Как я ловил хакера 2

    Продолжение, начало здесь.

    Зайдя на сервер, я увидел открытую страницу банка в браузере, несколько скомпилированных версий популярного вируса, логи апача, который вел мониторинг атаки и открытую терминальную сессию на какой-то сервер с турецким IP с приглашением ввести логин и пароль. По логам апача было ясно, что турецкий сервер является одной из «голов» червя, т.е. центром координации атаки. Нужно было каким-то образом дать команду прекратить атаку, иначе, «отрубив» голову, мы уже никак не смогли бы остановить DDOS. Понимая, что я и так достаточно превысил свои полномочия, я заархивировал все интересующие меня файлы на сервере, выслал себе на почту, сделал несколько скриншотов и сообщил Сергею Ивановичу, чтобы он вернул доступ на сервер хакеру.

    Позже, как Сергей Иванович и обещал, он предоставил мне номер ICQ и мобильника хакера. Хакера звали Александром. Сергей Иванович рассказал, что Александр работает программистом у иностранного заказчика. Заказчик арендовал этот и несколько других серверов на их хостинге для своих нужд. Позже, Сергей Иванович также поинтересовался у заказчика, в курсе ли он, что Александр использует сервер для DDOS атаки. В тот же момент хакер был уволен. Он был в бешенстве, и не пытался ни скрыться, ни замести следы, ни отрицать то, в чем его обвиняли. Он был уверен в своей безнаказанности.

    В то время, как сетевики департамента связи вместе со срочно приехавшими сотрудниками CISCO, устанавливали модуль защиты от DDOS (все-таки десятки тысяч одновременно открытых соединений давали сильную нагрузку на фаервол), я попытался выяснить, кто же такой Александр, и не ошибся ли я в своих обвинениях. Сложить интернет-образ по номеру ICQ не составило труда: этот ICQ принадлежал некоторому человеку по нику Flick из Одессы, который успешно нашел работу в Киеве и переехал туда с женой. Дела шли у них хорошо, и он даже на одном из форумов советовался о покупке автомобиля. Также среди его постов находилось несколько связанных с обсуждением организации ботнетов и предложения своих услуг. Эта информация подтвердила правильность моих мыслей, и я решил связаться с хакером по ICQ.

    — Здравствуйте, Александр, я сотрудник департамента информационных технологий банка <%bank_name%>
    — здравствуйте
    — я задам вам вопрос напрямую – мне нужен доступ на сервер, являющийся «головой» червя
    — какого червя?
    — Александр, я вам предлагаю сделку – вы мне сообщаете логин и пароль на сервер с IP XX.XXX.XXX.XXX, либо сами отключаете DDOS атаку, и мои действия дальше этого диалога не пойдут. Или вы продолжаете противиться, и я передаю всю информацию о вас в службу безопасности банка, и дальше разговор уже будут вести они.
    — а если вы ничего не докажете, кто мне возместит моральный ущерб?
    — Александр, мы сотрудничаем или нет?
    — я не имею понятия, о чем вы говорите

    В течении часа после этого диалога, турецкий сервер перестал пинговаться. «Голова»была отрублена. Оставалось единственное – передать всю информацию в службу безопасности банка, что я и сделал.

    Служба безопасности подала заявление в милицию и через некоторое время мне позвонили из управления по борьбе с экономическими преступлениями и попросили прийти для консультации. Предварительно, одна из начальниц службы безопасности банка, дала мне несколько полезных советов, как себя вести при разговоре в УБЭП и сообщила, что дело ведет молодой, отличный специалист, парень, в хорошем смысле помешанный на этом деле. Но также она сказала, что мы должны понимать, что для него наибольший приоритет сейчас имеет дело об организации детской порнографии в интернет, которое он ведет, и честно призналась, что, так как ущерб, причиненный банку от атаки, трудно оценить, у нас не много шансов на удачный исход дела. Но, как говорится, наше дело – кукарекать, а там рассветет — не рассветет…

    На этом собственно, все и закончилось. То ли в результате передачи дела в милицию, то ли разговора в ICQ, но атака на следующий день прекратилась и история закончилась. После консультации в УБЭП в течении следующего года, мне так никто не сообщил о результатах дела, но по время от времени выходящему в онлайн короткому номеру ICQ было понятно, что все таки хакер остался безнаказанным. Или же наказан? Потерей работы и нервными переживаниями, которых, я думаю, у него было в избытке.

    the end

    UPD: кажется в коментариях появился тот самый хакер, не буду утверждать точно, но ник похож, и коментарии каверзные. Напишу точно, когда изучу его
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама
    Комментарии 120
    • +2
      Спасибо очень интересная история вышла.

      • +21
        говорили, балакали — сіли тай заплакали (с) народ
        • +3
          Удивительные ощущения, когда читаешь — как детектив, но в то же время достовернось. Спасибо.
          • +1
            да, я тоже заметил. видимо детективный жанр у автора был любимый из литературы
          • 0
            в пост призывается Шурик! :)
            • +2
              Все имена и ники изменены, но не исключено, что он узнает историю и объявится:)
              • 0
                Вот она пришла весна, как паранойя.
            • +3
              Процитирую хабраюзера Refakki:
              Спасибо, что опубликовали статью из www.williamspublishing.com/Books/5-8459-0318-1.html заменив заголовок. Это так творчески…

              Как Вы прокомментируете это заявление?
              • 0
                ох черт, опять разочарование…
                • 0
                  а как же happy end, я остался разочарован
                • –1
                  А что тут комментировать? Скоро будет части 3,4,5 итого более чем 300 :)
                  Правда без содержания
                  • +13
                    человек рекламирует какую-то книгу, я не знаю о чем она, так как не читал ее, а на сайте только структура книги
                    • +25
                      выложите кто-то саму статью, хватит плюсовать обвинение:)
                    • +7
                      Я читал ту книгу, но я не помню там подобной статьи)
                      Про Мэгги помню только) Понравилось.
                      Надо дома посмотреть еще разок. Может и скопириздил автор =)
                      • 0
                        Ещё не стоит исключать, что в жизнях людей бывают похожие ситуации. Возможно история с той книги и автора топика немного совпали…
                    • +11
                      ну хоть правдиво история закончилась
                      хотя… я бы честно непротив продолжения в духе: «я и два бойца с СБ выехали на место, локализовали объект, начали слежку… выяснили, что _хакер_ учавствует в первороте/афере века/хз в чем...»
                      ЗЫ думаю уже стоит открыть отдельный блог куда можно будет такие истории перевести, они всегда попахивают детективом в новом стиле хайтек )))
                      • +3
                        Да нет… слишком быстрый выход на хакера. По хорошему его должны были грамотно подставить, о чем должна свидетельствовать какая-то абсолютно мелкая нестыковка. Но наш неугомонный администратор не так прост и уцепившись за эту нестыковку раскручивает крупную банду, которая уже «учавствует в первороте/афере века/хз в чем» :-)
                        • +2
                          Логичней банде участвовать в обороте детской порнографии — тогда можно и следака подключить
                          • +1
                            В перевороте детской порнографии.
                        • 0
                          будет помесь «крепкого орешка» и «24»
                        • +3
                          Потерей работы и нервными переживаниями, которых, я думаю, у него было в избытке.


                          Его ещё жена, небось, побила, что работу так глупо потерял)
                          • +9
                            Говорила же тебе, пользуйся проксями, так нет же: «Без прокси приятней, да не бойся, и так не залечу...»
                          • +19
                            Ну не знаю, я б, наверное, все же сперва написал в аську «а не охренел ли ты, дядя, ддосить?» )
                            Эмоции впереди меня всегда бегут)
                            Как то ты слишком с ним мягко :)
                            • –8
                              За ДДОС лет 10 строгача давать бы…
                              • +27
                                10 лет на электрическом стуле, как минимум :) Убийства с изнасилованиями — фигня война, вот ддос — это зверство :)
                                • +3
                                  Как говорил мой старшина: «За гаражами расстрелять через повешение и так каждый день до самой смерти».
                                  • +8
                                    «Вывести в чисто поле, поставить лицом к стенке и пулю в лоб.»
                                    • +8
                                      «… чтоб на всю оставшуюся жизнь запомнил!»
                                      • –1
                                        пистолет вмонтирован в стену? :)
                                        • +1
                                          В чисто поле.
                                    • +3
                                      Особенно хомячкам, с компьютеров которых ддос и осуществляется и которым влом поставить обновления и антивирусы, и настроить нормально сервера.
                                    • 0
                                      А за массовую рассылку спама — вышку! :)
                                      • +10
                                        С вышки.
                                        • +4
                                          Или замена наказания… Общественные работы на 2 года… 8 часов в день разгребать спам и составлять спамлисты…
                                          • +15
                                            вручную, на пентиуме 166 MMX
                                            • 0
                                              эх, а это мой первый компьютер кстати
                                              • 0
                                                Счастливчик… мой первый компьютер был механическим.
                                                • НЛО прилетело и опубликовало эту надпись здесь
                                        • 0
                                          ага, казнь через повешивание на сетевом кабеле
                                          • +2
                                            Лучше бы вы, бездельники, нормальный сетевой протокол придумали и поставили нормальный фаерволл на дата-центр (лучше все же нормальный протокол), а то сразу, расстрелять, посадить, дожили.
                                          • +4
                                            Мотивы так и не выяснили? И зачем он лез к Вам?
                                            • +3
                                              судя по его интернет-портрету, он этим занимался на комерческой основе, так что намного важнее мотивы заказчика, а они очевидны — либо конкуренция, либо месть озлобленного клиента
                                              • 0
                                                Чего-то имхо для клиента шибко масштабно, насколько-бы он не был озлоблен :) У конкурента мотивы как-то яснее, не работает один банк — все уйдут в другой :)
                                                • +1
                                                  сменить банк это не сходить в другой магазин. Куча волокиты, в том числе с договорами.
                                                  • 0
                                                    Для бизнес клиента да, для частника раз плюнуть, менял не раз.
                                                • +1
                                                  дык еси бы было нужно положить сервак они бы не 500 запросов в секунду давали, а поболее, чтоб сервак сразу же выпал.
                                                  Хотя может ботнет был слабоват, чтобы выдавать больше :)
                                                  • 0
                                                    вроде частный ботнет был потому и слабенький — возможно он сам собирал их
                                              • +23
                                                Так и не понял, что мешало Вам всю историю разом выложить.
                                                • +5
                                                  признаюсь, нужен был инвайт:)
                                                  • +3
                                                    Да инвайтов сейчас поболее будет, чем желающих. Спросили бы и все)
                                                    • +10
                                                      Ну… Что могу сказать. Всем, написавшим мне в аську, инвайты раздал.
                                                      На здоровье.
                                                  • +9
                                                    инвайт… александру-хакеру?
                                                    • +2
                                                      Алексаааааннндддррррр вввстудиююююю
                                                    • +13
                                                      Инвайт-просто добавь воды (с) :)
                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                  • +12
                                                    Казалось бы, причем тут хакер? Он же не хакер, а просто ддосер. Он же не взломал вашу банковскую защиту, верно?
                                                    • +18
                                                      Видимо так просто лучше звучит. Детективнее.
                                                      • +1
                                                        Да ладно к словам придиратся. Слово хакер ведь тоже не обязательно означает взломщик.
                                                        Да и «ДДоСер» это както излишне «языковыворачивательно» — «хакре» проще и короче.
                                                        • 0
                                                          > «хакре»
                                                          Опечатка. Должно было быть «хакер» конечно-же.
                                                          • +6
                                                            не опечатка. риальне хакре. ддосре%)
                                                            • 0
                                                              ((-:
                                                              Ну так даже ддосре просто и коротко ((-:
                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                        • –5
                                                          Предложили бы ему работу
                                                          • +6
                                                            таких не на работу брать нужно, а увольнять нафиг!
                                                            довольно топорно сработано со стороны ддосера: ни собственной защиты, незашифрованный терминал, следы по всему интернету… беда одним словом.
                                                            • +6
                                                              Чтобы потом случайно узнать, что сервера банка используются для координирования ещё одной DDoS-атаки?
                                                              • 0
                                                                вы 24 пересмотрели, потом окажется, что все это надо для того, чтоб ы шэйх Абу-абу смог провести отряд оперативников для захвата белого дома.
                                                              • 0
                                                                Он что, сделал что-то гениальное? Влез в систему банка и незаметно украл деньги? Обычный скрипт-киддис, который троянов друзьям наслал, а потом на сайт банка ботнет направил. Это так тяжело, ппц. Да ещё и айпишник спалил свой.
                                                              • 0
                                                                Первая часть была намного зажигательнее. Закончилось все как-то банально, а вот взламывай он сайт детского садика, и все могло бы сложиться совсем по другому.
                                                                • +7
                                                                  Взламывай он сайт детского садика — следователю, занимающемуся вопросами детской порнографии, было бы интересно заниматься этим делом :)
                                                              • +1
                                                                Спасибо, увлекательно! Всегда приятно читать о работе увлечённых своим делом людей.
                                                                • +2
                                                                  и всё-таки очень интерессно, на каком основании была выдана приватная информация о клиенте и, тем более, доступ к серверу. ведь история с ддос аттакой вполне могла оказаться выдуманой или админ мог ошибиться в своих расчётах.
                                                                  • 0
                                                                    Другой админ мог посмотреть логи и сделать вывод.
                                                                    • 0
                                                                      разве лог может служить доказательством? ведь это по большому счёту простой текстовой файл. редактируемый!
                                                                      • 0
                                                                        А тут не прокуратура и не суд тем более «хакеру» ничего не было.

                                                                        Цитата была такая.
                                                                        Да, клиент сейчас работает в терминальной сессии на этом сервере, я его отключу, и передам вам доступ к серверу. С этими уродами нужно бороться.
                                                                        Вероятно админ посмотрел что же делал этот юзверь.

                                                                        Само собой любой админ мог сказать не ваше дело пишите заявление, а тут другой случай который послужил почвой для такого развесистого поста)
                                                                        • 0
                                                                          не важно было что-нить «хакеру» или нет. важно то, что провайдер за здорово живёшь выдал своего клиента, придоставив доступ к серверу, на котором могла храниться корпаративаная информация, третьим лицам. если там что-то и было, он был обязан разобраться с этим сам.
                                                                          • 0
                                                                            Да это как Руцентр) Но видимо у админа был повод усомнится в честности хакера о котором подробно здесь не написано. А то что сдал инфу видимо он ему тоже не нравился)
                                                                            • 0
                                                                              получается, если я сфабрикую лог, отправлю его провайдеру и если повезёт и провайдер недолюбливает клиента, я получу доступ к его сессии? Из тескта, кстати, не видно, что пользователь на сервере делал какие-то противозаконные действия. открытая страница в броузере и терминальная сессия такими точно не являются.
                                                                              • 0
                                                                                Админ (на ток конце) сам смотрел что происходит а автор темы просто указал куда смотреть и уделить особое внимание и ничего не придумывал. Вроде написано же в 1 части как он попросил.
                                                                                • 0
                                                                                  может я конечно не сильно разбираюсь в специфике, но что увидел админ на «том конце»? броузер и открытый терминал? что имено заставило его отдать доступ к сессии постороннему человеку?
                                                                                  • 0
                                                                                    Что хакер работает в терминальной сессии на этом сервере. Этого (и что то ещё) ему хватило чтоб убедится что идет координация DDOS атаки. На самом деле спроси у того админа почему ему так захотелось)
                                                                                    • 0
                                                                                      Надо просто учитывать, что хостинг провайдер может делать с вашим сервером всё что угодно. Сливать ваши данные и так далее. Даже если хостер порядочный, остаются ещё непорядочные сотрудники.

                                                                                      Эти размышления скорее не для досеров и ддосеров, а для людей данные которых имеют коммерческую ценность.
                                                                    • +3
                                                                      Одно не понятно, почему автор не затроянил терминальный сервер (из наилучших побуждений конечно и для хорошего дела) пока у него был доступ. Тогда и спрашивать у «хакера» пароль к серверу с айпи ххх.ххх не пришлось бы…
                                                                      • –3
                                                                        А кто знает как отловить этих бот-нетчиков?

                                                                        Мой сайт недавно атаковали, CAPTCHA не было и за 30 минут 70 заказов сделали. Радости было очень много пока не понял, что это все спам :))) В попыхах за час работы остановил их, сам не знаю кого конкретно :) По логам апача запросы шли с более чем одного компьютера и с одного ИП с интервалом около 1 секунды. Сканировали весь сайт, каждую линку. Но чтоб сделать заказ все равно нужно было уложиться в некий шаблон: е-майл в поле верно ввести, номера телефонов, ссылки и прочее, иначе заказ не ушел бы. Т.е. схема должна была быть такая — сначала изучали форму ввода, чтобы подобрать значения, которые она принимает, потом уже спамили в автоматическом режиме. Хотя автоматически подобрать верные данные для формы ввода тоже по идее можно, путем перебора: текст, цифры, е-майлы — вот и весь набор входных данных.

                                                                        Далее я пытался определить кому принадлежат ИП-шники. Один оказался зарегистрирован на какой-то институт в Италии, дальше я не стал изучать, т.к. решил, что это некий бот-нет и сам институт тут конечно не причем.

                                                                        Вот такие дела. Как их найти в следующий раз и по попе надавать?
                                                                        • +12
                                                                          С вашими навыками, мне кажется никак.
                                                                          • +4
                                                                            Я бы вопросов здесь не задавал, если бы навыки были.
                                                                            Я не понимаю, на хабре вообще есть смысл спрашивать или тут постоянное соревнование идет: у кого лучше сарказм получается?
                                                                            • 0
                                                                              Нет, тут соревнование по «кошению под Хауса» =)
                                                                              Планктончик развлекается.
                                                                              • –3
                                                                                Опа, а я тоже его фанат! Сейчас ему плюс за это поставлю :)))
                                                                                • –6
                                                                                  Дайте кармы, хочу плюс ему поставить :)
                                                                                  • 0
                                                                                    Фанатизм вреден.
                                                                          • НЛО прилетело и опубликовало эту надпись здесь
                                                                            • +13
                                                                              Вообще да, забавно, не имея вообще никаких доказательств слили сервер клиента. От таких хостеров надо держаться подальше.
                                                                              • +6
                                                                                Жду от Вас статьи «Как я ловил ловца хакера» :)
                                                                                • +1
                                                                                  Ага, вот ты — подозрительный -_О

                                                                                  А вообще вопросы в тему. Ждём автора с пояснениями.
                                                                                  • +2
                                                                                    > Сотрудники CISCO отуда приехали срочно? (Лас-Вегас/Кипр)
                                                                                    а что, железный занавес вернулся пока я спал? тыц
                                                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                                                    • +1
                                                                                      любые меры безопасности должны быть адекватны опасности и важности защищаемой информации. Более того, затраты на защиту всегда выше затрат на атаку.
                                                                                    • 0
                                                                                      Да, вообще, географию ботнета интересно изучать… недавно тоже сайт мне заддосили, так там пол европы было
                                                                                      • НЛО прилетело и опубликовало эту надпись здесь
                                                                                        • +3
                                                                                          Во всей этой истории удивляет лёгкость с которой хостер «сдал» своего клиента. А вообще вспоминается анекдот «какая страна такой и теракт» учитывая что полная инфа по автору, банку и хостеру выуживается за 10 минут в гугле, чего ото секретничать было ;)
                                                                                          • 0
                                                                                            дык а нафига он это делал-то?
                                                                                            • +2
                                                                                              Блин, хочу быть таким же грозным и боевым админом, как и Вы )
                                                                                              • +9
                                                                                                Сергей Иванович — крiса
                                                                                                • +2
                                                                                                  Жаль, что вам не попался реальный хакер)
                                                                                                  • 0
                                                                                                    Когда вы в первом топике написали "«отрезание» головы червя, мои показания в управлении по борьбе с экономическими преступлениями во второй части", я подумал: «Вот это да!», а прочитав, немножко даже разочаровался, думал будет так же увлекательно как в прошлом топике, а получилось, что и турецкий сервер сам отвалился, и ддосера не нашли =)
                                                                                                    • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                      • –4
                                                                                                        я как то участвовал в научной конференции, посвященной информационной безопасности… Так вот вырвало меня на докладе такого же сказочника, вещавшего «как он с руководителем» звонили по банкам, получали разрешения а потом сканили nmap-ом их сайты.

                                                                                                        Вот скажи мне автор — в чем противоправность действий? Кроме генерации большого количества запросов что вы сможете вменить? Это если докажете, что ботнет был, что не звезды так встали и народ полез на ваш сайт, и что это был его ботнет…

                                                                                                        ps: а чем «хакер» отличился бы от «автора», написав статейку на хабре и дав ссылку на сайт? Хабро-дос будет не 500 запросов.
                                                                                                        • +2
                                                                                                          ну и сказочник же вы, автор :)
                                                                                                          • –2
                                                                                                            хорошая интересная статья
                                                                                                            • –2
                                                                                                              урок всем кул хацкерам:
                                                                                                              1. не сри там где живешь
                                                                                                              2. если уж решил насрать — используй западные сервера и хостеры где-то на острове Пасха

                                                                                                              и да, непонятно что за ебала с Сергеем Ивановичем.
                                                                                                              Любой может позвонить сказать дайте данные с сервера ИП ХХХ.ХХ.ХХ.ХХ оттуда идет ддос и все пучком будет? Дайте телефон С.И не откажусь от пару серверов
                                                                                                              • –7
                                                                                                                — «он предоставил мне номер ICQ и мобильника хакера», вот скажите мне, эти данные конфиденциальны? и передовать их третьим лицам тоесть вам не законно и является нарушением прав владельца. В этом случае считаю, что его действия против вас такие же законные как и ваши методы.
                                                                                                                • –9
                                                                                                                  «В течении часа после этого диалога, турецкий сервер перестал пинговаться. «Голова»была отрублена. Оставалось единственное – передать всю информацию в службу безопасности банка, что я и сделал. „

                                                                                                                  Ну вы и мудак (
                                                                                                                  • 0
                                                                                                                    Странно, что все удивляются поступку хостера. Ведь как правило, если поступает какая-то жалоба на клиента вида спам/варез/ддос хостеру проще решить вопрос не в пользу клиента и это вроде бы стандартная практика. Да, есть хостеры, которые игнорят все «абузы», но и клиенты у них соответствующие. Большинству хостеров же проще не создавать проблем себе и остальным своим клиентам и отключить «проблемный» аккаунт.

                                                                                                                    Хотя выдача контактов клиента тут уже явно лишняя… Вот это странно.
                                                                                                                    • 0
                                                                                                                      мало ли как «проще», тут речь о том, как законнее… а без решения суда отключить аккаунт просто по абузе нельзя
                                                                                                                    • 0
                                                                                                                      А по-моему здесь все очевидно. Автор заработал инвайт с помощью перепечатки книги. У него это вобщем-то получилось. Его само-пеар до сих пор продолжается:

                                                                                                                      UPD: кажется в коментариях появился тот самый хакер, не буду утверждать точно, но ник похож, и коментарии каверзные. Напишу точно, когда изучу его


                                                                                                                      Мне кажется не стоит искать полного правдоподобия данной истории и рассматривать это как художественное произведение.
                                                                                                                      • 0
                                                                                                                        тот самый хакер, мой ник похож, да и это кстати очень каверзный комментарий… изучить меня более подробно можно в учебнике по анатомии человека
                                                                                                                        • 0
                                                                                                                          м, прикольно,
                                                                                                                          полезно узнать, что киберпреступления маловероятно наказуемы в наших краях.

                                                                                                                          будем смелее теперь в своих экспериментах.
                                                                                                                          • –1
                                                                                                                            прочитал! Спасибо за сказку на хабре, я люблю интересные истории и взрослые саказки.

                                                                                                                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.