Пользователь
0,0
рейтинг
4 марта 2010 в 13:40

Разработка → Как я ловил хакера 2

Продолжение, начало здесь.

Зайдя на сервер, я увидел открытую страницу банка в браузере, несколько скомпилированных версий популярного вируса, логи апача, который вел мониторинг атаки и открытую терминальную сессию на какой-то сервер с турецким IP с приглашением ввести логин и пароль. По логам апача было ясно, что турецкий сервер является одной из «голов» червя, т.е. центром координации атаки. Нужно было каким-то образом дать команду прекратить атаку, иначе, «отрубив» голову, мы уже никак не смогли бы остановить DDOS. Понимая, что я и так достаточно превысил свои полномочия, я заархивировал все интересующие меня файлы на сервере, выслал себе на почту, сделал несколько скриншотов и сообщил Сергею Ивановичу, чтобы он вернул доступ на сервер хакеру.

Позже, как Сергей Иванович и обещал, он предоставил мне номер ICQ и мобильника хакера. Хакера звали Александром. Сергей Иванович рассказал, что Александр работает программистом у иностранного заказчика. Заказчик арендовал этот и несколько других серверов на их хостинге для своих нужд. Позже, Сергей Иванович также поинтересовался у заказчика, в курсе ли он, что Александр использует сервер для DDOS атаки. В тот же момент хакер был уволен. Он был в бешенстве, и не пытался ни скрыться, ни замести следы, ни отрицать то, в чем его обвиняли. Он был уверен в своей безнаказанности.

В то время, как сетевики департамента связи вместе со срочно приехавшими сотрудниками CISCO, устанавливали модуль защиты от DDOS (все-таки десятки тысяч одновременно открытых соединений давали сильную нагрузку на фаервол), я попытался выяснить, кто же такой Александр, и не ошибся ли я в своих обвинениях. Сложить интернет-образ по номеру ICQ не составило труда: этот ICQ принадлежал некоторому человеку по нику Flick из Одессы, который успешно нашел работу в Киеве и переехал туда с женой. Дела шли у них хорошо, и он даже на одном из форумов советовался о покупке автомобиля. Также среди его постов находилось несколько связанных с обсуждением организации ботнетов и предложения своих услуг. Эта информация подтвердила правильность моих мыслей, и я решил связаться с хакером по ICQ.

— Здравствуйте, Александр, я сотрудник департамента информационных технологий банка <%bank_name%>
— здравствуйте
— я задам вам вопрос напрямую – мне нужен доступ на сервер, являющийся «головой» червя
— какого червя?
— Александр, я вам предлагаю сделку – вы мне сообщаете логин и пароль на сервер с IP XX.XXX.XXX.XXX, либо сами отключаете DDOS атаку, и мои действия дальше этого диалога не пойдут. Или вы продолжаете противиться, и я передаю всю информацию о вас в службу безопасности банка, и дальше разговор уже будут вести они.
— а если вы ничего не докажете, кто мне возместит моральный ущерб?
— Александр, мы сотрудничаем или нет?
— я не имею понятия, о чем вы говорите

В течении часа после этого диалога, турецкий сервер перестал пинговаться. «Голова»была отрублена. Оставалось единственное – передать всю информацию в службу безопасности банка, что я и сделал.

Служба безопасности подала заявление в милицию и через некоторое время мне позвонили из управления по борьбе с экономическими преступлениями и попросили прийти для консультации. Предварительно, одна из начальниц службы безопасности банка, дала мне несколько полезных советов, как себя вести при разговоре в УБЭП и сообщила, что дело ведет молодой, отличный специалист, парень, в хорошем смысле помешанный на этом деле. Но также она сказала, что мы должны понимать, что для него наибольший приоритет сейчас имеет дело об организации детской порнографии в интернет, которое он ведет, и честно призналась, что, так как ущерб, причиненный банку от атаки, трудно оценить, у нас не много шансов на удачный исход дела. Но, как говорится, наше дело – кукарекать, а там рассветет — не рассветет…

На этом собственно, все и закончилось. То ли в результате передачи дела в милицию, то ли разговора в ICQ, но атака на следующий день прекратилась и история закончилась. После консультации в УБЭП в течении следующего года, мне так никто не сообщил о результатах дела, но по время от времени выходящему в онлайн короткому номеру ICQ было понятно, что все таки хакер остался безнаказанным. Или же наказан? Потерей работы и нервными переживаниями, которых, я думаю, у него было в избытке.

the end

UPD: кажется в коментариях появился тот самый хакер, не буду утверждать точно, но ник похож, и коментарии каверзные. Напишу точно, когда изучу его
@masiandr
карма
4,0
рейтинг 0,0
Пользователь
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Спецпроект

Самое читаемое Разработка

Комментарии (120)

  • +2
    Спасибо очень интересная история вышла.

  • +21
    говорили, балакали — сіли тай заплакали (с) народ
  • +3
    Удивительные ощущения, когда читаешь — как детектив, но в то же время достовернось. Спасибо.
    • +1
      да, я тоже заметил. видимо детективный жанр у автора был любимый из литературы
  • 0
    в пост призывается Шурик! :)
    • +2
      Все имена и ники изменены, но не исключено, что он узнает историю и объявится:)
      • 0
        Вот она пришла весна, как паранойя.
  • +3
    Процитирую хабраюзера Refakki:
    Спасибо, что опубликовали статью из www.williamspublishing.com/Books/5-8459-0318-1.html заменив заголовок. Это так творчески…

    Как Вы прокомментируете это заявление?
    • 0
      ох черт, опять разочарование…
      • 0
        а как же happy end, я остался разочарован
    • –1
      А что тут комментировать? Скоро будет части 3,4,5 итого более чем 300 :)
      Правда без содержания
    • +13
      человек рекламирует какую-то книгу, я не знаю о чем она, так как не читал ее, а на сайте только структура книги
      • +25
        выложите кто-то саму статью, хватит плюсовать обвинение:)
    • +7
      Я читал ту книгу, но я не помню там подобной статьи)
      Про Мэгги помню только) Понравилось.
      Надо дома посмотреть еще разок. Может и скопириздил автор =)
      • 0
        Ещё не стоит исключать, что в жизнях людей бывают похожие ситуации. Возможно история с той книги и автора топика немного совпали…
  • +11
    ну хоть правдиво история закончилась
    хотя… я бы честно непротив продолжения в духе: «я и два бойца с СБ выехали на место, локализовали объект, начали слежку… выяснили, что _хакер_ учавствует в первороте/афере века/хз в чем...»
    ЗЫ думаю уже стоит открыть отдельный блог куда можно будет такие истории перевести, они всегда попахивают детективом в новом стиле хайтек )))
    • +3
      Да нет… слишком быстрый выход на хакера. По хорошему его должны были грамотно подставить, о чем должна свидетельствовать какая-то абсолютно мелкая нестыковка. Но наш неугомонный администратор не так прост и уцепившись за эту нестыковку раскручивает крупную банду, которая уже «учавствует в первороте/афере века/хз в чем» :-)
      • +2
        Логичней банде участвовать в обороте детской порнографии — тогда можно и следака подключить
        • +1
          В перевороте детской порнографии.
    • 0
      будет помесь «крепкого орешка» и «24»
  • +3
    Потерей работы и нервными переживаниями, которых, я думаю, у него было в избытке.


    Его ещё жена, небось, побила, что работу так глупо потерял)
    • +9
      Говорила же тебе, пользуйся проксями, так нет же: «Без прокси приятней, да не бойся, и так не залечу...»
  • +19
    Ну не знаю, я б, наверное, все же сперва написал в аську «а не охренел ли ты, дядя, ддосить?» )
    Эмоции впереди меня всегда бегут)
    Как то ты слишком с ним мягко :)
  • –8
    За ДДОС лет 10 строгача давать бы…
    • +27
      10 лет на электрическом стуле, как минимум :) Убийства с изнасилованиями — фигня война, вот ддос — это зверство :)
      • +3
        Как говорил мой старшина: «За гаражами расстрелять через повешение и так каждый день до самой смерти».
        • +8
          «Вывести в чисто поле, поставить лицом к стенке и пулю в лоб.»
          • +8
            «… чтоб на всю оставшуюся жизнь запомнил!»
          • –1
            пистолет вмонтирован в стену? :)
            • +1
              В чисто поле.
      • +3
        Особенно хомячкам, с компьютеров которых ддос и осуществляется и которым влом поставить обновления и антивирусы, и настроить нормально сервера.
    • 0
      А за массовую рассылку спама — вышку! :)
      • +10
        С вышки.
      • +4
        Или замена наказания… Общественные работы на 2 года… 8 часов в день разгребать спам и составлять спамлисты…
        • +15
          вручную, на пентиуме 166 MMX
          • 0
            эх, а это мой первый компьютер кстати
            • 0
              Счастливчик… мой первый компьютер был механическим.
              • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      ага, казнь через повешивание на сетевом кабеле
    • +2
      Лучше бы вы, бездельники, нормальный сетевой протокол придумали и поставили нормальный фаерволл на дата-центр (лучше все же нормальный протокол), а то сразу, расстрелять, посадить, дожили.
  • +4
    Мотивы так и не выяснили? И зачем он лез к Вам?
    • +3
      судя по его интернет-портрету, он этим занимался на комерческой основе, так что намного важнее мотивы заказчика, а они очевидны — либо конкуренция, либо месть озлобленного клиента
      • 0
        Чего-то имхо для клиента шибко масштабно, насколько-бы он не был озлоблен :) У конкурента мотивы как-то яснее, не работает один банк — все уйдут в другой :)
        • +1
          сменить банк это не сходить в другой магазин. Куча волокиты, в том числе с договорами.
          • 0
            Для бизнес клиента да, для частника раз плюнуть, менял не раз.
      • +1
        дык еси бы было нужно положить сервак они бы не 500 запросов в секунду давали, а поболее, чтоб сервак сразу же выпал.
        Хотя может ботнет был слабоват, чтобы выдавать больше :)
        • 0
          вроде частный ботнет был потому и слабенький — возможно он сам собирал их
  • +23
    Так и не понял, что мешало Вам всю историю разом выложить.
    • +5
      признаюсь, нужен был инвайт:)
      • +3
        Да инвайтов сейчас поболее будет, чем желающих. Спросили бы и все)
        • +10
          Ну… Что могу сказать. Всем, написавшим мне в аську, инвайты раздал.
          На здоровье.
          • +4
            Еще я понял, что я не прав. Желающих оказалось раза в два больше)
      • +9
        инвайт… александру-хакеру?
        • +2
          Алексаааааннндддррррр вввстудиююююю
      • +13
        Инвайт-просто добавь воды (с) :)
        • НЛО прилетело и опубликовало эту надпись здесь
  • +12
    Казалось бы, причем тут хакер? Он же не хакер, а просто ддосер. Он же не взломал вашу банковскую защиту, верно?
    • +18
      Видимо так просто лучше звучит. Детективнее.
    • +1
      Да ладно к словам придиратся. Слово хакер ведь тоже не обязательно означает взломщик.
      Да и «ДДоСер» это както излишне «языковыворачивательно» — «хакре» проще и короче.
      • 0
        > «хакре»
        Опечатка. Должно было быть «хакер» конечно-же.
        • +6
          не опечатка. риальне хакре. ддосре%)
          • 0
            ((-:
            Ну так даже ддосре просто и коротко ((-:
  • НЛО прилетело и опубликовало эту надпись здесь
  • –5
    Предложили бы ему работу
    • +6
      таких не на работу брать нужно, а увольнять нафиг!
      довольно топорно сработано со стороны ддосера: ни собственной защиты, незашифрованный терминал, следы по всему интернету… беда одним словом.
    • +6
      Чтобы потом случайно узнать, что сервера банка используются для координирования ещё одной DDoS-атаки?
      • 0
        вы 24 пересмотрели, потом окажется, что все это надо для того, чтоб ы шэйх Абу-абу смог провести отряд оперативников для захвата белого дома.
    • 0
      Он что, сделал что-то гениальное? Влез в систему банка и незаметно украл деньги? Обычный скрипт-киддис, который троянов друзьям наслал, а потом на сайт банка ботнет направил. Это так тяжело, ппц. Да ещё и айпишник спалил свой.
  • 0
    Первая часть была намного зажигательнее. Закончилось все как-то банально, а вот взламывай он сайт детского садика, и все могло бы сложиться совсем по другому.
    • +7
      Взламывай он сайт детского садика — следователю, занимающемуся вопросами детской порнографии, было бы интересно заниматься этим делом :)
      • –3
        спасибо К.О.
  • +1
    Спасибо, увлекательно! Всегда приятно читать о работе увлечённых своим делом людей.
  • +2
    и всё-таки очень интерессно, на каком основании была выдана приватная информация о клиенте и, тем более, доступ к серверу. ведь история с ддос аттакой вполне могла оказаться выдуманой или админ мог ошибиться в своих расчётах.
    • 0
      Другой админ мог посмотреть логи и сделать вывод.
      • 0
        разве лог может служить доказательством? ведь это по большому счёту простой текстовой файл. редактируемый!
        • 0
          А тут не прокуратура и не суд тем более «хакеру» ничего не было.

          Цитата была такая.
          Да, клиент сейчас работает в терминальной сессии на этом сервере, я его отключу, и передам вам доступ к серверу. С этими уродами нужно бороться.
          Вероятно админ посмотрел что же делал этот юзверь.

          Само собой любой админ мог сказать не ваше дело пишите заявление, а тут другой случай который послужил почвой для такого развесистого поста)
          • 0
            не важно было что-нить «хакеру» или нет. важно то, что провайдер за здорово живёшь выдал своего клиента, придоставив доступ к серверу, на котором могла храниться корпаративаная информация, третьим лицам. если там что-то и было, он был обязан разобраться с этим сам.
            • 0
              Да это как Руцентр) Но видимо у админа был повод усомнится в честности хакера о котором подробно здесь не написано. А то что сдал инфу видимо он ему тоже не нравился)
              • 0
                получается, если я сфабрикую лог, отправлю его провайдеру и если повезёт и провайдер недолюбливает клиента, я получу доступ к его сессии? Из тескта, кстати, не видно, что пользователь на сервере делал какие-то противозаконные действия. открытая страница в броузере и терминальная сессия такими точно не являются.
                • 0
                  Админ (на ток конце) сам смотрел что происходит а автор темы просто указал куда смотреть и уделить особое внимание и ничего не придумывал. Вроде написано же в 1 части как он попросил.
                  • 0
                    может я конечно не сильно разбираюсь в специфике, но что увидел админ на «том конце»? броузер и открытый терминал? что имено заставило его отдать доступ к сессии постороннему человеку?
                    • 0
                      Что хакер работает в терминальной сессии на этом сервере. Этого (и что то ещё) ему хватило чтоб убедится что идет координация DDOS атаки. На самом деле спроси у того админа почему ему так захотелось)
                    • 0
                      Надо просто учитывать, что хостинг провайдер может делать с вашим сервером всё что угодно. Сливать ваши данные и так далее. Даже если хостер порядочный, остаются ещё непорядочные сотрудники.

                      Эти размышления скорее не для досеров и ддосеров, а для людей данные которых имеют коммерческую ценность.
  • +3
    Одно не понятно, почему автор не затроянил терминальный сервер (из наилучших побуждений конечно и для хорошего дела) пока у него был доступ. Тогда и спрашивать у «хакера» пароль к серверу с айпи ххх.ххх не пришлось бы…
  • –3
    А кто знает как отловить этих бот-нетчиков?

    Мой сайт недавно атаковали, CAPTCHA не было и за 30 минут 70 заказов сделали. Радости было очень много пока не понял, что это все спам :))) В попыхах за час работы остановил их, сам не знаю кого конкретно :) По логам апача запросы шли с более чем одного компьютера и с одного ИП с интервалом около 1 секунды. Сканировали весь сайт, каждую линку. Но чтоб сделать заказ все равно нужно было уложиться в некий шаблон: е-майл в поле верно ввести, номера телефонов, ссылки и прочее, иначе заказ не ушел бы. Т.е. схема должна была быть такая — сначала изучали форму ввода, чтобы подобрать значения, которые она принимает, потом уже спамили в автоматическом режиме. Хотя автоматически подобрать верные данные для формы ввода тоже по идее можно, путем перебора: текст, цифры, е-майлы — вот и весь набор входных данных.

    Далее я пытался определить кому принадлежат ИП-шники. Один оказался зарегистрирован на какой-то институт в Италии, дальше я не стал изучать, т.к. решил, что это некий бот-нет и сам институт тут конечно не причем.

    Вот такие дела. Как их найти в следующий раз и по попе надавать?
    • +12
      С вашими навыками, мне кажется никак.
      • +4
        Я бы вопросов здесь не задавал, если бы навыки были.
        Я не понимаю, на хабре вообще есть смысл спрашивать или тут постоянное соревнование идет: у кого лучше сарказм получается?
        • 0
          Нет, тут соревнование по «кошению под Хауса» =)
          Планктончик развлекается.
          • –3
            Опа, а я тоже его фанат! Сейчас ему плюс за это поставлю :)))
            • –6
              Дайте кармы, хочу плюс ему поставить :)
            • 0
              Фанатизм вреден.
  • НЛО прилетело и опубликовало эту надпись здесь
    • +13
      Вообще да, забавно, не имея вообще никаких доказательств слили сервер клиента. От таких хостеров надо держаться подальше.
    • +6
      Жду от Вас статьи «Как я ловил ловца хакера» :)
    • +1
      Ага, вот ты — подозрительный -_О

      А вообще вопросы в тему. Ждём автора с пояснениями.
    • +2
      > Сотрудники CISCO отуда приехали срочно? (Лас-Вегас/Кипр)
      а что, железный занавес вернулся пока я спал? тыц
  • НЛО прилетело и опубликовало эту надпись здесь
    • +1
      любые меры безопасности должны быть адекватны опасности и важности защищаемой информации. Более того, затраты на защиту всегда выше затрат на атаку.
  • 0
    Да, вообще, географию ботнета интересно изучать… недавно тоже сайт мне заддосили, так там пол европы было
  • НЛО прилетело и опубликовало эту надпись здесь
  • +3
    Во всей этой истории удивляет лёгкость с которой хостер «сдал» своего клиента. А вообще вспоминается анекдот «какая страна такой и теракт» учитывая что полная инфа по автору, банку и хостеру выуживается за 10 минут в гугле, чего ото секретничать было ;)
  • 0
    дык а нафига он это делал-то?
  • +2
    Блин, хочу быть таким же грозным и боевым админом, как и Вы )
  • +9
    Сергей Иванович — крiса
  • +2
    Жаль, что вам не попался реальный хакер)
  • 0
    Когда вы в первом топике написали "«отрезание» головы червя, мои показания в управлении по борьбе с экономическими преступлениями во второй части", я подумал: «Вот это да!», а прочитав, немножко даже разочаровался, думал будет так же увлекательно как в прошлом топике, а получилось, что и турецкий сервер сам отвалился, и ддосера не нашли =)
  • НЛО прилетело и опубликовало эту надпись здесь
  • –4
    я как то участвовал в научной конференции, посвященной информационной безопасности… Так вот вырвало меня на докладе такого же сказочника, вещавшего «как он с руководителем» звонили по банкам, получали разрешения а потом сканили nmap-ом их сайты.

    Вот скажи мне автор — в чем противоправность действий? Кроме генерации большого количества запросов что вы сможете вменить? Это если докажете, что ботнет был, что не звезды так встали и народ полез на ваш сайт, и что это был его ботнет…

    ps: а чем «хакер» отличился бы от «автора», написав статейку на хабре и дав ссылку на сайт? Хабро-дос будет не 500 запросов.
  • +2
    ну и сказочник же вы, автор :)
  • –2
    хорошая интересная статья
  • –2
    урок всем кул хацкерам:
    1. не сри там где живешь
    2. если уж решил насрать — используй западные сервера и хостеры где-то на острове Пасха

    и да, непонятно что за ебала с Сергеем Ивановичем.
    Любой может позвонить сказать дайте данные с сервера ИП ХХХ.ХХ.ХХ.ХХ оттуда идет ддос и все пучком будет? Дайте телефон С.И не откажусь от пару серверов
  • –7
    — «он предоставил мне номер ICQ и мобильника хакера», вот скажите мне, эти данные конфиденциальны? и передовать их третьим лицам тоесть вам не законно и является нарушением прав владельца. В этом случае считаю, что его действия против вас такие же законные как и ваши методы.
  • –9
    «В течении часа после этого диалога, турецкий сервер перестал пинговаться. «Голова»была отрублена. Оставалось единственное – передать всю информацию в службу безопасности банка, что я и сделал. „

    Ну вы и мудак (
  • 0
    Странно, что все удивляются поступку хостера. Ведь как правило, если поступает какая-то жалоба на клиента вида спам/варез/ддос хостеру проще решить вопрос не в пользу клиента и это вроде бы стандартная практика. Да, есть хостеры, которые игнорят все «абузы», но и клиенты у них соответствующие. Большинству хостеров же проще не создавать проблем себе и остальным своим клиентам и отключить «проблемный» аккаунт.

    Хотя выдача контактов клиента тут уже явно лишняя… Вот это странно.
    • 0
      мало ли как «проще», тут речь о том, как законнее… а без решения суда отключить аккаунт просто по абузе нельзя
  • 0
    А по-моему здесь все очевидно. Автор заработал инвайт с помощью перепечатки книги. У него это вобщем-то получилось. Его само-пеар до сих пор продолжается:

    UPD: кажется в коментариях появился тот самый хакер, не буду утверждать точно, но ник похож, и коментарии каверзные. Напишу точно, когда изучу его


    Мне кажется не стоит искать полного правдоподобия данной истории и рассматривать это как художественное произведение.
  • 0
    тот самый хакер, мой ник похож, да и это кстати очень каверзный комментарий… изучить меня более подробно можно в учебнике по анатомии человека
  • 0
    м, прикольно,
    полезно узнать, что киберпреступления маловероятно наказуемы в наших краях.

    будем смелее теперь в своих экспериментах.
  • –1
    прочитал! Спасибо за сказку на хабре, я люблю интересные истории и взрослые саказки.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.