Неудачная история удаления материала автора одного из курсов Paysystem

Здравствуйте!

Сейчас я хочу рассказать вам историю, которая произошла со мной несколько дней назад. Сразу хочу отметить, что рассказ написан на основе реальных событий. В данном рассказе все имена, адреса сервисов будут вырезаны (некоторые по договоренности, некоторые на личных основаниях). История будет интересная, поэтому устраивайтесь поудобней и наслаждайтесь. За все время существования нашего проекта было много угроз в адрес команды сайты, лично в мой адрес, в адрес проекта. Угрозы пишут конкуренты, авторы курсов-пустышек и все недовольные чем-либо. Если кто-то думает, что авторы адекватных курсов пишут угрозы – нет, вы ошибаетесь. Все вопросы и претензии с адекватными людьми решаются в адекватной обстановке. За последний год количество неадекватных людей уменьшилось в разы, но они еще остались. В основном, все игнорируется, но на этот раз я решил подыграть неизвестной личности и что из этого вышло вы узнаете дальше. Настоятельно рекомендую последовать моим советам в конце рассказа и пересмотреть собственную безопасность после прочтения.

Все началось в пятницу 22 апреля, когда в техническую поддержку пришло письмо с просьбой опубликовать курс-пустышку с душераздирающей историей. Скриншот письма:

С виду вижу обычное письмо с просьбой опубликовать курс, но первое, что меня смутило – это то, что материал прислали прямо на почту Администратора, а не в предложенные записи. Второе – курс уже публиковался несколько дней назад до получения этого письма и никаких программ там не было. Третье – просьба запустить сомнительную программу (развод на лоха). Становится понятно, что это неудачная попытка заразить меня каким-то пока мне неизвестным вирусом. Письмо можно было проигнорировать и забыть об этом, но я решил подыграть “Максиму” и посмотреть, что он собирается делать дальше.

Скачиваю архив, распаковываю его. В архиве два файла (KursProga.exe и Текстовая инструкция.txt):

Содержимое текстового файла: 

Посмеялся, спасибо. Переходим к программе. Во-первых – это был архив, так как WinRar показывает такую опцию, как “Извлечь файлы”. Долго не думая я обратился к своему знакомому, который занимается реверсингом ПО и вирусологией, а также закинул архив на Virustotal и получил следующие результаты:

Теперь точно все понятно. Дождавшись результатов анализа софта, я получил информацию о том, что это обычный плохо криптованный паблик кейлоггер (троян для перехвата нажатия клавиш с клавиатуры). Долго не думая я разворачиваю виртуальную машину с Windows XP (чтоб наверняка), устанавливаю несколько программ, создаю видимость того, что это рабочий компьютер, а не левая виртуальная машина. Запускаю вирус, появляется консоль на несколько секунд. Вирус активировался. Теперь необходимо словить нашего юного хакера с поличным. Далее с аккаунта главного Администратора урезаю себе на аккаунте на сайте права до минимума и даю задание программисту написать условие для авторизации (если авторизация проходит от указанного имени – идет редирект на страницу, где будет произведен перехват IP-адреса злоумышленника). Сделать это не сложно, уже через час все было готово. Дело близится к ночи. Включив виртуальную машину, в течение некоторого времени я побывал на некоторых IT ресурсах, затем зашел на сайт и авторизовался. Все, теперь осталось только ждать…

Время 2:14 ночи. Смотрю логи, прошла авторизация с IP, который мне не принадлежит. Попался родной Быстро отменив все изменения и изменив данные для авторизации я решил оставить дело до утра и отправился спать. С утра я приступил к сбору информации о неизвестном “Максиме”. Первым делом залез в свойства письма, которое я получил. По-умолчанию, кто не знает – Mail.Ru в заголовках подставляет Ваш IP, с которого было отправлено письмо! Кто не верит – проверьте Строчка “Received: from [ВАШ IP] (ident=mail)”. Пробиваю город:

Все было бы хорошо, но этот IP не совпадает с тем, с которого “Максим” производил авторизацию. Оставив этот адрес (я был уверен, что это настоящий IP), я принялся к изучению IP, с которого работал злоумышленник. Это оказалась обычная Proxy на раздаче. Страна Украина:

Дальше в информации IP нашел почту для жалоб, сформировал грамотное письмо и направил его провайдеру. Скриншот письма прикладывать я не буду, так как не вижу в этом смысла. Суть письма была в том, что я не стал запрашивать логи подключений, так как мне бы их все равно никто не выдал без официального запроса. Я поступил немного иначе: Хостинг-провайдеру была описана полная ситуация о взломе, предоставлены все логи и был задан вопрос “Подключался ли IP адрес *IP с которого было отправлено письмо* к Украинскому серверу в районе 2 часов ночи. Цель – личное расследование, также я пообещал провайдера нигде не указывать при написании данного рассказа (идея возникла сразу). На такой запрос есть больше шансов получить ответ, чем на запрос о предоставлении полных логов. Через несколько часов приходит ответ (выходной день, я был удивлен):

Еще больше я был удивлен тому, что провайдер просто так предоставил информацию. Обращение было направлено в саму контору, где был арендован сервер, а не в ДЦ. Не каждый провайдер выдаст информацию, но возможно, что на это повлияло грамотно составленное обращение, да уже и не важно

Что я имею: Настоящий IP злоумышленника и подтверждение о том, что это именно он осуществлял все действия. Теперь осталось найти какую-нибудь информацию о данном человеке. Сначала я решил проверить данный адрес по базе openssource и я не прогадал. “Максимом” оказался пользователь сайта, который когда-то оставлял комментарии о нерабочих курсах. Все комментарии были написаны из-под одного IP, следовательно, делаем вывод, что IP статический. Теперь у меня есть еще и реальная почта клиента.

Захожу на наш сервис “Поиск пользователей Вконтакте по E-mail” вбиваю почту и получаю результат в виде реальной страницы Вконтакте. Этим товарищем оказывается не Максим, а 22-х летний Андрей из Москвы С Андреем получился небольшой разговор:

Если бы что-то было по-другому или же провайдер не выдал бы данных – пришлось бы действовать другим образом. Вы стали свидетелями раскрутки простой цепочки и деанонимизации пользователя. Я надеюсь, что многие сделают выводы насчет того, стоит ли использовать публичные ресурсы (прокси, впн) и бесплатные почтовые сервисы.

Посещайте вебинары от Vektor T13, учитесь безопасности и не попадайтесь на уловки мошенников!

Статья написана специально для сайта openssource.biz. Всем хорошего вечера!