Share-Online.biz - Auswertung der Ermittlungsbehörden dauert an

Kommentare zu folgendem Beitrag: Share-Online.biz - Auswertung der Ermittlungsbehörden dauert an

Die Server-Struktur scheint so am Leben gehalten worden zu sein:

Registrar Info:

NameNameCheap, Inc.
Whois Server: whois.namecheap.com
Referral URL: http://www.namecheap.com
Status ok: https://icann.org/epp#ok

Important Dates:

Expires On2022-01-13
Registered On2007-01-14
Updated On2019-10-17

Name Servers:

dns1.registrar-servers.com156.154.132.200
dns2.registrar-servers.com156.154.133.200

share-online.biz
partner.share-online.biz
img.share-online.biz
mail.share-online.biz
images.share-online.biz
api.share-online.biz
dlw458-1.share-online.biz
dlw433-1.share-online.biz
dlw447-1.share-online.biz
dlw306-2.share-online.biz
dlw446-1.share-online.biz
dlw379-2.share-online.biz
ftp1.share-online.biz
ftp2.share-online.biz
ftp3.share-online.biz

www.share-online.biz
api.share-online.biz
mail.share-online.biz
img.share-online.biz
smtpmail.share-online.biz
ww.share-online.biz
hosting.share-online.biz
goedbegin.share-online.biz
help.share-online.biz
math.share-online.biz
b.share-online.biz
album.share-online.biz
stage.share-online.biz
beta.share-online.biz
maps.share-online.biz
newfoundland.share-online.biz
stats.share-online.biz
data.share-online.biz
if.share-online.biz
f.share-online.biz

• www.share-online.biz 51.38.98.97 145.239.245.144 104.20.161.16 …
• api.share-online.biz 51.38.98.97 145.239.245.144 104.20.160.16 …
• mail.share-online.biz 188.165.37.85 178.33.228.106
• img.share-online.biz 192.64.119.254 104.20.161.16 104.20.160.16 …
• smtpmail.share-online.biz 192.64.119.254
• ww.share-online.biz 192.64.119.254
• hosting.share-online.biz 192.64.119.254

abuse@share-online.biz
helpdesk@share-online.biz
protecpro@share-online.biz

Die aktuellen Download-URLs, zum Zeitpunkt des Bust, sind alle noch vorhanden - hier ein paar Beispiele (die ganze Liste hier zum Download, da wohl einige zusammenkamen!):

http://share-online.biz/dl/V3N0Q2PNWI
http://share-online.biz/dl/ABRUQ2PNAC
http://share-online.biz/dl/RVD44OHPZPL4
http://share-online.biz/dl/6LRH4OHPZU
http://share-online.biz/dl/O6YH4OHPPB
http://share-online.biz/dl/L1MG4OHPLTU8
http://share-online.biz/affiliate/323237383633343B3039323432333333313132
http://share-online.biz/dl/01RN4OHPYC
http://share-online.biz/dl/TWY1AOHPL1
http://share-online.biz/dl/4LIR6OHPCVE
http://share-online.biz/dl/H8EL5OHPEDJ
http://share-online.biz/dl/FLR9ACIOV7J
https://share-online.biz/affiliate/323838303338313B53656261737469616E31393839313031
http://share-online.biz/dl/HAM48OHPFX
http://share-online.biz/dl/V4NP5OHP13GV
http://share-online.biz/dl/L29QHOHP5W
http://share-online.biz/dl/7ACOR2PNIP02
http://share-online.biz/dl/P10OAOHPM21
http://share-online.biz/dl/SZZNAOHP6E
http://share-online.biz/dl/SOVJS2PNCGY
http://share-online.biz/dl/M50OAOHP5K
http://share-online.biz/dl/8RJET2PNZO1Z

HIER DIE KOMPLETTE LISTE - 29.07.2021

ALTERNATIVER DOWNLOAD - 21.09.2021

Ja, aber wieso klemmt man das nicht komplett vom Netz ab?

Thats the question?

Die letzten Zugriffe auf den Server in diesem Jahr fanden statt:

• 2021-01-30 11:01:14 (Zugriff ZAC NRW)

• 2021-03-21 19:23:57 (3x)

• 2021-04-21 13:14:00 (6x)

• 2021-05-03 11:57:58 (2x)

• 2021-05-07 05:33:04 (16x)

Vielleicht hat man nicht abgeschaltet, um die Infrastruktur abbilden zu können?
Bei einem Zugriff wurde folgender Eintrag hinterlassen:

share-online.biz - Diese Webseite wurde gesperrt! / This website has been closed! 2021-01-30 - 2021-07-26 ZAC.NRW ( http://zac.nrw/ )

man ist jetzt genauso schlau wie vorher

Genauso, wie das ZAC!

Wir alle müssen uns halt noch länger gedulden. Ich erkundige mich in 6 Monaten erneut und hoffe, dass dann mehr Klarheit besteht.

Ich hatte glaube 3 mal für 30 Tage einen Premiumaccount und bin eigentlich auch immer ein ziemlicher Pechvogel.
Hoffen wir mal, dass das alleine nicht auch schon unter Strafe gestellt wird.

Nur einen Premium Account zu haben, war noch bei keinem Hoster eine Straftat…

Wenn man sich die Arbeit machen würde, ihm die entsprechenden Downloads nachzuweisen, dann schon. Aber mein Gott. Die haben wahrlich anderes zu tun, als die Downloader zu verfolgen. Da würde ich mir keine Gedanken machen als reiner Downloader. Die sind bei der Masse an Daten froh, wenn sie die Taten der Hauptverdächtigen und vielleicht der 10 aktivsten Top-Uploader beweisen können, wenn überhaupt. Ob die Uploader auch dran sein werden, steht ja noch nicht zu 100 Prozent fest.

Protonmail hat schon heimlich Daten von Klimaaktivisten aufgezeichnet, wenn Behörden nett fragten.
Ein angebliches No-Logs unternehmen was angeblich keine Daten speichert, wer weiß wo sie überall noch was gespeichert haben von dem nen User nichts weiß.

Und IP-Adressen brauch man ja nun nicht unbedingt, bei Uploadern reicht schon aus 1x nen Fehler bei der Auszahlung gemacht zu haben. Bei kleinen Uploadern wird die 10€ im Monat verdient haben wird da sicherlich auch nichts kommen, aber bei großen Fischen haben die Behörden noch Zeit.

Und was Downloader angeht da könnten sie auch anhand der Zahlungsdaten ran, werden sie aber kaum. IP-Adressen brauch man wenn Geld fließt solange es rüclverfolgbar ist ohne großem Aufwand (Bank, PayPal) nicht. Und ja auch Amazon Gutscheine wären bei Auszahlungen zb. auch nachverfolgbar.

Gibt ja genug Genies, die sich die ganze Kohle von den OCHs direkt aufs eigene Bankkonto überwiesen haben. Wer weiß, vielleicht wird das noch richtig interessant und es gibt ein paar Busts.

Die werden sich bei der Masse an Daten auf ein paar wenige Power-Uploader konzentrieren, denke ich mal.

Die können nur versuchen, der Spur des Geldes zu folgen.

Wer sagt dir denn, dass die damals nicht schnell waren? Nur weil sich die ganze Ermittlungsarbeit immer noch hinzieht, heisst das doch nicht, dass die wichtigen Arbeiten anfänglich nicht gemacht wurden!
Und selbst wenn, wie du sagst, 80% der IPs nun unbrauchbar wären, reden wir doch immer noch von hunderttausenden Adressen, welche brauchbar wären, nach deiner Definition!

Was viele auch gerne vergessen → Die Ermittlungsarbeiten der Behörden, haben ja lange vor dem Bust angefangen! Was dort momentan gemacht wird, ist die Auswertung aller Daten, also Daten von vor und nachdem Bust

@anon99429401
Wieso hast du jetzt alle Beiträge gelöscht??
Ist das die berühmte deutsche Diskussionskultur, seine Aussagen zu löschen, wenn man Gegenwind bekommt??
Verstehe ich beim besten Willen nicht!

Stell die doch wieder her ^^

Och nööö…hinterher muss ich wieder Tränen trocknen!

Sie hätten schnell sein müssen?

Die haben im VORFELD über viele Monate hinweg ermittelt und nicht erst ab dem Moment, als man Share-Online vom Netz genommen hat.

Die langsame aber auf Sicherheit bedachte Ermittlungstaktik hat letztlich der GVU den Hals gekostet. Deren Kunden waren auf schnelle Ergebnisse aus. Und die gibt’s bei strafrechtlichen Ermittlungen nur in den seltensten Fällen. Die wollen es wenn dann hieb- und stichfest machen und wissen, dass die meisten Täter ihnen nicht weglaufen werden.

Etwas (sehr) late to the party, aber:

Das mit dem Nachweisen von Downloads könnte tatsächlich gar nicht mal so schwierig sein.

Angenommen, auch wenn in der SO-Software selbst nichts geloggt wurde: Um als Premiumnutzer eine Datei zu laden, haben Software wie JDownloader, pyLoad und co. die API unter „api.share-online.biz“ benutzt. Ein entsprechender Download-Request bestand aus einem relativ simplen HTTP GET, welches als Parameter Nuzernamen, Passwort und die ID der zu downloadenden Datei hatte. Daraufhin gab’s ne URL samt Token zurück, die auf den jeweiligen Downloadserver verwiesen hat.

Siehe z.B. hier unter der Funktion handle_premium. Das ist die (jetzt ehemalige) Implementierung um von SO via pyLoad runterzuladen. JDownloader macht’s iirc ähnlich, nur ist der Code da deutlich mehr Spaghetti.

Wenn die jetzt auf ihrer API eine access.log (wenn vielleicht auch mit Logrotation) durch den Webserver schreiben haben lassen, würde das bedeuten, dass sie neben Nutzername und Datei sogar Passwörter mitgeloggt hätten. Solche access logs werden normalerweise per default erstellt, es sei denn, jemand schaltet das explizit aus.

Wären dann halt wirklich tausende (wenn nicht sogar zehntausende) solche Lines in den Logs pro Tag:

http://api.share-online.biz/account.php?username=myuser&password=mypassword&act=download&lid=fileid

Nur Spekulation, natürlich. Aber gerade in dem Fall ließe sich es super automatisieren, um zu schauen, welcher Account was geladen hat.