Doxbin.org, shenron.su, lizardsquad - Recherche Dump

Dieses Thema im Forum "Offtopic" wurde erstellt von Krim, 12. Januar 2019.

  1. Krim

    Krim Ist nicht Krim Teamsklave

    Beiträge:
    4.067
    Punkte für Erfolge:
    118
    Hier ein paar kleinere Notizen für jemanden, der eventuell weiteres Interesse hat genauere Informationen zum aktuellen Betreiber von doxbin.org aufzubauen. Ich kann die Recherche leider nicht vollenden, da mir einfach die Zeit fehlt. Eventuell ist dies jedoch für jemand anderen Interessant.

    doxbin.org wurde am 30.03.2018 erneut registriert und versteckt sich hinter dem CDN Cloudflare. Hierbei wurden nicht so viele Kardinalfehler begangen, welche den Inhaber sofort identifizieren lassen würden. Trotzdem ist dies von einer spurlosen und datenschutztechnisch professionellen Registration weit entfernt. Die Domain doxbin.org wurde zuvor einige Male zum Verkauf angeboten.

    Das die Portale doxbin.org und dox.sx Schwesterseiten zu sein scheinen, ist aus der Veröffentlichung der Badischen Zeitung ersichtlich. Dies ist zu vermuten anhand der Weiterleitung, welche in diesem Thread erläutert wurde. Des Weiteren gibt der derzeitige Administrator im Interview an, zuvor bei dox.sx tätig gewesen zu sein. dox.sx und dessen Inhaber ist bereits in der Vergangenheit durch die SZ beleuchtet worden. Quelle

    Der Server, welcher hinter doxbin.org steht, liegt mit großer Wahrscheinlichkeit in Deutschland, da das Gateway Frankfurt/Main von Cloudflare Verwendung findet.

    Doxbin nutzte zuletzt die DNS jake und may von Cloudflare, es gibt mindestens 172 weitere Domains, welche diese Kombination verwenden. Ins Auge fällt hierbei die Domain shenron.de, welche automatisiert auf shenron.su weiterleitete. shenron.su verwendete ebenfalls die selben Cloudflare DNS. In der verlinkten Historie wird ersichtlich, dass die Namensserver von shenron.su Ende 2017 von sharon und arch zu jake und may geändert wurden. Die Kombination sharon und arch werden aktuell auf den Domains von Janomine verwendet (darunter auch die Domains loeschdich.de / löschdich.de) und wurden auch auf lizardsquad.su sowie der alternativen Domains von dox.sx (Privatsphäre.com, Privatsphäre.de, dox.ninja, dox.host) eingesetzt. Ebenso wurde sharon und arch auf der Website kiteseven.com als Namensserver hinterlegt, welche in der Vergangenheit von Jan Schürlein (Laut einer E-Mail von ihm angeblich durch einen seiner Freunde, was hiermit sehr unwahrscheinlich ist) als "Racheaktion" registriert wurde.

    Die Nutzung der selben Nameserver, welche von Cloudflare spezifisch für einen Account vorgegeben werden, gilt als Indiz für eine direkte Verbindung / Nutzung des selben Cloudflare Benutzeraccountes. Da dies aber auch ein Zufall sein kann, ist dies für sich alleine nichts aussagend.

    Die Domain shenron.su stand im Zusammenhang zu einer Gruppe "Lizard Squad", welche Dienstleistungen wie "Phonebomber" (Telefonterror) und "Lizardstresser" (DDoS) im Jahr 2015/16 gegen Bitcoins angeboten haben. Diese haben die Domain 2015 offiziell verloren - und ging 2016 endgültig offline, um am 27.04.2017 von einem neuen Besitzer registriert zu werden. Ebenso wurde die Domain Lizardsquad.su am 25.02.2017 registriert. Die Domain shenron.su wurde seitdem für "Leaks" (darf man eigentlich wirklich nicht so nennen) aus dem Minecraft Umfeld verwendet. Beispiel. Ebenfalls auf der Domain waren einzelne Doxing Einträge hinterlegt. Beispiel Aufgrund des Titels und den Inhalten der Hauptseite (Shenron - Bulletproof DDoS Protection) wurde vermutlich geplant einen Anti-DDoS Dienst auf der Domain zu etablieren. Es ist unbekannt, ob eine Impersonifizierung der Gruppe "Lizard Squad" geplant wurde, ein direkter Zusammenhang zum originalen Lizard Squad wirkt sehr unwahrscheinlich, da LizardSquad Ende 2015 angekündigt hat die Domain shenron.su nicht mehr nutzen zu wollen.

    Die Domains shenron.su und lizardsquad.su können unabhängig der anderen Indizien über einen WhoIs Resolving Dienst direkt mit der Domain janomine.de in Korrelation gebracht werden. Quelle , Offtopic - Subquelle.


    Es gibt einen Fehler, durch welchen eine öffentliche IP des doxbin.org Servers ermittelt werden kann. Auf diesem sind diverse Dienste aktiv.
    Doxbin.org läuft auf einem Apache Webserver - Version 2.4.34 und nutzt Ubuntu als OS, die Applikation auf doxbin.org wurde mit dem Framework Laravel sowie dem Plugin von Laravel.io - Pastebin realisiert. Die Pfadstruktur ist leicht fehlerhaft und das Projekt ist nicht korrekt im Apache eingebunden. Der Administrator des Webservers ist zur Zeit aktiv, da ein Update von Apache 2.4.29 zu 34 in den letzten paar Stunden durchgeführt wurde.

    Dies sind die Daten, welche ohne große Bedenken veröffentlicht werden konnten. Es würde mich freuen, wenn jemand anderes dort weitermachen könnte, wo ich aufgehört habe.
     

    Anhänge:

    Zuletzt bearbeitet: 13. Januar 2019
  2. Krim

    Krim Ist nicht Krim Teamsklave

    Beiträge:
    4.067
    Punkte für Erfolge:
    118
    Dump von weiteren Anhängen - für den unwahrscheinliche Fall, dass archive.today ausfallen sollte.
    Bitte keine Anfragen, dass ich selber weiter machen solle. Mehr als drei Stunden kann ich für so etwas nicht investieren.
     

    Anhänge:

    Zuletzt bearbeitet: 13. Januar 2019
  3. Yue

    Yue Neuling

    Beiträge:
    2
    Punkte für Erfolge:
    3
    Doxbin Owner:
    Jan Schürlein

    Die TOS hat schon erste Hinweise auf eine Verbindung mit dos.sx gegeben und nachdem wir seine Daten mehrmals re-postet haben (ja re-postet, die Beiträge wurden nehmlich immer wieder gelöscht, obwohl die Terms of Service eine Entfernung durch dritte ausschließt) ging die Doxbin Seite heute Nacht offline.

    #edit mittlerweile wieder online jedoch werden Beiträge mit den Wörtern janomine, black protect, hohenloher straße von der Seite geblockt.
     
  4. TheOriChau

    TheOriChau Administrator Teamsklave Aktiver Benutzer

    Beiträge:
    4.523
    Punkte für Erfolge:
    83
    Klingt naheliegend ABER die Frage aller Fragen stellt sich da noch ob es auch handfeste Beweise dafür gibt.
    Das einzige was dafür spricht sind Indizien aber wir brauchen dafür schon mehr.

    MfG
    Ori
     
    Zuletzt bearbeitet: 23. Januar 2019
  5. g-puz

    g-puz Neuling

    Beiträge:
    1
    Punkte für Erfolge:
    1
    Off, probably bc of me :eek:
     

    Anhänge:

  6. TheOriChau

    TheOriChau Administrator Teamsklave Aktiver Benutzer

    Beiträge:
    4.523
    Punkte für Erfolge:
    83
    Ich habe mich gerade echt gewundert da Doxbin permanent Down zu sein scheint.
    Auch darüber das gewisse Pastebins sind gelöscht worden. Hat man da etwa einen Antrag gestellt?
    Ich habe mich dann mal rangesetzt und geschaut um was für Pastebins es sich gehandelt hat. Auffällig war das es Pastebins einer bestimmten Person waren und das Pastebin über den Dox von Doxbin.
    Es gibt da ja einige Seiten für archive wer sich das auch mal ansehen will.
     

    Anhänge:

    Zuletzt bearbeitet: 23. Januar 2019
  7. Krim

    Krim Ist nicht Krim Teamsklave

    Beiträge:
    4.067
    Punkte für Erfolge:
    118

    Aufgrund einer Presseanfrage wurde ich gebeten, behauptungen in diesem Forum zu verifizieren.
    Doxbin.org sperrt tatsächlich Einträge, welche das Wort janomine enthalten. Die anderen Behauptungen seitens Yue (Sperren der Adresse, des Namens oder der Firma) können von mir nicht bestätigt werden.
     
  8. Yue

    Yue Neuling

    Beiträge:
    2
    Punkte für Erfolge:
    3
    [​IMG]

    Sein Name und die anderen Begriffe waren Mitte der Woche noch gesperrt, ist aber anscheinend zu auffällig gewesen und man hat es wieder aus der Blacklist entfernt (oder wie kamen die ganzen J4n posts zustande?).
    Nächstes mal besser informieren oder einfach mal nachfragen - das Video war btw auch komplett unnötig.
     
    Krim gefällt das.
  9. Krim

    Krim Ist nicht Krim Teamsklave

    Beiträge:
    4.067
    Punkte für Erfolge:
    118
    Video wurde nicht wegen dir/euch erstellt, sondern auf Nachfrage von der Presse. Hier braucht es handfeste Beweise um sich rechtlich abzusichern. Eine Aussage einer Person in einem Forum ist da nicht ausreichend. Darum die etwas "eigenartige" Aufmachung des Videos mit Beleg über DNS, Uhrzeit und Client-Maschine. Die Tatsache aber, dass der Begriff janomine gesperrt wird, ist doch schonmal ein klares Zeichen...

    Auf einigen Seiten von Jan Schürlein (löschdich.de als Beispiel) wird der Name "janomine" ebenfalls blockiert, bzw. es folgt eine Weiterleitung auf sein Twitter. https://web.archive.org/web/*/loeschdich.de/janomine
     
    Zuletzt bearbeitet: 28. Januar 2019
    Yue gefällt das.
  10. reingard67

    reingard67 Guest

    Beiträge:
    11
    Punkte für Erfolge:
    1
    Cool, Danke!
     

Diese Seite empfehlen