Пользователь
0,0
рейтинг
4 марта 2010 в 00:37

Разработка → Как я ловил хакера

Произошло это в начале 2008 года, когда я еще работал в одном крупном украинском банке инженером в IT-департаменте. Только спала новогодняя праздничная суета, и нагрузка на подразделения техподдержки немного поубавилась, как один из подотчетных мне web-серверов сообщил о заканчивающемся на диске месте. Беглый анализ показал, что стремительно росли логи IIS сервера, на котором крутится один из публичных платежных комплексов банка. Мои опасения оправдались – на сервер началась DDOS атака.
Формат атаки был следующим: со скоростью 150-200 запросов в секунду, методом GET, шло обращение к одному и тому же URL с большого количества IP адресов. Т.е. работал небольшой международный ботнет. Сам сервер и фаервол банка с атакой вполне справлялись, поэтому у меня было достаточно времени, чтобы изучить атаку и выработать план мероприятий по ее устранению.

Первым делом я проанализировал географию атакующих IP-адресов. Интенсивность была равномерно размазана по странам, и заблокировать какие-либо регионы было невозможно – банковским web-сервисом пользовались клиенты со всего мира, и блокировка какого-либо сегмента, означала бы для банка финансовые потери. Далее, предполагая возможный рост интенсивности атаки, я оптимизировал размер атакуемой страницы к минимуму. Нагрузка на сервер и фаервол упала, что не заставило себя ждать. Хакер, управлявший ботнетом, сменил адрес атакуемого URL, и атака перестроилась на картинку GIF – один из самых объемных элементов сайта. Эти действия дали мне хорошую зацепку, и я основательно подготовился к контрдействиям. Я написал ряд скриптов с использованием LogParser, обрабатывающие логи web-сервера и выявляющие «аномальное» поведение клиента. «Аномальным» считалось обращение к страницам в последовательности, не присущей ни клиентам банка, ни ботнету. LogParser удачно справлялся с гигабайтными логами, что давало мне хорошие шансы на оперативное реагирование.

На этот момент атака достигла 500 запросов в секунду. Таким образом, я подготовился, и бросил приманку – переименовал атакуемую картинку, сделал возвращаемую страницу с 404-й ошибкой минимальной, и стал ждать. Через какое-то время атака на мгновение остановилась. Так как ее эффективность свелась к нулю, хакер начал вручную, через браузер, «прощупывать» сайт на наличие объемных элеменов – LogParser быстро выявил такое «аномальное» поведение. Этого мне было достаточно – IP-адрес хакера был у меня в руках и он, на удивление, принадлежал не анонимному прокси-серверу, а одному из украинских хостеров, а по совместительству, и хорошему клиенту этого самого web-сервиса банка.

— Алло, Сергей Иванович, добрый день, Вас беспокоят из <%bank_name%>, c вашего сервера идет координация DDOS атаки на наш сайт
— Здравствуйте. Скажите мне IP
— XXX.XXX.XXX.XXX
— Да, клиент сейчас работает в терминальной сессии на этом сервере, я его отключу, и передам вам доступ к серверу. С этими уродами нужно бороться. Кстати у меня есть его контактные данные.
— Спасибо, я сообщу службе безопасности банка, они с Вами свяжутся.

… продолжение следует (диалог с хакером в ICQ, «отрезание» головы червя, мои показания в управлении по борьбе с экономическими преступлениями и, собственно, чем это закончилось)

UPD: по совету banzeg перенесен в Информационная безопасность
UPD: продолжение здесь: Как я ловил хакера 2
@masiandr
карма
4,0
рейтинг 0,0
Пользователь
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (192)

  • НЛО прилетело и опубликовало эту надпись здесь
    • +6
      "«отрезание» головы червя" это третья часть в стиле восточных фильмов про кун-фу.
      • +15
        ну вот… так всегда… на самом интересном месте (с)
        заинтриговал и пропал =( ждемс продолжения
        • +1
          Таки интересно, детективная история прям. Пишите книжки.

          Хочу еще… прям как телевидение, обламывает на самом интересном месте
          • +1
            Написано захватывающе, но с другой стороны, тупо сидеть со своей ипишки, да и какие доказательства?
            основывать обвинение только на том, что человек просматривал страницу? только выбивать признание через службу безопасности банка.
            • –1
              Зачем, на этом основании можно изъять комп, а там уже кладесь информации
              • +1
                это ведь только ваши логические доводы. т.е. где неопровержимый факт хакерства? это все понятно по статье, очевидно что это и есть хакер, но неужели на основании только "«аномальное» поведение" можно изъть комп?
          • 0
            Ловить хакера на живца, это гениально, Холмс masiandr!
      • +1
        Помню преподша в универе говорила мощную фразу «отрезаем колобку голову» ;)
      • 0
        Мне стало страшно за -судьбу жизнь хакера.
      • 0
        Все не зависти теперь хакеру детей.
    • +35
      Автор по живому режет. Я однажды был в шкуре того хацкера, которого он тут отлавливает. Там была не DDOS атака, но от этого не легче. И виноват был я.

      Пренепреятнейшие ощущеня находятся в интервале когда понял, что вычислили, но в дверь еще не позвонили.
      • +4
        пишите же!
        • +21
          Да я бы с радостью, но моя карма против меня.
          • 0
            Ждём отчета. И пишите как автор, хочу ещё такого экшна. Удачи ;)
        • +23
          Вас понял. Готовлю публикацию.
          • 0
            Ждём с нетерпением =)
      • +39
        А вообще да… знакомо.

        … Звонок вечером «Товарисча такого то приняли в браслеты, сейчас в СИЗО», ночью не спишь судорожно вспоминаешь что было общего как могут зацепить и тебя, утром звонок на телефон:
        — Алло?
        — …
        а в ответ тишина и положили трубку, через минуты три скрип тормозов, выглядиваю УАЗик с мигалками под окном, кроссовки, куртка, ноут в сумку, прыжок с окна на клумбы, и когда уже убегал, вспомнил, что в постели спит моя девушка, думаю ее то не за что и дальше бегом. Куда бежать, как жить дальше? не ясно…

        А сейчас, эта девушка моя жена, после этих всех событий сказала: «Мы идем подавать заявление в ЗАГС прям сегодня, если тебя посадят, то я хочу иметь официальное право знать, что с тобой как и навещать тебя».
        • 0
          А оно стоило того, чтобы жена вам потом передачи носила?
          • +3
            Я был заложником весьма дерьмовой ситуации. Поплатился за свою честность и доверие. Естественно не стоило, и ничто не может оправдать подобных деяний. Но на тот момент это было наиболее простым выходом.
            • +2
              Понятно. Меня несколько лет назад друг детства чуть не подставил, хорошо я в последний момент опомнился и сказал искать кого-нибудь другого. А все начиналось с «ну ты же хорошо разбираешься в компах».
              • +1
                друг это ладно, меня вот брат двоюродный так собирался лет 10 назад подставить
        • +7
          Интересно пишите. Может изложите полную историю?
        • +6
          да-да, и вы тоже напишите про эту историю.
          стартует неделя креативных рассказов про хакеров на хабре :)
          имхо это будет интересно
          • +6
            Это еще не совсем история, следствие идет, по понятным причинам пока все не утрясется о публикации не может быть и речи. А вот потом, да выложу наверно.

            Но что нить интересное напишу =)
          • +2
            С кармой у меня плоховасто =) а так есть статейка =) если кто сможет то пускай запостит =)
    • –1
      Какой вы впечатлительный :D
    • +6
      Первое правило хакера — прокси, прокси, прокси и еще раз прокси :)
      • +8
        и не забудьте, что это все через прокси через прокси и опять через прокси
      • +8
        второе правило: прокси это только для смены страны, vpn vpn vpn vpn!
        третье правило: icq в жопу.
        четвертое: нафига ты вообще это делаешь?
        • +2
          > четвертое: нафига ты вообще это делаешь?
          Это должно быть первым.
          • 0
            тогда азарт теряется и не интересно. а так подготовился все просчитал, а потом подумал и пошел принял все же таблетки.
          • 0
            ответ часто приходит сам собой
        • 0
          нафига ты вообще это делаешь?

          Это имхо должно стоять на самом первом уровне.
        • –1
          Вопрос по теме: а не сможет ли все это заменить один Tor?
          • +3
            нет
          • 0
            побольше бы таких кулхацкеров. Прокси как я уже сказал нужен только для смены страны/города и вообще полезен в основном только кардерам, ну еще можно через носок к впну цепляться. TOR же крайне не надежная сеть она подходит только для «анонимного» серфига и скачивания .torrent файлов.
            • 0
              а чем «анонимный взлом» хуже «анонимного серфинга»? я бы сказал Tor вполне себе достойное средство
              • 0
                фигасе. Учитывая, что там over 9000 нод принадлежащих спецслужбам. Безопасность сети уже 5 месяцев подряд на низком уровне. Ну и вообще сравнивать взлом и серфинг это идиотизм — за серфинг вас никто икать не будет.
                • 0
                  А за взлом? Не gov/mil ресурсов, конечно же, а просто какой-нибудь местной хрени? Кому оно действительно нужно то?
                  Любители детского порно, как помню, Tor'ом пользуются и никого не стесняются.
                  • 0
                    взлом это статья, за него можно и срок получить и по голове и по почкам если перейти дорогу не тому. любители CP пользуются FreeNet'ом и PD, как любители CP могу пользоваться Tor'ом понятия не имею — Tor шифрует только от провайдера инфу, чтобы любоваться пикчами и фильмами надо как миниум иметь сервак где это храниться и надо же таких серверов в интернете нет, они есть только в анонимных сетях. Так, что RTFM.
                    • 0
                      как любители CP могу пользоваться Tor'ом понятия не имею — Tor шифрует только от провайдера инфу

                      А простому смертному разве много нужно? Прикрыться от собственного же провайдера да обеспечить минимальную анонимность своим действиям.

                      чтобы любоваться пикчами и фильмами надо как миниум иметь сервак где это храниться и надо же таких серверов в интернете нет, они есть только в анонимных сетях

                      Ой, да не рассказывайте сказки. CP хостится на тех же серверах, что и всё остальное, было бы желание (привет «В Контакте»). Снифал выход Tor'а — попалось несколько занятных ссылок на галереи, размещённых на вполне общедоступном image sharing сервисе.

                      А RTFM мне не нужен, спасибо.
                      • 0
                        >А простому смертному разве много нужно? Прикрыться от собственного же провайдера да обеспечить минимальную анонимность своим действиям.

                        простой смертный != педофил. Простому смертному этого и хватит, а вот хакеру и cp'пешнику — нет.

                        >й, да не рассказывайте сказки. CP хостится на тех же серверах, что и всё остальное, было бы желание (привет «В Контакте»). Снифал выход Tor'а — попалось несколько занятных ссылок на галереи, размещённых на вполне общедоступном image sharing сервисе.

                        ну значит хостер идиот. правильный бы уже давно закрыл, а если им заинтересовались спецслужбы его бы тоже закрыли.

                        >Снифал выход Tor'а — попалось несколько занятных ссылок на галереи, размещённых на вполне общедоступном image sharing сервисе.
                        >Снифал выход Tor'а
                        > попалось несколько занятных ссылок

                        еще надо пояснять почему Tor не подходил ни для чего кроме серфинга?
    • 0
      Тоже самое. =) Ещё начал представлять, что это как-будто бы фильм, когда показывают взломщиков и всяких it-секьюрити, а у них перед глазами на экранах быстро-быстро прокручиваются разные данные: логи, ip и прочее. =)
  • +48
    блин! на самом интересном месте!
    • +43
      Ага :) тоже стало очень интересно и пришлось вытащить комрада из песочницы
      • +7
        спасибо, Bobos:)
    • +4
      Здоровски! Люблю IT-детективы.
  • +11
    Этож как американские сериалы! Так низяяя делать! Требуем продолжения! ))
    • +1
      южно-американские? :))
      • +5
        Это вы LOST не смотрели…
        • 0
          в контексте статьи скорее… «Prison Break»
  • +8
    Эх… работаю с большим количеством «крупных украинских банков», хотя бы половине из них таких толковых админов.
    • +5
      Что, ни разу не поймали? :)
      • 0
        К счастью моя задача не ломать, а исправлять ошибки.

        И поразительно то, что большинство «IT специалистов» в банках считают что для БЕЗОПАСНОСТИ лучше разместить веб-сайт внутри сети банка и пытаться его защищать, чем на внешнем хостинге. Речь идет об обычный сайтах, несущих рекламную информацию и не требующих подключения к специфическим сервисам.

        Где тут логика, для меня загадка.
        • 0
          Чем меньше посредников тем лучше, банки всё таки работают с личными данными.
          • 0
            На публичных веб-сайтах банков нет личных данных. Это по сути рекламные проспекты. А вот дополнительную дыру в сеть банка они тем не менее создают.
            • 0
              Делали как-то сайт одному местному банку.

              IT-департамент выдал такие требования: сайт будет находиться на сервере внутри банка, публичная часть должна быть сделана статикой.

              Сайт получился из двух частей: cms во внутренней сети генерила контент в html, скрипт закачивал все на публичную часть несколько раз в час.

              Поясните мне как специалист уязвимость такого решения.
              • 0
                Забыл добавить: публичная часть находилась на другом сервере, вне внутренней сети.
  • +1
    Нельзя же так :((
    Жду продолжения :)
    • +3
      Нельзя всмысле обрывать на самом интересном месте нельзя)
      А то подумаете ещё чего…
  • +9
    Какой-то вшивенький пока хакер, ботнет настроил, а про средства индивидуальной защиты забыл. Хотя это к лучшему, надеюсь продолжение будет ещё зрелищнее. Ждем!
    • +2
      script-kiddie?
      • +1
        Вполне возможно, хотя совершенно не понятно какого черта он в банк полез. Будем ждать комментариев автора.
        • +2
          ага, но вы сами скоро узнаете:)
        • +1
          но ведь в фильмах хакеры же взламывают банки =)
          • 0
            Ну так взламывают, а не делают отказ обслуживания :-)
            • +1
              вот он удивится, когда узнает, что это разные вещи)))
    • +4
      Выйдет — будет внимательнее :)
    • +2
      Да ладно, испанец, у которого был бот на 12 млн. машин в какой-то момент зашел на управляющий сервер из дома (запаниковал). Тут-то его и приняли.
      True story.
  • +2
    Да, интересная история! Что же будет дальше?
  • +20
    мда, пожалуй самый непродуманный DDOS про который доводилось читать, да еще и хакеры работающие через терминальный сервер, куда мир катится
    • +9
      Практический семинар по DDOS-у в школе вышел из под контроля?
  • +4
    интересно.
    только сразу предупредите, сколько планируете серий и сезонов, хочу подождать пока все напишете и за раз прочитать :)
    • +1
      Так неинтересно… нужна загадка :)
    • +27
      Спите спокойно! Убийца — водитель! :-)
      • –3
        Тогда скажете еще, что происходит на острове и что будет с пассажирами рейса Ошеаник 815?
        • +3
          Я думаю к концу 6 сезона всех героев наконец-то отпустит…
  • 0
    надеюсь продолжение не через неделю >__<
    • +1
      Через две. А второй сезон в начале мая. :)
  • 0
    захватывающий детектив! мне лично интересна личность «хакера» и дальнейшая его судьба
  • –2
    Я надеюсь это не пост из ряда «Я смотрел с умилением на сюдью и бабушку, беседующих о версиях браузера», иначе я буду дико разочарован в этом мире.
    • +1
      вообще то, очень похоже по стилю, даже удивился, не увидав ссылки в статье
  • НЛО прилетело и опубликовало эту надпись здесь
    • +25
      Я что-то пропустил, и кто-то из героев забеременел?
      • +6
        Инициатор ддос-атаки после того, как с ним поработала служба безопасности банка?
        • 0
          как с ним поработала служба безопасности банка?

          Нет, гуро нам не надо :)
  • +9
    сегодня обещаю продолжение
    • +2
      Перенесите в тематический блог — и количество читателей возрастет в разы. Например, в сюда: habrahabr.ru/blogs/infosecurity/
    • +1
      ждем
    • 0
      И добавьте в первый топик линк на продолжение
  • 0
    блин… я надеюсь вы не будете расписывать как сериал, а кульминацию и оконцовку выложите в следующем посте. Этот пост закончился на самом интересном моменте.
    • +1
      Не-не-не, зачем же так сразу? Остальное читать не так интересно будет. Должна же быть какая-то интрига. Это же почти канонический детектив, перенесённый на IT реалии. :)
  • 0
    добавил в избранное. жду продолжение.
  • +1
    Маразм криминального элемента крепчает) Раньше хотябы прокси мучали, vpn за бугром покупали, а сейчас какая то школота…
    Жду продолжение!
  • НЛО прилетело и опубликовало эту надпись здесь
  • –1
    »«отрезание» головы червя

    А по-русски? По-намудрил-то, по-намудрил: ) Такое ощущение, что военную тайну нам тут рассказывает и половину слов шифрует. Голова червя это что? Заказчик атаки?: )
    • +2
      центр управления ботнетом?
      • +1
        это сервер, к которому зараженные компьютеры ботнета периодически обращаются, чтобы получит дальнейшие инструкции, кого DDOSить дальше, или остановиться, если у заказчика закончились деньги:)
        • 0
          я знаю что такое центр управления
          я предположил, что голова червя — это он и есть
  • 0
    Отличный рассказ!
    Лишние напоминание владельцам ботнетов и хакерам, о том, как важно не лениться и озаботиться собственной безопасностью. Все-таки раз на раз не приходится и иногда попадаются такие грамотные админы, как автор поста.
  • +7
    ой. т.е. можно просто позвонить хостеру, сказать «здравствуйте, это %bankname%...» и вам дадут порулить чужим сервером, да?
    • +2
      Да
    • 0
      Автор же написал, что хостер — сам клиент данного web-сервиса, вполне вероятно, что администратор с хостером был уже знаком + 99% что был выложен не весь диалог =)
    • +4
      личные связи между IT специалистами компаний в таких вопросах очень облегачают жизнь. Можно быстро совместно отреагировать, а потом неспеша отдать службе безопасности, для разборок и оформления официальных бумажек.
  • +5
    Скальп хакера в студию!
    • 0
      Возможно вы имели в виду «Скайп»?
  • 0
    Крутейше!!!
    Напомнило «призрака в доспехах 2» =)
    только не растягивай как Lost =)
  • +11
    IP-адрес хакера был у меня в руках и он, на удивление, принадлежал не анонимному прокси-серверу, а одному из украинских хостеров

    Блин, ну как можно так лопухнуться?!

    / извините, не удержался /
  • +3
    Больше всего интересна мотивация данной атаки
    • +1
      либо обиженый клиент банка, либо тренировка начинающего хакера
    • 0
      конкуренты могли прощупать почву на предмет перехода клиентов с плохо работающего сервиса
  • +11
    Пойду куплю журнал Xakep
  • +2
    можно поделиться ряд скриптов с использованием LogParser и существует ли у вас в банке системы IDS или IPS? спасибо за внимание
    • 0
      к сожалению не знаю, что это за системы, так сеть — это не мой профиль
      история была давно, и после увольнения из банка многое потерялось, но скрипт был не сложный — он группировал логи по IP, запрашиваемой странице, по времени и выдавал самые низкочастотные комбинации
  • +2
    Воздух опять раскалён добела,
    Мир вновь наполнился силами зла!
    Вновь под прицелом твой мирный уют,
    Но, как всегда, он окажется тут!

    Сильный и смелый Герой Интернета.
    Никогда не спит.
    Грозный защитник белого света,
    Вновь отстоит мирный быт!

    =)))

    hacksongs.ru/taxonomy/term/527
  • +2
    500 запросов в секунду это какая-то смешная атака. может быть вам стоит получше настроить веб-сервер?
    • –5
      да, варинтов защиты от такого море,
      хотя бы вот так tiny.cc/2ofjW

      • +11
        Зачем вы спрятали ссылку под другой ссылкой? Многие с опаской по таким переходят
        • –3
          многие вообще в интернеты не ходят — говорят, там опасно
        • 0
          ccылку спрятал ибо очень длинная, кстатри на вполне вменяемый ресурс — на hostinghelp.biz

          а способ защиты как раз вполне адекватный, под стать уровню атаки. почти на коленке.
          и да, статья старая, опять же под стать уровню атаки.
          к тому же в коментамх там тоже хватает информации.

    • 0
      так если это было порядочное время назад, то могло и хватить
  • –2
    После этого поста с Вами свяжутся из Google или Yahoo, ввиду бурной активностью китайской DDOS жизни))) так что может придется менять место работы))))
  • +1
    Ты прям интригант! :D
    Как тот чувак с «волчьими буднями» :D
  • +3
    А мне вот интересно, разве было законно со стороны провайдера без решения суда выдавать личную информацию о их клиенте?
    • НЛО прилетело и опубликовало эту надпись здесь
      • +2
        тем более, что это могла быть похацканая wlan точка.
        • 0
          или могла вовсе отсутствовать связь между этим человеком и ДДоС атакой
  • –1
    Захватывающие!
  • +11
    Спалил мальчик свой айпишник, видно не читал классиков.
  • +1
    Вот ты — молодец! Побольше бы таких специалистов.
  • 0
    Я написал ряд скриптов с использованием LogParser, обрабатывающие логи web-сервера и выявляющие «аномальное» поведение клиента.

    Интересно было бы взглянуть. Поделитесь?
    • –2
      к сожалению не сохранились после увольнения из банка
  • –1
    А я почему-то сочувствую хакеру, может у него мотивация была большая? Например ваш банк его чем-то обидел. А теперь сядет человек :(
    • –1
      ждем-с вторую часть )
  • –2
    Продолжайте про службу безопасности, ждем кровавых подробностей. Агата Кристи отдыхает
  • –2
    1ое правило… не сиди под реальным ай-пи…
    2ое правило… выучи 1ое правило…
  • +5
    Простите, а что он собственно хакнул?
    Человек устроивший DDOS — просто обязательно должен быть крутейшим хакером.
    p.s.
    -Мой друг сервер поломал.
    -Он хакер?
    -Нет, он дебил.
    • 0
      -Мой друг сервер уронил
      -Он хакер?
      -Нет, он дебил — со стола уронил.
  • 0
    Познавательно, интересно. Нынче «школьники» не такие прыткие как были раньше, они начали думать что в этом мире, мире интернета, можно остаться безнаказанным. Но старая гвардия то не того помола. Мы то все помним и знаем.
  • –2
    Жду продолжения! Надо же на работе что-то почитать ;)
  • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      ну да… в тексте не чисто так то
    • +2
      как показывает практика, в таких случаях очень хорошо срабатывают личные знакомства :)
      • 0
        но как он смог передать RDP-сессию другому лицу, а потом вернуть обратно, без ведома «хакера»?
  • 0
    «epic fail или естественный отбор» — читайте только на хабре =)
  • +10
    Хабр тот.
  • +1
    Скрипт киддис лопухнулся (пожалел дурачок денежку на китайский впн), но как уже заметили выше — предоставление личной информации без постановления органов незаконно. В любом случае интересна мотивация атаки. Уж слишком несерьёзна хотя бы для того, чтобы положить веб-сервис
  • +6
    Спасибо, что опубликовали статью из www.williamspublishing.com/Books/5-8459-0318-1.html заменив заголовок. Это так творчески…
    • 0
      Эту страницу в результате постиг хабраэффект… )))
    • +1
      Хорошо бы ссылку на конкретную статью, или скриншот…
      • 0
        и мне, интересно, из чего сделан такой вывод
        по ссылке нет статьи
        • 0
          Я так понял, имеется ввиду статья из этой книги. Но бегло поискав книжку в интернете — не нашел. Вот и хотелось бы чтобы автор привел конкретное место в книжке.

          masiandr, а вы правда не брали ничего ни откуда? (:
          • +9
            клянусь:) разрешаю выгнать меня с хабра, если это так:)
  • –8
    блядь, как сериал =(
  • –1
    Версия Хакер 2.0 с грохотом провалилась
    RIP
  • 0
    Однажды /один ламер/ баловался с сетевым сканером (это был SuperScan), и с гостевого доступа одного провайдера нашел машинку с открытым доступом. Он залез на неё — все диски были расшарены, скопировал себе файл настроек от программы дозвона E-Dialer (из него вытаскивается пароль на интернет), потом походил по дискам и покачал всякие файлы.

    В итоге по документам оказалось что компьютер этот стоит в каком-то московском УВД. Тогда человек немного отредактировал автоэкзек.бат (была винда 98), дописав туда строчки про вирус, шару, и поставив pause в строку. Потом ушел с этого компа, и тщательно удалил и сканер, и скаченные файлы, и дефрагментацию винта потом запустил на полную. Это история без морали, просто вспомнилась.
    • НЛО прилетело и опубликовало эту надпись здесь
  • +3
    А можно поподробнее про выявление «аномальных» последовательностей? Что же он такое вытворял, что не был похож на обычного пользователя?
    • 0
      видимо, «обычные пользователи» очень нечасто на тот сервис заходят ;-)
  • +2
    Вам так или иначе не устоять, прочь свои мерзкие щупальца власти и денег от интернета.
  • 0
    Почему вы посчитали этого человека хакером? Может он просто лазил по сайту? Как было определено, что он прощупывает сайт? Т.е если я после какого-то ддоса зайду на сайт моего банка и окажусь местным, меня повяжут?
    • 0
      Я вот тоже не понял как уважаемый автор связал дос атаку с конкретным IP и какие могут быть доказательства того что именно этот человек устроил атаку.
      • 0
        читайте вторую часть:)
  • 0
    а что если он хеккер использует прокси? есть варианты?
    • +1
      отслеживаются цепочки состоящие из 3-4 проксей точна.
      • +1
        Пруф?
        • +1
          если ведут логи то можно и больше, при условии что эти логи отдадут
          • 0
            как минимум один из проксей в цепочке должен не иметь логирования вообще, в идеале — быть полностью подконтрольным злоумышленнику
      • 0
        ололо, у вас в интерполе, видать, связи? :)))
        я не сомневаюсь, что какие-нибудь спецслужбы при очень большом желании, а также не очень высокой квалифицированности или элементарной оплошности нападающего, смогут что-то там отследить
        в реальности же, 3 хоста в цепочке (естественно, находящихся в различных подсетях и странах) — уже существенная проблема для правоохранительных дядек
  • 0
    Как у вас язык повернулся назвать хакером человечка, не использующего прокси в самый ответственный момент, и, скорее всего, создавшего ботнет одним из стандартных средств? Школьник, осиливший запустить пару программ и потыкать в них мышкой, а не хакер он.
  • 0
    Где скачать новую серию?
  • +3
    А это вообще нормально — определять DDOS по тому, что закончилось место на диске вследствие разрастания журналов?
    • НЛО прилетело и опубликовало эту надпись здесь
  • 0
    А как вы определили «аномальное поведение»? В идеале посмотрел бы код LogParser'а, но пойдет и простое описание работы. :)
    А то я тут подумал что в такой ситуации не сообразил бы как отличить хакера прощупывающего «толстые» места сайта от обычного пользователя.
    • +4
      сначала LogParser'ом сгруппировал все записи по запрашиваемому URL — выявил самые редко встречающиеся
      потом сгруппировал все записи по IP, посмотрел историю посещения страниц тех IP, которые запросили редкие страницы
      потом визуально проанализировал — мог ли клиент при совершении типичных операций попасть на эти страницы (на некоторые страницы можно было попасть только через POST запрос), а хакер их щупал GET'ом
      • 0
        Вот это я понимаю, уровень :)
  • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      честно говоря, для меня было тоже удивительным такое поведение хостера, я его не просил об этой услуге. Но видимо их тоже очень достали DDOS атаки
      • НЛО прилетело и опубликовало эту надпись здесь
        • 0
          как было сказано, это клиент банка, использующий онлайновые платежи
          могу предположить, что пока она нормально подключилась, все эти люди плотно друг с другом перезнакомились
          • НЛО прилетело и опубликовало эту надпись здесь
            • 0
              без веских на то причин доступ ни кто ни кому не предоставил бы, да и не левому же человеку с улицы его дали
            • +1
              да, это действительно неправильно, но здесь нам показали теневую сторону, как иногда делаются дела в реальности
              думаю, вы и сами можете представить, сколько вроде бы закрытой информации ходит по приватным каналам благодаря исключительно личным связям
              • НЛО прилетело и опубликовало эту надпись здесь
                • 0
                  банк это всего лишь коммерческая структура, имеющая лицензию на деятельность финансового характера
                  там работают обычные люди, на которых руководство старается экономить, по обычной отечественной практике
                  да, по финансам их стараются плотно обложить регламентами, чтобы чего не украли

                  но что творится в остальной сфере — это в общем-то мало волнует руководство
                  у вас же нет иллюзий по поводу сберкасс, как там и что организовано, когда и через какое место
                  а в некоторых сберкассах порядка больше, чем в некоторых банках

                  по поводу нарушения законов — согласен, все стороны были хороши
  • 0
    Прямо молодость вспомнил :) Даже рад что эту дорогу не выбрал (хакерскую) :)
  • 0
    а как вы доказали наличие связи между атаками их разных мест и конкретно этим соединением?
    или ключевая фраза здесь «Этого мне было достаточно»?
  • 0
    доказывать никому ничего не пришлось, но на всякий случай были скопированы с сервера программы, позволяющие компилировать вирус под свои нужды, среди атакующих (зараженных) компьюторов был найден украинский, расположение которого можно было бы установить, и если бы делу дали оборот, выяснить, каким вирусом он заражен.
    но еще раз говорю, все затихло и раскручивать дальше я не стал — инициатива наказуема
  • 0
    когда-то в «Xakepe» читал похожую статью, там тоже атакующий спалился, зайдя на сайт без прокси.
    В вашем рассказе много странностей, но мне не дает покоя одна: как админ хостинга смог передать вам доступ к серверу атакующего, а потом вернуть его обратно, при этом владелец даже не почувствовал запах жареного?
    информированность Сергея Ивановича можно, безусловно, списать на везение.
    • 0
      Сергей Иванович — один из руководителей, рядом с ним находился админ, который по его инструкциям выполнил смену пароля на сервер. Когда я залогинился в терминалку, хакера естественно выкинуло. Он все понимал, но не был владельцем сервера — он был всего лишь нанятым программистом

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.