Как вычислить хакера...
#1
Отправлено 18 Февраль 2007 - 01:43
С подобной проблемой я сталкиваюсь впервые, поэтому хотел бы спросит вас, о мудрые профессионалы, каким же, чёрт побери, образом можно достоверно вычислить этого хакера с целью передачи всех этих сведений в отдел «К» для заведения на него уголовного дела и возмещения моего ущерба…
Что имеем на данный момент:
1. Хостер пока молчит.
2. Из имеющихся конкурентов есть четыре кандидата, достать которых физически не представляется сложным, но КТО???
3. Из лог-файла файеволла собственного компьютера могу выделить несколько местных IP, которые так или иначе прорывались ко мне в течение последних 2-х дней.
4. То же про несколько странных звонков по телефону вчера и сегодня утром…
5. Хакер обозвался турком, но не представляю, какой интерес турку ломать сайт на русском, который на его компе, даже будь там установлена кириллица, показался бы ему абракадаброй…
… в принципе список можно продолжать… Наверное кое-кому всё это кажется смешно, но тем не менее жду от вас, господа реальной помощи! Не получится через суд – хотя-бы знать я должен что это за гнида!
#2 Гость_Папа Серёжа_*
Отправлено 18 Февраль 2007 - 01:55
А не конкуренты не могли? Никому на форумах не трещал о сайте? У меня был случай, что с этого форума один малец меня атаковал. Но там был вопрос домашнего компа, а не сайта.
Надо бы покумекать над всеми вариантами, а то не дай Бог предъяву предъявишь не тому.
Еще раз сочувствую. Выравнивай бизнес-линию. Успеха!
С уважением
#3
Отправлено 18 Февраль 2007 - 11:17
Успокойся и поставь нормальную защиту.
Восстановись из бэкапа. Если сам не делал обратись к хостеру, нормальный делает архивацию данных хотя бы раз в сутки.
Мститель
#4
Отправлено 18 Февраль 2007 - 15:28
"Мне взломали деревянную дверь в квартиру и вынесли оттуда золотые слитки. Мало того, что я унижен..."
Что бы вы на такое сказали?
1 - надо нормально защищаться.
2 - все, что хранится на интернет-сервере - всегда стоит ожидать, что кто-то это сломает или стянет.
3 - все ценное хранить надо так, чтобы его снаружи достать было практически невозможно (храните деньги в сберегательной кассе...).
А вот как найти - зависит от того кто ломал. Если ломал Вася Пупкин по недомыслию - его можно найти и настучать по башке, чтобы не делал так больше. Без вмешательства МВД.
А вот если ломал специалист, действительно хакер - то найдешь ты все равно того же В.Пупкина, который ни сном ни духом, почему с его компа кто-то лез ломать сайт. Тут только искать по мотивам, кому было выгодно и кто получил с этого плюшки.
#5
Отправлено 18 Февраль 2007 - 15:40
"У Шпака магнитофон. У посла медальон"
У Кисоньки личку. У Сёмы сайт.
:shock:
"Спокойствие. Только спокойствие."
" Дело то житейское."
#6
Отправлено 18 Февраль 2007 - 18:39
Спасибо конечно за сочувствие и стёб, но заказ налицо: ну кому нах надо ломать малопосещаемый корпоративный сайт да к тому-же ещё в субботу вечером? И ради какой такой цели сидеть в Дримвивере не один час и клепать страницу сообщающую мне, что я лох?
Что касается полуозвученной суммы ущерба - даже не берусь её подсчитать:
- во первых: скорее всего стырена база данных с клиентами - не смертельно, но малоприятно.
- во-вторых: двидок придётся полностью переделывать - хоть забэкапься - хакер дорожку уже знает :wink:
- в-третьих: всё это говно появилось на сайте в аккурат перед нашим семинаром, который должен состояться во вторник...
Сразу оговорюсь: спам не рассылал, со ссылками в форумах не светился, открытых конфронтаций на почве рассматриваемого бизнеса не имею... Т.е. по логике: искомый подонок - это трусливый конкурент, который большего против меня сделать не может и вместо того чтобы отдыхать в субботу как все нормальные люди, сидит за компом и дабы утешить своё больное самолюмие глумится над моим сайтом и злорадно хохочет, представляя мою реакцию на увиденное...
И что, неужели никак нельзя этого подонка найти? И даже не ради того, чтоб оторваться на нём по полной, а только ради того, чтоб появиться на пороге его дома и сфотографировать его изумлённую и испуганную морду... а фоторгафию вывесить на этом форуме...
#7
Отправлено 18 Февраль 2007 - 19:00
есть такая организация- Милиция.. вот она этим занимается.
#8
Отправлено 18 Февраль 2007 - 20:50
Только не через милицию, отдел К и т. п. Даже если они примут заяву, но из-за малозначимости дела постепенно сольют.И что, неужели никак нельзя этого подонка найти?
Вот если ты им пообещаешь сумму хотя бы в половину их месячного дохода (не путать с зарплатой), тогда возможно.
Попробуй нажать на хостера. У них должен быть механизм поиска таких пионеров, их самих частенько ломают. Скажи, что защита была, поэтому надеясь на неё и не бэкапился. Вырази своё недовольство. Скажи, что взлом возможно был со стороны сервера хостера, пригрози публичными выступлениями на форумах с обвинениями в адрес хостера.
#9 Гость_Рабинович_*
Отправлено 18 Февраль 2007 - 22:27
#10
Отправлено 19 Февраль 2007 - 03:45
1. тебе САМОМУ сайт хоть раз ломали?
2. ты САМ рассчитал сколько денег менту предложить или старшие надоумили?
3. ты САМ пугал хостера блэкпиаром и обвинял ли ты хостера в том, что дополнительный бакс в месяц на бекап пожалел?
0: Сёма
Вот по постам ты вроде вполне адекватен. Но почему по вопросу компьютерной безопасности ты обращаешься к этому форуму? Тут и домашний бизнес, благотворительность, политика, раскрутка сайтов, млм и отвечают на вопросы мегаспецы. Но однозначно больше всех здесь сисадминов, хакеров и эксплойтщиков :wink:
#11
Отправлено 19 Февраль 2007 - 08:54
Да, было пару раз, 2 года назад.
[quote]2. ты САМ рассчитал сколько денег менту предложить или старшие надоумили?[/quote]
Старшие?
С ментами завязан давно и знаю про них многое.
[quote]3. ты САМ пугал хостера блэкпиаром и обвинял ли ты хостера в том, что дополнительный бакс в месяц на бекап пожалел?[/quote]
Хостера нет, другие публичные интернет компании пугал, результат есть.
Насчет бакса в месяц на бэкап, так тебе видимо невдомек, что это сейчас стандартная комплектация даже самого дешевого тарифного плана.
9: Dr. Dre
ты сам-то что можешь посоветовать? Лучше бы сказал "спроси у Яндекса":)
Родился под знаком водолея?
#12
Отправлено 19 Февраль 2007 - 15:26
поясни тогда эту свою фразу
[quote]Скажи, что защита была, поэтому надеясь на неё и не бэкапился[/quote]
На тех хостингах, где бекап сразу включен в тариф, он автоматический раз в сутки. Только у последних хостеров-извращенцев он ручной и количество бекапов ограничено.
[quote]С ментами завязан давно и знаю про них многое.[/quote]
Ну так не ходи вокруг да около половины их месячного дохода, а не зарплаты, а подскажи Семе примерную сумму
[quote]Попробуй нажать на хостера. У них должен быть механизм поиска таких пионеров, их самих частенько ломают.[/quote]
Умник, хостер максимум что даст, это список айпи, с которых коннект в тот день был, они не ясновидящие, чтобы по айпи угадать паспортные данные взломщика. Да и только пионеры свой айпи не прячут.
[quote]Вырази своё недовольство. Скажи, что взлом возможно был со стороны сервера хостера[/quote]
Как ты можешь доказать, что взлом со стороны сервера? Хостеры сами в логах могут посмотреть что, когда и откуда было.
#13
Отправлено 19 Февраль 2007 - 17:48
Ну так не ходи вокруг да около половины их месячного дохода, а не зарплаты, а подскажи Семе примерную суммуОткуда я знаю. Многое зависит от города, сложности задачи, задействованных ресурсов.
Остальное... не охота спорить не о чем
#14
Отправлено 19 Февраль 2007 - 22:07
Проблемма была в трояне на моем компе... черт знает откуда спомал... и этот троян гадина переслал данные на ftp-доступ какой-то сволочи... ну а там дело техники... :evil:
если история похожа, то возможна та-же ситуация - тогда чисти комп (перемещай трояна в хранилище антивирусника) и выясняй куда отсылались данные. Если сам не можешь - привлеки к делу спецов - отдай им файлы трояна и пусть протестируют под защитой куда падла данные шлет.
хотя было у меня дело и хостинг зараженный был... на серваке ip-67.15.226.30 там сервак рухнул из-за массового заражения сайтов пользователей. и хостер обанкротился (hostseller.ru) :roll:
http://hobus.ru
#15
Отправлено 20 Февраль 2007 - 05:14
Поговорить зато ни о чем охота, куда уж тут аргументированно спорить, абы ляпнуть что-тоОстальное... не охота спорить не о чем
13: amelanin, такая же история и у меня была несколько лет назад. Я тогда, как и советовал Volgar, стучался к хостеру в асю, бычил, не верил, что это не их вина. Дали список айпи, а что с ними делать? Нет ничего сложного заразить совсем левый комп и действовать через него. Просканировал винт всем чем можно и нашел трояна, который и отсылал фтп данные. Стыдно стало потом перед хостером...
Правда этот эксп, как потом по форумам я понял, подцепило немало людей, это было не западло от конкурентов с удалением страниц, а всего лишь вставка в страницы ифрейма, грузящего новый эксп посетителям ломаных сайтов
#16
Отправлено 20 Февраль 2007 - 16:46
Зы - а с хостером... я там баксов этак 20 потерял и три сайта... от хостселлера ни слуху ни духу будто и не было его никогда... и там они сами признав проблемму пообещали вернуть деньги в первой половине этого года. но пока еще не вернули. я на них не в обиде - форсмажор, есть форсмажор.
http://hobus.ru
#17
Отправлено 20 Февраль 2007 - 19:34
Дорвеестроительство и написание экспов - совершенно разные виды занятий. Хотя, конечно, некоторые совмещают, но это единичные случаи, чаще всего связанные с адалтом.
#18
Отправлено 20 Февраль 2007 - 19:55
Делай деньги, делай быстро, делай как можно быстрее... делай бесчестно если можешь, и честно если нельзя иначе.
Так вот следуя вышеперечисленному - - - они и дорвеи клепают, и трояны подсаживают, и сайты рушат... исходя из одной единственной цели - деньги любым путем...
http://hobus.ru
#19
Отправлено 20 Февраль 2007 - 21:08
Да, недели две или три назад в инете рассылка гуляла "даунлад для 7 ие". Мне на яндекс приходила два раза. "Др ВЕб " от Яндекса этого трояна не видит. Сам три раза проверял. На моей точиле сирена воет, а яндекс выдает что вирей нема. :shock: Вот и верь после этого ... Мне интересно, а возможно ли в трояне прочесть адрес, на который этот троян работает?К сожалению не некоторые совмещают, а многие... ибо есть такая категория людей что готовы идти по трупам... именно они зарабатывают деньги по формуле Самюэля Клементса:
Делай деньги, делай быстро, делай как можно быстрее... делай бесчестно если можешь, и честно если нельзя иначе.
Так вот следуя вышеперечисленному - - - они и дорвеи клепают, и трояны подсаживают, и сайты рушат... исходя из одной единственной цели - деньги любым путем...
#20
Отправлено 21 Февраль 2007 - 01:07
Точно не скажу, но в принципе файрвол должен отслеживать все коннекты. Но опять же не забываем о том, что он может отправлять данные на левый зараженный комп, даже по цепочке с одного на другой и только потом взломщику. Плюс можно еще замести следы, повесив самоуничтожающегося трояна или повредив системные файлы, чтобы негласные сообщники - недогадывающиеся об этом владельцы компов-посредников, переустановили систему.Мне интересно, а возможно ли в трояне прочесть адрес, на который этот троян работает?
Про трояна это просто мысль, может и не было ничего такого. Может кто-то подобрал логин-пароль к хостингу. А может при коннекте к серверу по фтп с компа произошел перехват этих данных (самый уязвимый в этой линейке вроде Виндос Коммандер)
Сложно сказать, тут специалисты должны разбираться...
#21
Отправлено 21 Февраль 2007 - 01:23
единственное объединяющее эти сайты звено - было мой комп...
http://hobus.ru
#22
Отправлено 21 Февраль 2007 - 02:51
Во-первых извиняюсь что пропал - день сегодня был наредкость насыщенный...
Теперь по ситуации:
Переписка с хостером ничего не дала - беседа свелась к отпискам: дескать "возможности установить нападавшего нет" и всё тут... Два гневных письма отправленные после этого ушли похоже в пустоту и ответа на них мне видимо не дождаться...
Вчера копался в лог-файле, слитом с сервера и в лог-файле файерволла установленного на моём компе - результат в принципе довольно неожиданный:
1. На сервере (причём не где-то, а в админпанели) - всего один левый IP а статистика закачек по FTP уничтожена! IP из моего города, принадлежит одному из двух существующих карточных провайдеров.
2. На компе: десятки отражённых атак от нескольких похожих друг на друга IP-адресов принадлежащих другому провайдеру (услугами которого пользуюсь и я).
3. Поломанный сайт находится на сервере расположенном в другом городе - я специально это сделал, т.к. годод у нас небольшой, и другом хостера может оказаться в принципе кто угодно :wink:
Следуя логике, турками тут не пахнет и близко - хакер на 99% мой земляк. Однако выходим на уже озвученные два варианта:
1. Хакер - ламер, вышел по одной интернет-карте, затем каким-то образом обошёл мой файерволл, стырил пароли от FTP, зашёл по другой карте и и преспокойно нагадил на сервере.
2. Хакер хотел показаться ламером.
Во втором случае по башке получает совершенно непричастная человеческая особь
К версии засылки трояна склоняюсь ещё и потому, что он собственно присутствует, и даёт о себе знать пытаясь периодически отключить файерволл. К слову сказать, обнаружить троян мне пока не удалось ничем из того что имеется...
#23
Отправлено 21 Февраль 2007 - 04:19
http://hobus.ru
#24
Отправлено 21 Февраль 2007 - 09:11
Еще года 3-4 назад, когда часто ловил подобное г...., читал, что такие вещи делаются 2-х модульными. Первый модуль - это эксплойт, маленькая программка, незаметно проникающая на компьютер. Также этот эксплойт доставляет на комп и самого трояна. После проникновения эксп устанавливает троя. Воровство паролей и прочее - это уже работа троя.
Именно поэтому и бывают ситуации, когда удаленный вроде бы трой опять появляется на компе после рестарта. Антивирь его уничтожает, но не находит эксп. А эксп проверяет на месте ли трой и если нет, то ставит его заново.
#25
Отправлено 21 Февраль 2007 - 16:14
В любом случае - избавление от вируса - процесс длительный, и идет последовательное сканирование дисков всеми доступными антивирусами и антитроянами.
Но когда ничего не помогает - формат C в помощь...
http://hobus.ru
#26 Гость_Папа Серёжа_*
Отправлено 21 Февраль 2007 - 17:53
Все значки на мониторе начинают как бы стекать, и начинает "трескаться" стекло на мониторе! Мышою ничего не ловится, никуда пойти не можешь :shock: И из глубины экранга монитора, (вроде как через разбитое стекло) начинает птица биться. Бьется в кровь, которая стекает по экрану и превращаются капли крови в стихи :shock: :shock: :shock: Там были примерно такие слова:
Бьешься как птица, о разбитое стекло
... Чего-то дальше еще было, но не помню сейчас
Мне потом профессор тоже все переустанавливал и ставил как сейчас помню Виндовс НТ. Тот пароль просил постоянно при входе в инет.
Не знаю почему, но не словил тот вирус Нортон. Потом мои знакомцы глушили того чувака с аськи Война прям была в инете
Сема! AdAware точно ловит такую штуку. После каждого захода в инет, она у меня штуки четыре каких-то косяка обязательно находит. Пишет, что не существенно, но находит. что-то про куки пишет. И я карантиню всю эту фигню. А один раз он выловил то, о чем ты говоришь.
А сайт ты сможешь восстановить? (Без всяких бесполезных вопросов как и почему)
С уважением
#27
Отправлено 21 Февраль 2007 - 23:37
вобщем теперь lovesan ненавижу лютой ненавистью... хотя не могу не признаться было весело....
http://hobus.ru
#28
Отправлено 22 Февраль 2007 - 00:06
Сегодня съездил в магазин и купил новый комп... Буду полночи всё устанавливать...
25: Папа Серёжа
А сайт ты сможешь восстановить?
Это самое простое что можно сделать: поменяю пароли и заново всё залью на сервер, благо вовремя успел всё скинуть на диск... хотя сейчас уже не уверен - может там на диске ещё какая собака порылась? :wink:
А вот что я реально уже никогда не смогу восстановить, так это доверие к хостеру, который мою просьбу проигнорировал, доверие к антивирусам и файерволлам, а особенно доверие к конкурентам...
#29 Гость_Рабинович_*
Отправлено 22 Февраль 2007 - 00:31
#30
Отправлено 22 Февраль 2007 - 00:42
9: Dr. Dre
Вот по постам ты вроде вполне адекватен. Но почему по вопросу компьютерной безопасности ты обращаешься к этому форуму?
Причин тому несколько:
Во-первых здесь люди которым я доверяю. Вот представь, зашёл я на незнакомый форум эксплойтщиков и начинаю: "пацы памагите турки падонки мой сайт грохнули"... Перед тем как сюда запостить я несколько подобных форумов просмотрел и в основном над человеком там просто стебаются...
Во-вторых, помимо политологов, бизнесменов и откровенных 3,14здоболов на этом форуме много если не сисадминов, то владельцев сайтов точно (думаю каждый второй). И, как показала дискуссия, многим из них уже довелось столкнуться с подобной проблемой. Думаю что обмен опытом в столь важном вопросе просто необходим! ...не столько даже для меня, сколько для десятков, а может и сотен таких же как я, которые, уверен в скором времени навалят из поисковиков (о ребята, как я вас понимаю :wink: )
В третьих, я помню кто-то из здесь присутствующих обронил такую фразу, дескать: "прятать IP занятие глупое - тут как у напуганного страуса: голова в песке, а жопа снаружи" :wink: жаль не помню кто это сказал и из каких соображений он при этом исходил...
Ну а предлагать деньги ментам - это додуматься надо было... Представляете прихожу значит я в ментовку с жёстким диском, и милиционеру усатому так подмигиваю: "договоримся?"
Количество пользователей, читающих эту тему: 1
0 пользователей, 1 гостей, 0 анонимных