Как я ловил хакера

    Произошло это в начале 2008 года, когда я еще работал в одном крупном украинском банке инженером в IT-департаменте. Только спала новогодняя праздничная суета, и нагрузка на подразделения техподдержки немного поубавилась, как один из подотчетных мне web-серверов сообщил о заканчивающемся на диске месте. Беглый анализ показал, что стремительно росли логи IIS сервера, на котором крутится один из публичных платежных комплексов банка. Мои опасения оправдались – на сервер началась DDOS атака.
    Формат атаки был следующим: со скоростью 150-200 запросов в секунду, методом GET, шло обращение к одному и тому же URL с большого количества IP адресов. Т.е. работал небольшой международный ботнет. Сам сервер и фаервол банка с атакой вполне справлялись, поэтому у меня было достаточно времени, чтобы изучить атаку и выработать план мероприятий по ее устранению.

    Первым делом я проанализировал географию атакующих IP-адресов. Интенсивность была равномерно размазана по странам, и заблокировать какие-либо регионы было невозможно – банковским web-сервисом пользовались клиенты со всего мира, и блокировка какого-либо сегмента, означала бы для банка финансовые потери. Далее, предполагая возможный рост интенсивности атаки, я оптимизировал размер атакуемой страницы к минимуму. Нагрузка на сервер и фаервол упала, что не заставило себя ждать. Хакер, управлявший ботнетом, сменил адрес атакуемого URL, и атака перестроилась на картинку GIF – один из самых объемных элементов сайта. Эти действия дали мне хорошую зацепку, и я основательно подготовился к контрдействиям. Я написал ряд скриптов с использованием LogParser, обрабатывающие логи web-сервера и выявляющие «аномальное» поведение клиента. «Аномальным» считалось обращение к страницам в последовательности, не присущей ни клиентам банка, ни ботнету. LogParser удачно справлялся с гигабайтными логами, что давало мне хорошие шансы на оперативное реагирование.

    На этот момент атака достигла 500 запросов в секунду. Таким образом, я подготовился, и бросил приманку – переименовал атакуемую картинку, сделал возвращаемую страницу с 404-й ошибкой минимальной, и стал ждать. Через какое-то время атака на мгновение остановилась. Так как ее эффективность свелась к нулю, хакер начал вручную, через браузер, «прощупывать» сайт на наличие объемных элеменов – LogParser быстро выявил такое «аномальное» поведение. Этого мне было достаточно – IP-адрес хакера был у меня в руках и он, на удивление, принадлежал не анонимному прокси-серверу, а одному из украинских хостеров, а по совместительству, и хорошему клиенту этого самого web-сервиса банка.

    — Алло, Сергей Иванович, добрый день, Вас беспокоят из <%bank_name%>, c вашего сервера идет координация DDOS атаки на наш сайт
    — Здравствуйте. Скажите мне IP
    — XXX.XXX.XXX.XXX
    — Да, клиент сейчас работает в терминальной сессии на этом сервере, я его отключу, и передам вам доступ к серверу. С этими уродами нужно бороться. Кстати у меня есть его контактные данные.
    — Спасибо, я сообщу службе безопасности банка, они с Вами свяжутся.

    … продолжение следует (диалог с хакером в ICQ, «отрезание» головы червя, мои показания в управлении по борьбе с экономическими преступлениями и, собственно, чем это закончилось)

    UPD: по совету banzeg перенесен в Информационная безопасность
    UPD: продолжение здесь: Как я ловил хакера 2
    Поделиться публикацией
    Реклама помогает поддерживать и развивать наши сервисы

    Подробнее
    Реклама
    Комментарии 192
    • НЛО прилетело и опубликовало эту надпись здесь
      • +6
        "«отрезание» головы червя" это третья часть в стиле восточных фильмов про кун-фу.
        • +15
          ну вот… так всегда… на самом интересном месте (с)
          заинтриговал и пропал =( ждемс продолжения
          • +1
            Таки интересно, детективная история прям. Пишите книжки.

            Хочу еще… прям как телевидение, обламывает на самом интересном месте
            • +1
              Написано захватывающе, но с другой стороны, тупо сидеть со своей ипишки, да и какие доказательства?
              основывать обвинение только на том, что человек просматривал страницу? только выбивать признание через службу безопасности банка.
              • –1
                Зачем, на этом основании можно изъять комп, а там уже кладесь информации
                • +1
                  это ведь только ваши логические доводы. т.е. где неопровержимый факт хакерства? это все понятно по статье, очевидно что это и есть хакер, но неужели на основании только "«аномальное» поведение" можно изъть комп?
              • 0
                Ловить хакера на живца, это гениально, Холмс masiandr!
            • +1
              Помню преподша в универе говорила мощную фразу «отрезаем колобку голову» ;)
              • 0
                Мне стало страшно за -судьбу жизнь хакера.
                • 0
                  Все не зависти теперь хакеру детей.
                • +35
                  Автор по живому режет. Я однажды был в шкуре того хацкера, которого он тут отлавливает. Там была не DDOS атака, но от этого не легче. И виноват был я.

                  Пренепреятнейшие ощущеня находятся в интервале когда понял, что вычислили, но в дверь еще не позвонили.
                  • +4
                    пишите же!
                    • +21
                      Да я бы с радостью, но моя карма против меня.
                      • 0
                        Ждём отчета. И пишите как автор, хочу ещё такого экшна. Удачи ;)
                      • +23
                        Вас понял. Готовлю публикацию.
                        • 0
                          Ждём с нетерпением =)
                      • +39
                        А вообще да… знакомо.

                        … Звонок вечером «Товарисча такого то приняли в браслеты, сейчас в СИЗО», ночью не спишь судорожно вспоминаешь что было общего как могут зацепить и тебя, утром звонок на телефон:
                        — Алло?
                        — …
                        а в ответ тишина и положили трубку, через минуты три скрип тормозов, выглядиваю УАЗик с мигалками под окном, кроссовки, куртка, ноут в сумку, прыжок с окна на клумбы, и когда уже убегал, вспомнил, что в постели спит моя девушка, думаю ее то не за что и дальше бегом. Куда бежать, как жить дальше? не ясно…

                        А сейчас, эта девушка моя жена, после этих всех событий сказала: «Мы идем подавать заявление в ЗАГС прям сегодня, если тебя посадят, то я хочу иметь официальное право знать, что с тобой как и навещать тебя».
                        • 0
                          А оно стоило того, чтобы жена вам потом передачи носила?
                          • +3
                            Я был заложником весьма дерьмовой ситуации. Поплатился за свою честность и доверие. Естественно не стоило, и ничто не может оправдать подобных деяний. Но на тот момент это было наиболее простым выходом.
                            • +2
                              Понятно. Меня несколько лет назад друг детства чуть не подставил, хорошо я в последний момент опомнился и сказал искать кого-нибудь другого. А все начиналось с «ну ты же хорошо разбираешься в компах».
                              • +1
                                друг это ладно, меня вот брат двоюродный так собирался лет 10 назад подставить
                          • +7
                            Интересно пишите. Может изложите полную историю?
                            • +6
                              да-да, и вы тоже напишите про эту историю.
                              стартует неделя креативных рассказов про хакеров на хабре :)
                              имхо это будет интересно
                              • +6
                                Это еще не совсем история, следствие идет, по понятным причинам пока все не утрясется о публикации не может быть и речи. А вот потом, да выложу наверно.

                                Но что нить интересное напишу =)
                                • +2
                                  С кармой у меня плоховасто =) а так есть статейка =) если кто сможет то пускай запостит =)
                            • –1
                              Какой вы впечатлительный :D
                              • +6
                                Первое правило хакера — прокси, прокси, прокси и еще раз прокси :)
                                • +8
                                  и не забудьте, что это все через прокси через прокси и опять через прокси
                                  • +8
                                    второе правило: прокси это только для смены страны, vpn vpn vpn vpn!
                                    третье правило: icq в жопу.
                                    четвертое: нафига ты вообще это делаешь?
                                    • +2
                                      > четвертое: нафига ты вообще это делаешь?
                                      Это должно быть первым.
                                      • 0
                                        тогда азарт теряется и не интересно. а так подготовился все просчитал, а потом подумал и пошел принял все же таблетки.
                                        • 0
                                          ответ часто приходит сам собой
                                        • 0
                                          нафига ты вообще это делаешь?

                                          Это имхо должно стоять на самом первом уровне.
                                          • –1
                                            Вопрос по теме: а не сможет ли все это заменить один Tor?
                                            • +3
                                              нет
                                              • 0
                                                побольше бы таких кулхацкеров. Прокси как я уже сказал нужен только для смены страны/города и вообще полезен в основном только кардерам, ну еще можно через носок к впну цепляться. TOR же крайне не надежная сеть она подходит только для «анонимного» серфига и скачивания .torrent файлов.
                                                • 0
                                                  а чем «анонимный взлом» хуже «анонимного серфинга»? я бы сказал Tor вполне себе достойное средство
                                                  • 0
                                                    фигасе. Учитывая, что там over 9000 нод принадлежащих спецслужбам. Безопасность сети уже 5 месяцев подряд на низком уровне. Ну и вообще сравнивать взлом и серфинг это идиотизм — за серфинг вас никто икать не будет.
                                                    • 0
                                                      А за взлом? Не gov/mil ресурсов, конечно же, а просто какой-нибудь местной хрени? Кому оно действительно нужно то?
                                                      Любители детского порно, как помню, Tor'ом пользуются и никого не стесняются.
                                                      • 0
                                                        взлом это статья, за него можно и срок получить и по голове и по почкам если перейти дорогу не тому. любители CP пользуются FreeNet'ом и PD, как любители CP могу пользоваться Tor'ом понятия не имею — Tor шифрует только от провайдера инфу, чтобы любоваться пикчами и фильмами надо как миниум иметь сервак где это храниться и надо же таких серверов в интернете нет, они есть только в анонимных сетях. Так, что RTFM.
                                                        • 0
                                                          как любители CP могу пользоваться Tor'ом понятия не имею — Tor шифрует только от провайдера инфу

                                                          А простому смертному разве много нужно? Прикрыться от собственного же провайдера да обеспечить минимальную анонимность своим действиям.

                                                          чтобы любоваться пикчами и фильмами надо как миниум иметь сервак где это храниться и надо же таких серверов в интернете нет, они есть только в анонимных сетях

                                                          Ой, да не рассказывайте сказки. CP хостится на тех же серверах, что и всё остальное, было бы желание (привет «В Контакте»). Снифал выход Tor'а — попалось несколько занятных ссылок на галереи, размещённых на вполне общедоступном image sharing сервисе.

                                                          А RTFM мне не нужен, спасибо.
                                                          • 0
                                                            >А простому смертному разве много нужно? Прикрыться от собственного же провайдера да обеспечить минимальную анонимность своим действиям.

                                                            простой смертный != педофил. Простому смертному этого и хватит, а вот хакеру и cp'пешнику — нет.

                                                            >й, да не рассказывайте сказки. CP хостится на тех же серверах, что и всё остальное, было бы желание (привет «В Контакте»). Снифал выход Tor'а — попалось несколько занятных ссылок на галереи, размещённых на вполне общедоступном image sharing сервисе.

                                                            ну значит хостер идиот. правильный бы уже давно закрыл, а если им заинтересовались спецслужбы его бы тоже закрыли.

                                                            >Снифал выход Tor'а — попалось несколько занятных ссылок на галереи, размещённых на вполне общедоступном image sharing сервисе.
                                                            >Снифал выход Tor'а
                                                            > попалось несколько занятных ссылок

                                                            еще надо пояснять почему Tor не подходил ни для чего кроме серфинга?
                                          • 0
                                            Тоже самое. =) Ещё начал представлять, что это как-будто бы фильм, когда показывают взломщиков и всяких it-секьюрити, а у них перед глазами на экранах быстро-быстро прокручиваются разные данные: логи, ip и прочее. =)
                                          • +48
                                            блин! на самом интересном месте!
                                            • +43
                                              Ага :) тоже стало очень интересно и пришлось вытащить комрада из песочницы
                                            • +4
                                              Здоровски! Люблю IT-детективы.
                                            • +11
                                              Этож как американские сериалы! Так низяяя делать! Требуем продолжения! ))
                                              • +1
                                                южно-американские? :))
                                                • +5
                                                  Это вы LOST не смотрели…
                                                  • 0
                                                    в контексте статьи скорее… «Prison Break»
                                              • +8
                                                Эх… работаю с большим количеством «крупных украинских банков», хотя бы половине из них таких толковых админов.
                                                • +5
                                                  Что, ни разу не поймали? :)
                                                  • 0
                                                    К счастью моя задача не ломать, а исправлять ошибки.

                                                    И поразительно то, что большинство «IT специалистов» в банках считают что для БЕЗОПАСНОСТИ лучше разместить веб-сайт внутри сети банка и пытаться его защищать, чем на внешнем хостинге. Речь идет об обычный сайтах, несущих рекламную информацию и не требующих подключения к специфическим сервисам.

                                                    Где тут логика, для меня загадка.
                                                    • 0
                                                      Чем меньше посредников тем лучше, банки всё таки работают с личными данными.
                                                      • 0
                                                        На публичных веб-сайтах банков нет личных данных. Это по сути рекламные проспекты. А вот дополнительную дыру в сеть банка они тем не менее создают.
                                                        • 0
                                                          Делали как-то сайт одному местному банку.

                                                          IT-департамент выдал такие требования: сайт будет находиться на сервере внутри банка, публичная часть должна быть сделана статикой.

                                                          Сайт получился из двух частей: cms во внутренней сети генерила контент в html, скрипт закачивал все на публичную часть несколько раз в час.

                                                          Поясните мне как специалист уязвимость такого решения.
                                                          • 0
                                                            Забыл добавить: публичная часть находилась на другом сервере, вне внутренней сети.
                                                • +1
                                                  Нельзя же так :((
                                                  Жду продолжения :)
                                                  • +3
                                                    Нельзя всмысле обрывать на самом интересном месте нельзя)
                                                    А то подумаете ещё чего…
                                                  • +9
                                                    Какой-то вшивенький пока хакер, ботнет настроил, а про средства индивидуальной защиты забыл. Хотя это к лучшему, надеюсь продолжение будет ещё зрелищнее. Ждем!
                                                    • +2
                                                      script-kiddie?
                                                      • +1
                                                        Вполне возможно, хотя совершенно не понятно какого черта он в банк полез. Будем ждать комментариев автора.
                                                        • +2
                                                          ага, но вы сами скоро узнаете:)
                                                          • +1
                                                            но ведь в фильмах хакеры же взламывают банки =)
                                                            • 0
                                                              Ну так взламывают, а не делают отказ обслуживания :-)
                                                              • +1
                                                                вот он удивится, когда узнает, что это разные вещи)))
                                                        • +4
                                                          Выйдет — будет внимательнее :)
                                                          • +2
                                                            Да ладно, испанец, у которого был бот на 12 млн. машин в какой-то момент зашел на управляющий сервер из дома (запаниковал). Тут-то его и приняли.
                                                            True story.
                                                          • +2
                                                            Да, интересная история! Что же будет дальше?
                                                            • +20
                                                              мда, пожалуй самый непродуманный DDOS про который доводилось читать, да еще и хакеры работающие через терминальный сервер, куда мир катится
                                                              • +9
                                                                Практический семинар по DDOS-у в школе вышел из под контроля?
                                                              • +4
                                                                интересно.
                                                                только сразу предупредите, сколько планируете серий и сезонов, хочу подождать пока все напишете и за раз прочитать :)
                                                                • +1
                                                                  Так неинтересно… нужна загадка :)
                                                                  • +27
                                                                    Спите спокойно! Убийца — водитель! :-)
                                                                    • –3
                                                                      Тогда скажете еще, что происходит на острове и что будет с пассажирами рейса Ошеаник 815?
                                                                      • +3
                                                                        Я думаю к концу 6 сезона всех героев наконец-то отпустит…
                                                                  • 0
                                                                    надеюсь продолжение не через неделю >__<
                                                                    • +1
                                                                      Через две. А второй сезон в начале мая. :)
                                                                    • 0
                                                                      захватывающий детектив! мне лично интересна личность «хакера» и дальнейшая его судьба
                                                                      • –2
                                                                        Я надеюсь это не пост из ряда «Я смотрел с умилением на сюдью и бабушку, беседующих о версиях браузера», иначе я буду дико разочарован в этом мире.
                                                                        • +1
                                                                          вообще то, очень похоже по стилю, даже удивился, не увидав ссылки в статье
                                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                                          • +25
                                                                            Я что-то пропустил, и кто-то из героев забеременел?
                                                                            • +6
                                                                              Инициатор ддос-атаки после того, как с ним поработала служба безопасности банка?
                                                                              • 0
                                                                                как с ним поработала служба безопасности банка?

                                                                                Нет, гуро нам не надо :)
                                                                          • +9
                                                                            сегодня обещаю продолжение
                                                                            • +2
                                                                              Перенесите в тематический блог — и количество читателей возрастет в разы. Например, в сюда: habrahabr.ru/blogs/infosecurity/
                                                                              • +1
                                                                                ждем
                                                                                • 0
                                                                                  И добавьте в первый топик линк на продолжение
                                                                                • 0
                                                                                  блин… я надеюсь вы не будете расписывать как сериал, а кульминацию и оконцовку выложите в следующем посте. Этот пост закончился на самом интересном моменте.
                                                                                  • +1
                                                                                    Не-не-не, зачем же так сразу? Остальное читать не так интересно будет. Должна же быть какая-то интрига. Это же почти канонический детектив, перенесённый на IT реалии. :)
                                                                                  • 0
                                                                                    добавил в избранное. жду продолжение.
                                                                                    • +1
                                                                                      Маразм криминального элемента крепчает) Раньше хотябы прокси мучали, vpn за бугром покупали, а сейчас какая то школота…
                                                                                      Жду продолжение!
                                                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                                                        • –1
                                                                                          »«отрезание» головы червя

                                                                                          А по-русски? По-намудрил-то, по-намудрил: ) Такое ощущение, что военную тайну нам тут рассказывает и половину слов шифрует. Голова червя это что? Заказчик атаки?: )
                                                                                          • +2
                                                                                            центр управления ботнетом?
                                                                                            • +1
                                                                                              это сервер, к которому зараженные компьютеры ботнета периодически обращаются, чтобы получит дальнейшие инструкции, кого DDOSить дальше, или остановиться, если у заказчика закончились деньги:)
                                                                                              • 0
                                                                                                я знаю что такое центр управления
                                                                                                я предположил, что голова червя — это он и есть
                                                                                          • 0
                                                                                            Отличный рассказ!
                                                                                            Лишние напоминание владельцам ботнетов и хакерам, о том, как важно не лениться и озаботиться собственной безопасностью. Все-таки раз на раз не приходится и иногда попадаются такие грамотные админы, как автор поста.
                                                                                            • +7
                                                                                              ой. т.е. можно просто позвонить хостеру, сказать «здравствуйте, это %bankname%...» и вам дадут порулить чужим сервером, да?
                                                                                              • +2
                                                                                                Да
                                                                                                • 0
                                                                                                  Автор же написал, что хостер — сам клиент данного web-сервиса, вполне вероятно, что администратор с хостером был уже знаком + 99% что был выложен не весь диалог =)
                                                                                                  • +4
                                                                                                    личные связи между IT специалистами компаний в таких вопросах очень облегачают жизнь. Можно быстро совместно отреагировать, а потом неспеша отдать службе безопасности, для разборок и оформления официальных бумажек.
                                                                                                  • +5
                                                                                                    Скальп хакера в студию!
                                                                                                    • 0
                                                                                                      Возможно вы имели в виду «Скайп»?
                                                                                                    • 0
                                                                                                      Крутейше!!!
                                                                                                      Напомнило «призрака в доспехах 2» =)
                                                                                                      только не растягивай как Lost =)
                                                                                                      • +11
                                                                                                        IP-адрес хакера был у меня в руках и он, на удивление, принадлежал не анонимному прокси-серверу, а одному из украинских хостеров

                                                                                                        Блин, ну как можно так лопухнуться?!

                                                                                                        / извините, не удержался /
                                                                                                        • +3
                                                                                                          Больше всего интересна мотивация данной атаки
                                                                                                          • +1
                                                                                                            либо обиженый клиент банка, либо тренировка начинающего хакера
                                                                                                            • 0
                                                                                                              конкуренты могли прощупать почву на предмет перехода клиентов с плохо работающего сервиса
                                                                                                            • +11
                                                                                                              Пойду куплю журнал Xakep
                                                                                                              • +2
                                                                                                                можно поделиться ряд скриптов с использованием LogParser и существует ли у вас в банке системы IDS или IPS? спасибо за внимание
                                                                                                                • 0
                                                                                                                  к сожалению не знаю, что это за системы, так сеть — это не мой профиль
                                                                                                                  история была давно, и после увольнения из банка многое потерялось, но скрипт был не сложный — он группировал логи по IP, запрашиваемой странице, по времени и выдавал самые низкочастотные комбинации
                                                                                                                • +2
                                                                                                                  Воздух опять раскалён добела,
                                                                                                                  Мир вновь наполнился силами зла!
                                                                                                                  Вновь под прицелом твой мирный уют,
                                                                                                                  Но, как всегда, он окажется тут!

                                                                                                                  Сильный и смелый Герой Интернета.
                                                                                                                  Никогда не спит.
                                                                                                                  Грозный защитник белого света,
                                                                                                                  Вновь отстоит мирный быт!

                                                                                                                  =)))

                                                                                                                  hacksongs.ru/taxonomy/term/527
                                                                                                                  • +2
                                                                                                                    500 запросов в секунду это какая-то смешная атака. может быть вам стоит получше настроить веб-сервер?
                                                                                                                    • –5
                                                                                                                      да, варинтов защиты от такого море,
                                                                                                                      хотя бы вот так tiny.cc/2ofjW

                                                                                                                      • +11
                                                                                                                        Зачем вы спрятали ссылку под другой ссылкой? Многие с опаской по таким переходят
                                                                                                                        • –3
                                                                                                                          многие вообще в интернеты не ходят — говорят, там опасно
                                                                                                                          • 0
                                                                                                                            ccылку спрятал ибо очень длинная, кстатри на вполне вменяемый ресурс — на hostinghelp.biz

                                                                                                                            а способ защиты как раз вполне адекватный, под стать уровню атаки. почти на коленке.
                                                                                                                            и да, статья старая, опять же под стать уровню атаки.
                                                                                                                            к тому же в коментамх там тоже хватает информации.

                                                                                                                        • 0
                                                                                                                          так если это было порядочное время назад, то могло и хватить
                                                                                                                        • –2
                                                                                                                          После этого поста с Вами свяжутся из Google или Yahoo, ввиду бурной активностью китайской DDOS жизни))) так что может придется менять место работы))))
                                                                                                                          • +1
                                                                                                                            Ты прям интригант! :D
                                                                                                                            Как тот чувак с «волчьими буднями» :D
                                                                                                                            • +3
                                                                                                                              А мне вот интересно, разве было законно со стороны провайдера без решения суда выдавать личную информацию о их клиенте?
                                                                                                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                                • +2
                                                                                                                                  тем более, что это могла быть похацканая wlan точка.
                                                                                                                                  • 0
                                                                                                                                    или могла вовсе отсутствовать связь между этим человеком и ДДоС атакой
                                                                                                                              • –1
                                                                                                                                Захватывающие!
                                                                                                                                • +11
                                                                                                                                  Спалил мальчик свой айпишник, видно не читал классиков.
                                                                                                                                  • +1
                                                                                                                                    Вот ты — молодец! Побольше бы таких специалистов.
                                                                                                                                    • 0
                                                                                                                                      Я написал ряд скриптов с использованием LogParser, обрабатывающие логи web-сервера и выявляющие «аномальное» поведение клиента.

                                                                                                                                      Интересно было бы взглянуть. Поделитесь?
                                                                                                                                      • –2
                                                                                                                                        к сожалению не сохранились после увольнения из банка
                                                                                                                                      • –1
                                                                                                                                        А я почему-то сочувствую хакеру, может у него мотивация была большая? Например ваш банк его чем-то обидел. А теперь сядет человек :(
                                                                                                                                      • –2
                                                                                                                                        Продолжайте про службу безопасности, ждем кровавых подробностей. Агата Кристи отдыхает
                                                                                                                                        • –2
                                                                                                                                          1ое правило… не сиди под реальным ай-пи…
                                                                                                                                          2ое правило… выучи 1ое правило…
                                                                                                                                          • +5
                                                                                                                                            Простите, а что он собственно хакнул?
                                                                                                                                            Человек устроивший DDOS — просто обязательно должен быть крутейшим хакером.
                                                                                                                                            p.s.
                                                                                                                                            -Мой друг сервер поломал.
                                                                                                                                            -Он хакер?
                                                                                                                                            -Нет, он дебил.
                                                                                                                                            • 0
                                                                                                                                              -Мой друг сервер уронил
                                                                                                                                              -Он хакер?
                                                                                                                                              -Нет, он дебил — со стола уронил.
                                                                                                                                            • 0
                                                                                                                                              Познавательно, интересно. Нынче «школьники» не такие прыткие как были раньше, они начали думать что в этом мире, мире интернета, можно остаться безнаказанным. Но старая гвардия то не того помола. Мы то все помним и знаем.
                                                                                                                                              • –2
                                                                                                                                                Жду продолжения! Надо же на работе что-то почитать ;)
                                                                                                                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                                                  • 0
                                                                                                                                                    ну да… в тексте не чисто так то
                                                                                                                                                    • +2
                                                                                                                                                      как показывает практика, в таких случаях очень хорошо срабатывают личные знакомства :)
                                                                                                                                                      • 0
                                                                                                                                                        но как он смог передать RDP-сессию другому лицу, а потом вернуть обратно, без ведома «хакера»?
                                                                                                                                                    • 0
                                                                                                                                                      «epic fail или естественный отбор» — читайте только на хабре =)
                                                                                                                                                      • +10
                                                                                                                                                        Хабр тот.
                                                                                                                                                        • +1
                                                                                                                                                          Скрипт киддис лопухнулся (пожалел дурачок денежку на китайский впн), но как уже заметили выше — предоставление личной информации без постановления органов незаконно. В любом случае интересна мотивация атаки. Уж слишком несерьёзна хотя бы для того, чтобы положить веб-сервис
                                                                                                                                                          • +6
                                                                                                                                                            Спасибо, что опубликовали статью из www.williamspublishing.com/Books/5-8459-0318-1.html заменив заголовок. Это так творчески…
                                                                                                                                                            • 0
                                                                                                                                                              Эту страницу в результате постиг хабраэффект… )))
                                                                                                                                                              • +1
                                                                                                                                                                Хорошо бы ссылку на конкретную статью, или скриншот…
                                                                                                                                                                • 0
                                                                                                                                                                  и мне, интересно, из чего сделан такой вывод
                                                                                                                                                                  по ссылке нет статьи
                                                                                                                                                                  • 0
                                                                                                                                                                    Я так понял, имеется ввиду статья из этой книги. Но бегло поискав книжку в интернете — не нашел. Вот и хотелось бы чтобы автор привел конкретное место в книжке.

                                                                                                                                                                    masiandr, а вы правда не брали ничего ни откуда? (:
                                                                                                                                                                    • +9
                                                                                                                                                                      клянусь:) разрешаю выгнать меня с хабра, если это так:)
                                                                                                                                                              • –8
                                                                                                                                                                блядь, как сериал =(
                                                                                                                                                                • –1
                                                                                                                                                                  Версия Хакер 2.0 с грохотом провалилась
                                                                                                                                                                  RIP
                                                                                                                                                                  • 0
                                                                                                                                                                    Однажды /один ламер/ баловался с сетевым сканером (это был SuperScan), и с гостевого доступа одного провайдера нашел машинку с открытым доступом. Он залез на неё — все диски были расшарены, скопировал себе файл настроек от программы дозвона E-Dialer (из него вытаскивается пароль на интернет), потом походил по дискам и покачал всякие файлы.

                                                                                                                                                                    В итоге по документам оказалось что компьютер этот стоит в каком-то московском УВД. Тогда человек немного отредактировал автоэкзек.бат (была винда 98), дописав туда строчки про вирус, шару, и поставив pause в строку. Потом ушел с этого компа, и тщательно удалил и сканер, и скаченные файлы, и дефрагментацию винта потом запустил на полную. Это история без морали, просто вспомнилась.
                                                                                                                                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                                                                  • +3
                                                                                                                                                                    А можно поподробнее про выявление «аномальных» последовательностей? Что же он такое вытворял, что не был похож на обычного пользователя?
                                                                                                                                                                    • 0
                                                                                                                                                                      видимо, «обычные пользователи» очень нечасто на тот сервис заходят ;-)
                                                                                                                                                                    • +2
                                                                                                                                                                      Вам так или иначе не устоять, прочь свои мерзкие щупальца власти и денег от интернета.
                                                                                                                                                                      • 0
                                                                                                                                                                        Почему вы посчитали этого человека хакером? Может он просто лазил по сайту? Как было определено, что он прощупывает сайт? Т.е если я после какого-то ддоса зайду на сайт моего банка и окажусь местным, меня повяжут?
                                                                                                                                                                        • 0
                                                                                                                                                                          Я вот тоже не понял как уважаемый автор связал дос атаку с конкретным IP и какие могут быть доказательства того что именно этот человек устроил атаку.
                                                                                                                                                                          • 0
                                                                                                                                                                            читайте вторую часть:)
                                                                                                                                                                        • 0
                                                                                                                                                                          а что если он хеккер использует прокси? есть варианты?
                                                                                                                                                                          • +1
                                                                                                                                                                            отслеживаются цепочки состоящие из 3-4 проксей точна.
                                                                                                                                                                            • +1
                                                                                                                                                                              Пруф?
                                                                                                                                                                              • +1
                                                                                                                                                                                если ведут логи то можно и больше, при условии что эти логи отдадут
                                                                                                                                                                                • 0
                                                                                                                                                                                  как минимум один из проксей в цепочке должен не иметь логирования вообще, в идеале — быть полностью подконтрольным злоумышленнику
                                                                                                                                                                              • 0
                                                                                                                                                                                ололо, у вас в интерполе, видать, связи? :)))
                                                                                                                                                                                я не сомневаюсь, что какие-нибудь спецслужбы при очень большом желании, а также не очень высокой квалифицированности или элементарной оплошности нападающего, смогут что-то там отследить
                                                                                                                                                                                в реальности же, 3 хоста в цепочке (естественно, находящихся в различных подсетях и странах) — уже существенная проблема для правоохранительных дядек
                                                                                                                                                                            • 0
                                                                                                                                                                              Как у вас язык повернулся назвать хакером человечка, не использующего прокси в самый ответственный момент, и, скорее всего, создавшего ботнет одним из стандартных средств? Школьник, осиливший запустить пару программ и потыкать в них мышкой, а не хакер он.
                                                                                                                                                                              • 0
                                                                                                                                                                                Где скачать новую серию?
                                                                                                                                                                                • +3
                                                                                                                                                                                  А это вообще нормально — определять DDOS по тому, что закончилось место на диске вследствие разрастания журналов?
                                                                                                                                                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                                                                                                  • 0
                                                                                                                                                                                    А как вы определили «аномальное поведение»? В идеале посмотрел бы код LogParser'а, но пойдет и простое описание работы. :)
                                                                                                                                                                                    А то я тут подумал что в такой ситуации не сообразил бы как отличить хакера прощупывающего «толстые» места сайта от обычного пользователя.
                                                                                                                                                                                    • +4
                                                                                                                                                                                      сначала LogParser'ом сгруппировал все записи по запрашиваемому URL — выявил самые редко встречающиеся
                                                                                                                                                                                      потом сгруппировал все записи по IP, посмотрел историю посещения страниц тех IP, которые запросили редкие страницы
                                                                                                                                                                                      потом визуально проанализировал — мог ли клиент при совершении типичных операций попасть на эти страницы (на некоторые страницы можно было попасть только через POST запрос), а хакер их щупал GET'ом