : USA : 28 :
Male : kabbsites@yahoo.com : janneh : kabbsites@yahoo.com : USA : 31 :
Кстати, для сортировки и удаления дублей в базе можешь использовать
перл-скрипт следующего содержания:
#!/usr/bin/perl
print "===================================\n";
print "= John The Ripper wordlist sort =\n";
print "===================================\n";
print "= coded by durito 30.03.2005 =\n";
print "= LwB Security Team =\n";
print "= * vlb4g * durito * M0rf * =\n";
print "= * XSPYD3X * Gotius * mosg * =\n";
print "= http://lwb57.org =\n";
print "===================================\n";
print "= 1.txt + 2.txt > 3.txt =\n";
print "===================================\n";
open(F, '1.txt');
while (defined($a=<F>))
{
chomp($a);
$k{$a}=1;
}
close F;
open(F, '2.txt');
while (defined($a=<F>))
{
chomp($a);
$k{$a}=2;
}
close F;
open(F, '>3.txt');
foreach (sort keys(%k))
{
print F $_,"\n";
}
close F;
Я когда-то давно написал его для объединения и сортировки словарей John The
Ripper, но и с нашей задачей он справится.
Переименовываешь базу в 1.txt, запускаешь скрипт, не забыв предварительно
установить ActivePerl, и на выходе получаешь отсортированный по алфавиту 3.txt.
Еще раз повторяю - если база большая, то дампить ее начинай с конца, допустим
с последних 100К записей, слил их - потом тех, кто перед ними и так далее,
во-первых это наиболее свежие юзеры, во-вторых если ресурс серьезный, то твои
действия могут быстро обнаружить и дыру залатать прежде, чем ты выкачаешь всю
базу.
Ну вот, база снята, начинается не менее трудный процесс продажи базы. В
среднем цена на датинг базы колеблется от 3$ до 10$ за 1К юзеров. Все зависит от
уровня датинга, объема базы (чем она больше, тем больше скидка клиенту), страны
и т.д.
Тут начинающего продавца поджидает пара неприятных моментов, первым из
которых является требование клиентов дать на пробу 1К-2К базы. После этого
процентов 95 клиентов пропадают навсегда. А твоя база вследствие этого теряет,
как говаривал мой учитель по труду в школе, "целкость". Поэтому мой совет, если
клиент хочет взять на пробу 1К-2К, то пусть за них заплатит. Это с одной стороны
покажет его серьезность как потенциального покупателя, с другой убережет тебя от
кидков.
Второй неприятный момент: ты продал несколько хороших баз и тут к тебе
начинают стучать челы с предложением продать их еще раз. Запомни, твоя репутация
стоит дороже нескольких пригоршней долларов, поэтому продавай базу всегда в ОДНИ
РУКИ. Это будет работать на твой имидж, который (в отличие от рекламы спрайта) в
нашем деле как раз ВСЕ. Поэтому не надо жадничать и продавать одну и ту же базу
нескольким клиентам. Тем более, что через какое-то время клиент, взявший у тебя
хорошую базу, обратится к тебе за новой.
|