Сообщений в теме: 47

[Сёма]

… не буду вдаваться в перечисление тех мыслей, которые крутятся сейчас в моей голове… скажу просто: какой-то хакер взломал мой сайт… и дело даже не в том, что я унижен, дело в том, что мне нанесён материальный ущерб в размере ХХХ тыс. руб.
С подобной проблемой я сталкиваюсь впервые, поэтому хотел бы спросит вас, о мудрые профессионалы, каким же, чёрт побери, образом можно достоверно вычислить этого хакера с целью передачи всех этих сведений в отдел «К» для заведения на него уголовного дела и возмещения моего ущерба…
Что имеем на данный момент:
1. Хостер пока молчит.
2. Из имеющихся конкурентов есть четыре кандидата, достать которых физически не представляется сложным, но КТО???
3. Из лог-файла файеволла собственного компьютера могу выделить несколько местных IP, которые так или иначе прорывались ко мне в течение последних 2-х дней.
4. То же про несколько странных звонков по телефону вчера и сегодня утром…
5. Хакер обозвался турком, но не представляю, какой интерес турку ломать сайт на русском, который на его компе, даже будь там установлена кириллица, показался бы ему абракадаброй…
… в принципе список можно продолжать… Наверное кое-кому всё это кажется смешно, но тем не менее жду от вас, господа реальной помощи! Не получится через суд – хотя-бы знать я должен что это за гнида!

[Volgar]

0: Сёма
Успокойся и поставь нормальную защиту.
Восстановись из бэкапа. Если сам не делал обратись к хостеру, нормальный делает архивацию данных хотя бы раз в сутки.
Мститель

[Бука]

Не обиды ради:
"Мне взломали деревянную дверь в квартиру и вынесли оттуда золотые слитки. Мало того, что я унижен..."
Что бы вы на такое сказали?

1 - надо нормально защищаться.
2 - все, что хранится на интернет-сервере - всегда стоит ожидать, что кто-то это сломает или стянет.
3 - все ценное хранить надо так, чтобы его снаружи достать было практически невозможно (храните деньги в сберегательной кассе...).

А вот как найти - зависит от того кто ломал. Если ломал Вася Пупкин по недомыслию - его можно найти и настучать по башке, чтобы не делал так больше. Без вмешательства МВД.
А вот если ломал специалист, действительно хакер - то найдешь ты все равно того же В.Пупкина, который ни сном ни духом, почему с его компа кто-то лез ломать сайт. Тут только искать по мотивам, кому было выгодно и кто получил с этого плюшки.

[Кольт]

0: Сёма
"У Шпака магнитофон. У посла медальон"
У Кисоньки личку. У Сёмы сайт.
:shock:
"Спокойствие. Только спокойствие."
" Дело то житейское."

[Сёма]

Ох блин...
Спасибо конечно за сочувствие и стёб, но заказ налицо: ну кому нах надо ломать малопосещаемый корпоративный сайт да к тому-же ещё в субботу вечером? И ради какой такой цели сидеть в Дримвивере не один час и клепать страницу сообщающую мне, что я лох?
Что касается полуозвученной суммы ущерба - даже не берусь её подсчитать:
- во первых: скорее всего стырена база данных с клиентами - не смертельно, но малоприятно.
- во-вторых: двидок придётся полностью переделывать - хоть забэкапься - хакер дорожку уже знает :wink:
- в-третьих: всё это говно появилось на сайте в аккурат перед нашим семинаром, который должен состояться во вторник...

Сразу оговорюсь: спам не рассылал, со ссылками в форумах не светился, открытых конфронтаций на почве рассматриваемого бизнеса не имею... Т.е. по логике: искомый подонок - это трусливый конкурент, который большего против меня сделать не может и вместо того чтобы отдыхать в субботу как все нормальные люди, сидит за компом и дабы утешить своё больное самолюмие глумится над моим сайтом и злорадно хохочет, представляя мою реакцию на увиденное...

И что, неужели никак нельзя этого подонка найти? И даже не ради того, чтоб оторваться на нём по полной, а только ради того, чтоб появиться на пороге его дома и сфотографировать его изумлённую и испуганную морду... а фоторгафию вывесить на этом форуме...

[Pochtovik]

5: Сёма
есть такая организация- Милиция.. вот она этим занимается.

[Volgar]

И что, неужели никак нельзя этого подонка найти?

Только не через милицию, отдел К и т. п. Даже если они примут заяву, но из-за малозначимости дела постепенно сольют.
Вот если ты им пообещаешь сумму хотя бы в половину их месячного дохода (не путать с зарплатой), тогда возможно.

Попробуй нажать на хостера. У них должен быть механизм поиска таких пионеров, их самих частенько ломают. Скажи, что защита была, поэтому надеясь на неё и не бэкапился. Вырази своё недовольство. Скажи, что взлом возможно был со стороны сервера хостера, пригрози публичными выступлениями на форумах с обвинениями в адрес хостера.

[Dr. Dre]

7: Volgar
1. тебе САМОМУ сайт хоть раз ломали?
2. ты САМ рассчитал сколько денег менту предложить или старшие надоумили?
3. ты САМ пугал хостера блэкпиаром и обвинял ли ты хостера в том, что дополнительный бакс в месяц на бекап пожалел?


0: Сёма
Вот по постам ты вроде вполне адекватен. Но почему по вопросу компьютерной безопасности ты обращаешься к этому форуму? Тут и домашний бизнес, благотворительность, политика, раскрутка сайтов, млм и отвечают на вопросы мегаспецы. Но однозначно больше всех здесь сисадминов, хакеров и эксплойтщиков :wink:

[Volgar]

[quote]1. тебе САМОМУ сайт хоть раз ломали?[/quote]
Да, было пару раз, 2 года назад.
[quote]2. ты САМ рассчитал сколько денег менту предложить или старшие надоумили?[/quote]
Старшие?
С ментами завязан давно и знаю про них многое.
[quote]3. ты САМ пугал хостера блэкпиаром и обвинял ли ты хостера в том, что дополнительный бакс в месяц на бекап пожалел?[/quote]
Хостера нет, другие публичные интернет компании пугал, результат есть.
Насчет бакса в месяц на бэкап, так тебе видимо невдомек, что это сейчас стандартная комплектация даже самого дешевого тарифного плана.
9: Dr. Dre
ты сам-то что можешь посоветовать? Лучше бы сказал "спроси у Яндекса":)
Родился под знаком водолея?

[Dr. Dre]

[quote]Насчет бакса в месяц на бэкап, так тебе видимо невдомек, что это сейчас стандартная комплектация даже самого дешевого тарифного плана.[/quote]
поясни тогда эту свою фразу
[quote]Скажи, что защита была, поэтому надеясь на неё и не бэкапился[/quote]
На тех хостингах, где бекап сразу включен в тариф, он автоматический раз в сутки. Только у последних хостеров-извращенцев он ручной и количество бекапов ограничено.


[quote]С ментами завязан давно и знаю про них многое.[/quote]
Ну так не ходи вокруг да около половины их месячного дохода, а не зарплаты, а подскажи Семе примерную сумму

[quote]Попробуй нажать на хостера. У них должен быть механизм поиска таких пионеров, их самих частенько ломают.[/quote]
Умник, хостер максимум что даст, это список айпи, с которых коннект в тот день был, они не ясновидящие, чтобы по айпи угадать паспортные данные взломщика. Да и только пионеры свой айпи не прячут.

[quote]Вырази своё недовольство. Скажи, что взлом возможно был со стороны сервера хостера[/quote]
Как ты можешь доказать, что взлом со стороны сервера? Хостеры сами в логах могут посмотреть что, когда и откуда было.

[Volgar]

Ну так не ходи вокруг да около половины их месячного дохода, а не зарплаты, а подскажи Семе примерную сумму

Откуда я знаю. Многое зависит от города, сложности задачи, задействованных ресурсов.

Остальное... не охота спорить не о чем

[amelanin]

Самое забавное - у меня тоже сайты ломанули причем сразу 11 штук.... дело было в январе - подробности клал на другом форуме - http://tsbs.ru/forum/index.php?showtopic=2924&st=0&#entry20213

Проблемма была в трояне на моем компе... черт знает откуда спомал... и этот троян гадина переслал данные на ftp-доступ какой-то сволочи... ну а там дело техники... :evil:

если история похожа, то возможна та-же ситуация - тогда чисти комп (перемещай трояна в хранилище антивирусника) и выясняй куда отсылались данные. Если сам не можешь - привлеки к делу спецов - отдай им файлы трояна и пусть протестируют под защитой куда падла данные шлет.

хотя было у меня дело и хостинг зараженный был... на серваке ip-67.15.226.30 там сервак рухнул из-за массового заражения сайтов пользователей. и хостер обанкротился (hostseller.ru) :roll:

[Dr. Dre]

Остальное... не охота спорить не о чем

Поговорить зато ни о чем охота, куда уж тут аргументированно спорить, абы ляпнуть что-то

13: amelanin, такая же история и у меня была несколько лет назад. Я тогда, как и советовал Volgar, стучался к хостеру в асю, бычил, не верил, что это не их вина. Дали список айпи, а что с ними делать? Нет ничего сложного заразить совсем левый комп и действовать через него. Просканировал винт всем чем можно и нашел трояна, который и отсылал фтп данные. Стыдно стало потом перед хостером...
Правда этот эксп, как потом по форумам я понял, подцепило немало людей, это было не западло от конкурентов с удалением страниц, а всего лишь вставка в страницы ифрейма, грузящего новый эксп посетителям ломаных сайтов

[amelanin]

Если бы... тут попалась модификация - она напрочь закрывала окно с моими сатйами сразу перегружая експлорер прямо на сайт дорвей... и одновременно загружая вирусы на комп. :twisted:

Зы - а с хостером... я там баксов этак 20 потерял и три сайта... от хостселлера ни слуху ни духу будто и не было его никогда... и там они сами признав проблемму пообещали вернуть деньги в первой половине этого года. но пока еще не вернули. я на них не в обиде - форсмажор, есть форсмажор.

[Dr. Dre]

15: amelanin, не надо дорвеями обзывать всякие гадости :wink:
Дорвеестроительство и написание экспов - совершенно разные виды занятий. Хотя, конечно, некоторые совмещают, но это единичные случаи, чаще всего связанные с адалтом.

[amelanin]

К сожалению не некоторые совмещают, а многие... ибо есть такая категория людей что готовы идти по трупам... именно они зарабатывают деньги по формуле Самюэля Клементса:
Делай деньги, делай быстро, делай как можно быстрее... делай бесчестно если можешь, и честно если нельзя иначе.

Так вот следуя вышеперечисленному - - - они и дорвеи клепают, и трояны подсаживают, и сайты рушат... исходя из одной единственной цели - деньги любым путем...

[yyy]

К сожалению не некоторые совмещают, а многие... ибо есть такая категория людей что готовы идти по трупам... именно они зарабатывают деньги по формуле Самюэля Клементса:
Делай деньги, делай быстро, делай как можно быстрее... делай бесчестно если можешь, и честно если нельзя иначе.

Так вот следуя вышеперечисленному - - - они и дорвеи клепают, и трояны подсаживают, и сайты рушат... исходя из одной единственной цели - деньги любым путем...

Да, недели две или три назад в инете рассылка гуляла "даунлад для 7 ие". Мне на яндекс приходила два раза. "Др ВЕб " от Яндекса этого трояна не видит. Сам три раза проверял. На моей точиле сирена воет, а яндекс выдает что вирей нема. :shock: Вот и верь после этого ... Мне интересно, а возможно ли в трояне прочесть адрес, на который этот троян работает?

[Dr. Dre]

Мне интересно, а возможно ли в трояне прочесть адрес, на который этот троян работает?

Точно не скажу, но в принципе файрвол должен отслеживать все коннекты. Но опять же не забываем о том, что он может отправлять данные на левый зараженный комп, даже по цепочке с одного на другой и только потом взломщику. Плюс можно еще замести следы, повесив самоуничтожающегося трояна или повредив системные файлы, чтобы негласные сообщники - недогадывающиеся об этом владельцы компов-посредников, переустановили систему.
Про трояна это просто мысль, может и не было ничего такого. Может кто-то подобрал логин-пароль к хостингу. А может при коннекте к серверу по фтп с компа произошел перехват этих данных (самый уязвимый в этой линейке вроде Виндос Коммандер)
Сложно сказать, тут специалисты должны разбираться...

[amelanin]

В моем случае вывод был однозначно троян - пароли на сайтах стояли разные... сайты были расположены на разных хостингах и т.д. Причем пароли были не из легких, а от 8 знаков и выше - по разному...
единственное объединяющее эти сайты звено - было мой комп...

[Сёма]

Уф братцы, как всё нехорошо...
Во-первых извиняюсь что пропал - день сегодня был наредкость насыщенный...

Теперь по ситуации:
Переписка с хостером ничего не дала - беседа свелась к отпискам: дескать "возможности установить нападавшего нет" и всё тут... Два гневных письма отправленные после этого ушли похоже в пустоту и ответа на них мне видимо не дождаться...

Вчера копался в лог-файле, слитом с сервера и в лог-файле файерволла установленного на моём компе - результат в принципе довольно неожиданный:
1. На сервере (причём не где-то, а в админпанели) - всего один левый IP а статистика закачек по FTP уничтожена! IP из моего города, принадлежит одному из двух существующих карточных провайдеров.
2. На компе: десятки отражённых атак от нескольких похожих друг на друга IP-адресов принадлежащих другому провайдеру (услугами которого пользуюсь и я).
3. Поломанный сайт находится на сервере расположенном в другом городе - я специально это сделал, т.к. годод у нас небольшой, и другом хостера может оказаться в принципе кто угодно :wink:

Следуя логике, турками тут не пахнет и близко - хакер на 99% мой земляк. Однако выходим на уже озвученные два варианта:
1. Хакер - ламер, вышел по одной интернет-карте, затем каким-то образом обошёл мой файерволл, стырил пароли от FTP, зашёл по другой карте и и преспокойно нагадил на сервере.
2. Хакер хотел показаться ламером.

Во втором случае по башке получает совершенно непричастная человеческая особь

К версии засылки трояна склоняюсь ещё и потому, что он собственно присутствует, и даёт о себе знать пытаясь периодически отключить файерволл. К слову сказать, обнаружить троян мне пока не удалось ничем из того что имеется...

[amelanin]

лови его двумя прогами AdAware и Spybot & Search Destroy. Ну еще Kaspersky Internet Securyti с защитой по полной на усиленном еврестическом сканировании всех дисков - может спомать.

[Dr. Dre]

Я бы винт лучше отформатировал и винду переставил Не факт, что удалив трояна, ты от него избавишься.
Еще года 3-4 назад, когда часто ловил подобное г...., читал, что такие вещи делаются 2-х модульными. Первый модуль - это эксплойт, маленькая программка, незаметно проникающая на компьютер. Также этот эксплойт доставляет на комп и самого трояна. После проникновения эксп устанавливает троя. Воровство паролей и прочее - это уже работа троя.
Именно поэтому и бывают ситуации, когда удаленный вроде бы трой опять появляется на компе после рестарта. Антивирь его уничтожает, но не находит эксп. А эксп проверяет на месте ли трой и если нет, то ставит его заново.

[amelanin]

Бывает и такое... в моем случае вирус как раз таки привел к форматированию винта... так как подменил сразу несколько десятков системных библиотек внедрив туда свой експлойт. включая и explorer.exe

В любом случае - избавление от вируса - процесс длительный, и идет последовательное сканирование дисков всеми доступными антивирусами и антитроянами.

Но когда ничего не помогает - формат C в помощь...

[amelanin]

25: Папа Серёжа Такого почти формата в прошлом году словил... тот самый Lovesan... прикинь сижу на 98 винде... и вдруг бац.... значки все исчезли и панель инструментов тоже.... я за CTRL-ALT-DEL - хотел перезапустить explorer.exe//// как же разбежалси... там в панели пусто... ни одного процессы нет и панели инструментов тоже нет... тогда делаю резет (кнопкой)... и все... полное попадалово... комп перезагружается в режиме 640х480 точек в чуть не монохромном режиме.... рабочего стола как такового нет - вместо значков на рабочем столе системные папки, запускаю explorer.exe и вижу что дисков у меня нет - только рабочий стол а на нем вся система.... попытка запустить каспера или даже блокнот приводит к полному зависону с перезагрузкой.... вообщем снес я тогда все через формат С из под доса.... а потом и переразбил диск удалив и пересоздав разделы...

вобщем теперь lovesan ненавижу лютой ненавистью... хотя не могу не признаться было весело....

[Сёма]

Вощем так, просидел вчера полночи, просканил обновлёнными Ad Advarой SE и Agnitum Outpost Firewallом 4.0... резутьтат - ноль.
Сегодня съездил в магазин и купил новый комп... Буду полночи всё устанавливать...

25: Папа Серёжа

А сайт ты сможешь восстановить?

Это самое простое что можно сделать: поменяю пароли и заново всё залью на сервер, благо вовремя успел всё скинуть на диск... хотя сейчас уже не уверен - может там на диске ещё какая собака порылась? :wink:
А вот что я реально уже никогда не смогу восстановить, так это доверие к хостеру, который мою просьбу проигнорировал, доверие к антивирусам и файерволлам, а особенно доверие к конкурентам...

[Сёма]

К слову сказать, мы сосвем отошли от темы озвученной в начале топика: как всё-же достать подонка?


9: Dr. Dre

Вот по постам ты вроде вполне адекватен. Но почему по вопросу компьютерной безопасности ты обращаешься к этому форуму?

Причин тому несколько:
Во-первых здесь люди которым я доверяю. Вот представь, зашёл я на незнакомый форум эксплойтщиков и начинаю: "пацы памагите турки падонки мой сайт грохнули"... Перед тем как сюда запостить я несколько подобных форумов просмотрел и в основном над человеком там просто стебаются...
Во-вторых, помимо политологов, бизнесменов и откровенных 3,14здоболов на этом форуме много если не сисадминов, то владельцев сайтов точно (думаю каждый второй). И, как показала дискуссия, многим из них уже довелось столкнуться с подобной проблемой. Думаю что обмен опытом в столь важном вопросе просто необходим! ...не столько даже для меня, сколько для десятков, а может и сотен таких же как я, которые, уверен в скором времени навалят из поисковиков (о ребята, как я вас понимаю :wink: )
В третьих, я помню кто-то из здесь присутствующих обронил такую фразу, дескать: "прятать IP занятие глупое - тут как у напуганного страуса: голова в песке, а жопа снаружи" :wink: жаль не помню кто это сказал и из каких соображений он при этом исходил...



Ну а предлагать деньги ментам - это додуматься надо было... Представляете прихожу значит я в ментовку с жёстким диском, и милиционеру усатому так подмигиваю: "договоримся?"