Infiltration dans le tracker privé Guiks

[Anakine73]

Guiks.net, un tracker privé de téléchargement de fichiers piratés se retrouve avec ses informations dévoilées sur Internet.

Un Nfo [lien plus bas, NDR], comprenez un message dans le petit monde des contrefacteur de logiciels, films, ... [le warez] vient de faire son apparition sur la toile. Il concerne un tracker privé du nom de Guiks.net.

Le "corbeau", qui n'a pas signé son message, explique qu'il a mis la main sur la base de données de ce site privé de téléchargement de films, musique et autres logiciels piratés. L'internaute explique qu'il se promène sous le pseudonyme et le compte d'un des administrateurs depuis 2 mois "En Effet, ce jour la en fin de matinée, le site ne répondais plus, explique le pirate, Après que le site soit remis en route, un membre du staff publie une news ou il précise cela - Suite à un incident technique, nous avons dû effectuer un back up de la base de donnée.... - La réalité c'est que le staff vous a mentis. Si le site a planté, c'est tout simplement parce que je suis rentré sur le serveur de la base de données et que j'ai effacer la table des membres, d'où la nécessité de remettre un back-up."



L'intrus souleve ensuite comment il a pu mettre la main sur la base de données, les ips, les données des membres. "Soyez assurés que ce n'est pas la première fois que le staff vous ment, continue le délateur, Le staff est loin d'être ce que vous pensez, et à tous les niveaux. Petit exemple parmi d'autres : Guiks affirme répartir la charge via du 'RoundRobin DNS' sur 13 serveurs pour vous laisser croire à des besoins financiers importants. En réalité, le réseau de Guiks tourne sur 4 serveurs et il n'en faut pas plus."

Pour prouver ses dires, l'internaute a diffusé deux captures écrans de l'administration du site. "A noter la très intelligente fonction qui log toutes les ip utilisés pour seed/leech [Télécharger/diffuser], très utile pour quelqu'un qui se procure la base de données et qui voudrait faire plaisir à HADOPI par exemple. Rassurez-vous, je ne compte pas le faire." souffle l'intéressé.

A noter que cette faille semble être exploitée par pas mal de monde. Plusieurs sites web proposent de revendre des comptes de connexion appartenant à des membres de ce trackers, comme la page comptes-guiks.net par exemple. Ce site pirate qui a piraté les pirates explique dans sa page "GuiKs.Net est un tracker torrent français & privé qui est devenu le meilleur depuis la mort de SnowTigers.Net !. Il faut donc en profiter pour obtenir dès maintenant un compte sur ce superbe tracker !"

Les administrateurs viennent de répondre à cette attaque par un message interne "Nous sommes au courant de cette situation, il ne faut pas avoir peur, tout n'est pas vrai dans ce mail. Nous serons en mesure de vous en dire plus d'ici quelques jours." tentent de tempérer les responsables du site. D'aprés les statistiques fournies par Guiks.net : 90,181 membres. Données disponibles 43.370 To. Total des données téléchargées 7,226.808 To. Total des données uploadées 10,721.629 To.



Internet, même en privé ?

La copie autorisée sur son disque dur ? Plusieurs lecteurs nous ont posé la question à la suite de la lecture de ce type de message : "La loi stipule que tu peux télécharger pour stocker en externe dd mais pas pour graver ou revendre donc si on vient chez toi et que tout est dans ta disquedurthèque normalement y a pas de problèmes."

Un détail qu'il faut retenir. La copie de films, musique, logiciels sans l'accord des ayants droits est considérée comme de la contrefaçon. Sur DVD, disque dur ou sur papier, cette diffusion est considérée par la loi comme du recel de contrefaçon.


Voilà le mail que j'ai reçu:

Bonjour cher membre de Guiks.

Avant toute chose, j'aimerai préciser que mon action n'a en aucun as pour
but de vous nuire ou de prouver quoi que ce soit.
Ce mail est la pour vous inviter à réfléchir et vous fournir des
informations et des éléments de réflexion.

Beaucoup d'entre vous apprécient certainement ce Tracker pour diverses
raisons. Seulement, il est fort possible que vous ignoriez certaines choses.

En effet, si je peux vous envoyer ce mail, c'est que j'ai pu récupérer toute
la base de données du Tracker sans rencontrer de réelle opposition. En
effet, de multiples failles existent sur le site, toujours pas comblés à
l'heure actuelle d'ailleurs.
J'ai pu également me balader sur le site pendant plus de 2 mois avec le
compte Admin (Meskalyn) sans jamais que cela ne soit remarqué, jusqu'à.....
Mercredi dernier
En Effet, ce jour la en fin de matinée, le site ne répondais plus. Après que
le site soit remis en route, un membre du staff publie une news ou il
précise cela :

"Suite à un incident technique, nous avons dû effectuer un back up de la
base de donnée...."

La réalité c'est que le staff vous a mentis. Si le site a planté, c'est tout
simplement parce que je suis rentré sur le serveur de la base de données et
que j'ai effacer la table des membres, d'où la nécessité de remettre un
back-up.

Soyez assurés que ce n'est pas la première fois que le staff vous ment. Le
staff est loin d'être ce que vous pensez, et à tous les niveaux.

Petit exemple parmi d'autres : Guiks affirme répartir la charge via du
'RoundRobin DNS' sur 13 serveurs pour vous laisser croire à des besoins
financiers importants.

En réalité, le réseau de Guiks tourne sur 4 serveurs et il n'en faut pas
plus.

Le but d'un réel Roundrobin DNS, c'est de répartir la charge d'un serveur
sur des machines distinctes.
Le principe est simple, il s'agit de fournir plusieurs IP pour la même
entrée DNS.
Le client choisira alors de lui-même une de ces IP au hasard.
C'est ce hasard qui répartira la charge entre les différents serveurs
renseignés.

C'est la dernière étape d'une répartition de charge, bref, c'est une
technologie adapté à Google et non pas à Guiks ^^

Voici un résumé de la configuration DNS du domaine guiks.net

:

guiks.net

. IN A

guiks.net

. 86400 IN A 85.17.253.14

guiks.net

. 86400 IN NS julie.guiks.net

.
guiks.net

. 86400 IN NS marie.guiks.net

.
guiks.net

. 86400 IN NS audrey.guiks.net

.
guiks.net

. 86400 IN NS rachel.guiks.net

.

julie.guiks.net

. 86400 IN A 85.17.177.133
marie.guiks.net

. 172779 IN A 91.121.136.132
audrey.guiks.net

. 86400 IN A 85.17.253.14
rachel.guiks.net

. 86400 IN A 94.23.35.210
rachel.guiks.net

. 86400 IN AAAA 2001:41d0:2:24d2::1111

On devrait voir:

guiks.net

. 86400 IN A 85.17.253.14
guiks.net

. 86400 IN A x.x.x.x
guiks.net

. 86400 IN A x.x.x.x
guiks.net

. 86400 IN A x.x.x.x

Pour faire une rotation.

Mais je ne voudrai pas continuer ce mail sans fournir de preuves, cela
serait incorrect. Voici donc deux screens , un du panel admin et l'autre du
compte de l'admin.









A noter sur le deuxième screen, la très intelligente fonction qui log toutes
les ip utilisés pour seed/leech, très utile pour quelqu'un qui se procure la
base de données et qui voudrait faire plaisir à HADOPI par exemple.
Rassurez-vous, je ne compte pas le faire.
Et comme je suis beau joueur, j'ai caché la fin des deux ip de notre cher
admin.

Vous n'êtes donc absolument pas en sécurité sur Guiks, malgré le SSL et
toute la communication autour de la pseudo-compétence du Staff qui cherche à
vous endormir à coup de belles phrases.

Après mon attaque de mercredi dernier, l'admin a réagit en comblant quelque
faille, mais dans la minute qui suit ce mail je suis en mesure de récupérer
une nouvelle fois la base de données.
Posez vous la question de savoir que ferait quelqu'un de mal attentionné
avec emails, ip etc

Cela veux également dire que je suis capable de me connecter avec n'importe
quel compte du site à n'importe quel moment, entre autre exemple, ou de
distribuer les comptes à n'importe qui.

Comme je vous le dis, je ne compte pas utiliser cette base de données contre
vous, je souhaite simplement vous avertir sur les risques d'utilisation du
site que le staff de Guiks vous font courir inutilement avec des failles
dignes de noobs et qu'ils passent sous silence.

J'aurai juste une question à poser au Staff de Guiks avant de finir mon mail
: quel mensonge allez-vous maintenant fabriquer pour tenter de tromper une
fois de plus vos membres ?
A mon avis cette-fois , le poisson ne pourra être noyé.

Merci d'avoir pris le temps de lire mon mail, et à bientôt pour un nouvel
épisode.

[globul]

Olala, ça craint vraiment!!! qui plus est, si le staff n'arrive même pas à se protéger efficacement lui même en laissant de telles failles, il est vraiment irrespectueux envers les utilisateurs et par les temps qui courent, franchement ça frisse l'inconscience. Déplorable!!

[deobs]

et moi qui désespère d'intégrer ce tracker

[chris06]

:shock:
et moi qui désespère d'intégrer ce tracker

Il y a Mamie Tracker aussi :

http://www.mamietracker.com/account-signup.php

et Itoma aussi :

http://www.itoma.info/tracker/index.php

Peut_être moins connus, mais tout aussi "à jour"...

[kobe24]

:shock:
et moi qui désespère d'intégrer ce tracker

Il y a Mamie Tracker aussi :

http://www.mamietracker.com/account-signup.php

et Itoma aussi :

http://www.itoma.info/tracker/index.php

Peut_être moins connus, mais tout aussi "à jour"...

thanks chris pour les liens (ça fait un peu balisé cette histoire "guiks" ).

Quid des ratios sur ces sites là ? (si jamais tu sais, car bon c'est jamais dit avant l'inscription).
Merci

[dd2024]

Quelques news sur leur blog :

Mise au point

Bonjour,

Comme l'annonce le mail, que certains d'entre vous ont reçu, nous vous devons des explications.

En effet le back up de mercredi dernier a été fait suite à un hack de la table des users, cette personne ayant supprimé les comptes le back up s'imposait, nous ne pouvions pas vous le dire mercredi car nous devions faire des recherches.

En effet comme sur tout site il y a des failles, nous en avons trouvé certaines, mais bien sur pas toutes. Pour celà nous allons avoir besoin de certains d'entre vous pour nous aider à les trouver.

Nous voulions vous l'annoncer vendredi, mais avec la polemique sur la disparition d'un tracker, nous avons decidé de vous annoncer ça plus tard, le timing étant ce qu'il est nous avions decidé de vous l'annoncer en debut de semaine prochaine lors du retour de Meskalyn, mais nous le faisons aujourd'hui.

Cependant le mail recu ne dit pas toute la verité comme vous vous en doutez.

Pour votre securité comme le souligne un post sur le forum, il faut que vous securisiez vos mot de passe, ne pas mettre le même partout...

Vous aurez donc comme il était prévu des informations ultérieurement, mais nous n'agirons pas sous la pression.

Posté le 09/06/2009 à 17:35 par djoule

comme promis des informations

Bonjour,

Notre "ami" hacker s'est un peu fait repérer par certains. Certains membres l'ont déjà reçu, une personne s'identifiant comme "un ami qui vous veut du bien" a envoyé dans laprès-midi un mail depuis le mailer du hacker. Ce mail contenait en fin un lien de "désinscription" de la mailing list du hacker.

NE CLIQUEZ PAS SUR CE LIEN.
Ce lien ne fonctionne dorenavant plus. Le hacker ayant verouillé cet acces a sa base de donnée. Cependant certains vont etre tenté de vouloir se désinscrire en utilisant leurs identifiants Guiks.

LE STAFF NE VOUS DEMANDERA JAMAIS VOS IDENTIFIANTS VIA UN LIEN EXTERIEUR A GUIKS.

Nous vous invitons, donc à ne pas cliquer sur ce lien, et à ne pas indiquer vos identifiant Guiks sur ce lien.

Ensuite pour revenir un peu sur le hack (et certaines des informations devoilées)

Il n'a jamais été dit que le site tournait sur plusieurs serveurs, en round robin. Il n'y a qu'un serveur www (pour le moment, voir les schémas de la structure)

Nous sommes en train de continuer nos recherches, à la fois de l'origine du hack et des failles éventuelles (car il est probable qu'il en reste plusieurs, le CMS utilisé n'étant pas infaillible)

Pour ceux qui ne sont pas content, qui ont peur, qui pensent que le staff de Guiks est pourri jusqu'à la moelle par les dons, vous pouvez toujours aller ici : https://www.guiks.net/account-delete.php

En vous remerciant de votre lecture

edit djoule: nous etions entrain de rediger ce billet lorsqu'un lien pointant vers des infos personnelles sur des comptes d'utilisateurs a été devoilé.

Puisque Visiblement personne ne semble me croire concernant le base de données je fourni quelques preuves
Dommage d'en arriver la...
PS : le deuxième mail de phishing n'est pas mon oeuvre...je le re précise, je veux juste vous avertir....
Nous vous croyons, vous nous l'avez demontré qu'il y avait une/des faille(s) et que vous aviez (eu) acces à la base de donnée. Pour le phishing, vous comprendrez que ne sachant pas les intentions nous preferons prevenir les membres, comme vous le dites aussi si cela ne vient pas de vous nous ne savons pas à qui cela peut profiter et il serait dommage que les membres en souffrent encore plus.

ps: suite à un probleme de ma part le billet prcedent sera supprimé

Posté le 11/06/2009 à 00:16 par djoule

[dd2024]

Et encore une news de Zataz :

Données privées du tracker Guiks diffusé sur la toile

Le pirate du tracker Guiks.net diffuse sur Internet de nouvelles informations concernant les administrateurs de ce site diffuseur de contrefaçons.

Nous vous relations, il y a quelques jours, de la diffusion sur Internet d'un fichier relatant l'intrusion dans la base de données du tracker privé Torrent, Guiks.net. Un site qui permet de télécharger films, logiciels et autres disques piratés.

Le visiteur souhaitait ainsi montrer aux utilisateurs de ce site très privé que la base de données (ip, pseudos, eMails, ...) étaient accessibles a qui savait la chercher. Pour attenuer la chose, les administrateurs ont expliqué qu'il n'en était rien.

Le "corbeau" a donc réitéré sa démonstration "Puisque Visiblement personne ne semble me croire concernant la base de données, explique-t-il sur un site crée à cet effet, Je fournis quelques preuves. Dommage d'en arriver là."



Le hacker affiche les comptes de plusieurs utilisateurs (VIP, moderateur et uploader) avec leurs IP de connexion (Numericable, Neuf Télécom, Belgacom, Free, ...), leurs âges, leurs eMails, les dons, .... Des informations qui pourraient permettre aux chasseurs de pirate de remonter à ces personnes importantes pour le fonctionnement de ce tracker.

Puis encore un mail reçu :

Suite au Fake Mail

Bonjour,

Je vous écrit depuis l'interface de notre cher amis le "grand" hacker de
guiks!

Comme quoi il n'est pas si "grand" que ça vue que j'ai pu remonté facilement
jusqu'à son phpmaileur.

Quelques informations sur notre super hackeur!

L'IP qui à soumis l'email est la suivante : 70.52.93.143

On avons donc à faire à un "cousin" canadien!

Dans tous les cas, je laisse au staff le soin de vous expliquer se qui c'est
RÉELLEMENT passé, mais ne croyez pas tout se qui peux vous être raconté par
un pseudo hackeur en manque de reconnaissance cybernétique.

Chaque site a ses failles (même la NASA c'est fait hacké!), ça permettra au
staff de se recentré sur la correction des failles.

Dans tous les cas je vous dit : LONGUE VIE A GUIKS!

Cordialement,
Un amis qui vous veux du bien

[dd2024]

Ce qui est bizarre dans cette histoire c'est que l'on sait pas qui croire lol entre le hacker et l'équipe du tracker... l'admin Meskalyn à l'air d'être absent pour le moment, il y a aura certainement d'autres explications encore

Le site a était victime de failles comme pas mal de tracker torrent qui utilisé le même soft, c'est pour ça qu'il faut avoir un mot de passe et email différent pour chaque service et site internet

Avec l'affaire de Snowtigers, on sent que les trackers torrent (privé et semi-privé) français sont plus intouchable, et c'est assez surprenant car avec la loi HADOPI on pensé justement a cette solution pour télécharger tranquillement

Pensez à créer des comptes sur les autres trackers torrent avant que tous passe en privé :

http://www.forum-des-oranges.fr/viewtopic.php?f=14&t=15489

[chris06]

Quid des ratios sur ces sites là ? (si jamais tu sais, car bon c'est jamais dit avant l'inscription).
Merci

ITOMA

Code: Tout sélectionner

A partir du momment où un nouveau torrent est uploadé sur le tracker, certains membres ont une période de temps d'attente avant de pouvoir le télécharger.
Ce temps d'attente n'affecte que les membres avec un mauvais ratio, et les membres avec un total uploadé bas.

Ratio en dessous de 0.20   et/ou upload en dessous de 1.0GB   attente de 12h
Ratio en dessous de 0.40   et/ou upload en dessous de 2.0GB   attente de 6h
Ratio en dessous de 0.60   et/ou upload en dessous de 4.0GB   attente de 3h
Ratio en dessous de 0.75   et/ou upload en dessous de 6.0GB   attente de 1h

"et/ou" signifie l'un, l'autre ou les deux. Votre temps d'attente sera le plus long pour ceux qui ne remplissent pas au moins une condition.

Ceci est aussi appliqué aux nouveaux membres, donc creer un nouveau compte ne servira rien. Vous pouvez télécharger le torrent et attendre, le download demarera automatiquement une fois le temps d'attente terminé.
Ce temps d'attente ne s'applique pas au cas ou vous auriez deja le fichier et que vous vous mettiez en seeder.

Pour Mamie Tracker, j'ai plus de compte actif...

Reste aussi SmartTorrent, Torrent411, The Pirate Bay, Reload paradise, etc...

Edit : comme DD...

http://www.forum-des-oranges.fr/viewtopic.php?f=14&t=15489

[kobe24]

merci dd et chris pour vos comm' (le problème de s'inscrire "partout" c'est que notamment chez itoma, il me semble avoir lu que si tu dl rien sur leur tracker dans une période d'1 mois, ton compte était supprimé , et si faut dl chez tout le monde en même temps, ça va être chaud de tenir un ratio )

EDIT : bon voilà, inscrit chez mami et itoma, pour les 2 faut avoir au moins un ratio de 1 (c'est en tout cas ce qu'indique le mp de "bienvenue")
Bon de toute façon c'est pas ce que je prend sur des tracker pv, juste des séries vf que je trouve pas sur mininova (et comme de moins en moins d'up fr chez eux ). Le ddlsearch.free.fr pour ce qui est up sur http, mais je dois être une quiche, car j'ai jamais rien trouvé grace à ce moteur de recherche. Bon bref, je vais faire tourner les 3-4 (si en plus j'ajoute pm5 et guiks que je sais pas trop si je vais continuer) et j'espère que ça le fera

bonne soirée

[deobs]

bon ben mamie tracker et torrent411, me voici, merci chris06
sinon suis déjà sur smartorrent et mininova

[blux]

les memes failles sur Reload-Paradise et torrent411

http://www.zataz.com/news/19142/torrent411--reload-paradise--tracker-torrent--faille.html

Suite au chambard que ce "haker" a provoqué sur guiks, des discussions sont en cours quand à la fermeture du site, qui pourrait avoir lieu lundi.

[chris06]

c'est un groupe qui se font appeler "les sanguinaires", ils essayent de faire tomber la majeur partie des plateformes de telechargement, principalement sur les boards, mais d'autres officient sur les TK

C'est ce genre d'infos qui me gênent un peu plus...

[Small@]

oui , ça fait un peu peur ..d'autant plus que les "Sanguinaires " officient depuis un moment ...

JANVIER -2007

Une groupe de défaceurs français, baptisé les Sanguinares, s'attaque aux sites dédiés aux échanges de contrefaçon.

Ils signent sous les pseudos de HuG-Daemon Killer-x64. Ces pirates de sites Internet français modifient des sites francophones dédiés aux warez. Les sites modifiés ne sont pas de la vraie scéne warez, mais des internautes qui s'échangent, voir se revendent des copies de films, logiciels, mp3, ...

Les pirates "sanguinaires" ont signé une vingtaine de modificiations : freedom-board, platinium3, thebestofwarez, mcsteale, miniz-webmaster, alienwarezone, AWL, monster-warez, MWtest, zoneddl, rencontrego, SharingBoard, oboard. Le site "Les Sanguinaires" depuis, ne fonctionne plus non plus !

On ne connait pas les motivations de ce groupe. Concurrence ? Nettoyage de printemps ?

Update 10/01/2007 - 18:30 : Nous avons reçu un mel des "Sanguinaires", voici ce qu'ils expliquent. "Déjà voici une liste des Forums hackés au nom de notre Team : thebestofwarez - Tassadar - Xtrem-Board - Strafed-Area - ZoneDDL - Neo Board - McStealer'Box - AlienWareZone - Monster-Warez - Singe-Warez - Platinium - Freedom-Board. (...) MWtest et AWL étaient simplement des dossiers de miniz-webmaster, nous avons aussi mis notre index de hack dans ces dossiers mais il n'y avait pas de forums dans ces dossiers. ZoneDDL est une board que nous avons hackés, certains l'appelent zoneddl, d'autres sharingboard mais c'est la même. La plupart ont étaient hackés pour leech ou abus de warezien (on appelent ça comme ça nous, ils vendent des copies de jeux/films/musiques qu'ils ont piqués sur d'autes sites). (...) Nous installons une nouvelle distribution linux sur le serveur dédié hèbergeant notre site, voici donc pourquoi le site n'est plus accesible depuis hier-soir. Nous n'avons pas de Boards de Warez donc ces boards ne nous faisaient surement pas de concurences !"

Et derniere news sur Korben

Fedbac ferme ses portes

http://www.korben.info/fermeture-de-fedbac.html

[jarod10]

oula c'est chaud ca me donne a réfléchir
je suis sur les deux tracker
je fait bien de ne plus trop utilise mais il vont me maque s'il il arrête
j'utilise http://stealthnet.de/fr_index.php et c'est aussi bien que la mule c'est pas sécurise a 100%
MAIS c'est crypter en partie

Code: Tout sélectionner

Features

    * Swarming
    * Downlad Resuming permettant la reprise des téléchargements interrompus
    * Ajout des fichiers/dossiers à partager en temps réel
    * Support multi-langues
    * Filtres pour les recherches selon le types de fichiers
    * Chiffrement point-à-point du traffic avec Advanced Encryption Standard (AES)
    * Hachage sécuritaire des fichiers moyennant l'algorithme SHA-512
    * Utilisation simple même pour les débutants
    * Téléchargement multi-sources
    * Mesures contre le flooding évitant que le réseau puisse être saboté par l'inondation par des paquets inutiles p.ex.
    * Client sous forme d'un interpréteur de commandes pour les systèmes avec support pour Mono, comme Linux, OSX, etc.



est ya de plus en plus de monde dessus