Правообладателям
Если Вы столкнулись с нарушением Ваших авторских прав - просьба ознакомиться с данной страницей для правообладателей и выполнить все указанные требования для удаления материала с сайта.
Правообладателям
Правообладателям
Если Вы столкнулись с нарушением Ваших авторских прав - просьба ознакомиться с данной страницей для правообладателей и выполнить все указанные требования для удаления материала с сайта.
Правообладателям
28 апреля, 2016
Здравствуйте!
Сейчас я хочу рассказать вам историю, которая произошла со мной несколько дней назад. Сразу хочу отметить, что рассказ написан на основе реальных событий. В данном рассказе все имена, адреса сервисов будут вырезаны (некоторые по договоренности, некоторые на личных основаниях). История будет интересная, поэтому устраивайтесь поудобней и наслаждайтесь. За все время существования нашего проекта было много угроз в адрес команды сайты, лично в мой адрес, в адрес проекта. Угрозы пишут конкуренты, авторы курсов-пустышек и все недовольные чем-либо. Если кто-то думает, что авторы адекватных курсов пишут угрозы – нет, вы ошибаетесь. Все вопросы и претензии с адекватными людьми решаются в адекватной обстановке. За последний год количество неадекватных людей уменьшилось в разы, но они еще остались. В основном, все игнорируется, но на этот раз я решил подыграть неизвестной личности и что из этого вышло вы узнаете дальше. Настоятельно рекомендую последовать моим советам в конце рассказа и пересмотреть собственную безопасность после прочтения.
Все началось в пятницу 22 апреля, когда в техническую поддержку пришло письмо с просьбой опубликовать курс-пустышку с душераздирающей историей. Скриншот письма:
С виду вижу обычное письмо с просьбой опубликовать курс, но первое, что меня смутило – это то, что материал прислали прямо на почту Администратора, а не в предложенные записи. Второе – курс уже публиковался несколько дней назад до получения этого письма и никаких программ там не было. Третье – просьба запустить сомнительную программу (развод на лоха). Становится понятно, что это неудачная попытка заразить меня каким-то пока мне неизвестным вирусом. Письмо можно было проигнорировать и забыть об этом, но я решил подыграть “Максиму” и посмотреть, что он собирается делать дальше.
Скачиваю архив, распаковываю его. В архиве два файла (KursProga.exe и Текстовая инструкция.txt):
Содержимое текстового файла:
Посмеялся, спасибо. Переходим к программе. Во-первых – это был архив, так как WinRar показывает такую опцию, как “Извлечь файлы”. Долго не думая я обратился к своему знакомому, который занимается реверсингом ПО и вирусологией, а также закинул архив на Virustotal и получил следующие результаты:
Теперь точно все понятно. Дождавшись результатов анализа софта, я получил информацию о том, что это обычный плохо криптованный паблик кейлоггер (троян для перехвата нажатия клавиш с клавиатуры). Долго не думая я разворачиваю виртуальную машину с Windows XP (чтоб наверняка), устанавливаю несколько программ, создаю видимость того, что это рабочий компьютер, а не левая виртуальная машина. Запускаю вирус, появляется консоль на несколько секунд. Вирус активировался. Теперь необходимо словить нашего юного хакера с поличным. Далее с аккаунта главного Администратора урезаю себе на аккаунте на сайте права до минимума и даю задание программисту написать условие для авторизации (если авторизация проходит от указанного имени – идет редирект на страницу, где будет произведен перехват IP-адреса злоумышленника). Сделать это не сложно, уже через час все было готово. Дело близится к ночи. Включив виртуальную машину, в течение некоторого времени я побывал на некоторых IT ресурсах, затем зашел на сайт и авторизовался. Все, теперь осталось только ждать…
Время 2:14 ночи. Смотрю логи, прошла авторизация с IP, который мне не принадлежит. Попался родной 
Быстро отменив все изменения и изменив данные для авторизации я решил оставить дело до утра и отправился спать. С утра я приступил к сбору информации о неизвестном “Максиме”. Первым делом залез в свойства письма, которое я получил. По-умолчанию, кто не знает – Mail.Ru в заголовках подставляет Ваш IP, с которого было отправлено письмо! Кто не верит – проверьте Строчка “Received: from [ВАШ IP] (ident=mail)”. Пробиваю город:
Все было бы хорошо, но этот IP не совпадает с тем, с которого “Максим” производил авторизацию. Оставив этот адрес (я был уверен, что это настоящий IP), я принялся к изучению IP, с которого работал злоумышленник. Это оказалась обычная Proxy на раздаче. Страна Украина:
Дальше в информации IP нашел почту для жалоб, сформировал грамотное письмо и направил его провайдеру. Скриншот письма прикладывать я не буду, так как не вижу в этом смысла. Суть письма была в том, что я не стал запрашивать логи подключений, так как мне бы их все равно никто не выдал без официального запроса. Я поступил немного иначе: Хостинг-провайдеру была описана полная ситуация о взломе, предоставлены все логи и был задан вопрос “Подключался ли IP адрес *IP с которого было отправлено письмо* к Украинскому серверу в районе 2 часов ночи. Цель – личное расследование, также я пообещал провайдера нигде не указывать при написании данного рассказа (идея возникла сразу). На такой запрос есть больше шансов получить ответ, чем на запрос о предоставлении полных логов. Через несколько часов приходит ответ (выходной день, я был удивлен):
Еще больше я был удивлен тому, что провайдер просто так предоставил информацию. Обращение было направлено в саму контору, где был арендован сервер, а не в ДЦ. Не каждый провайдер выдаст информацию, но возможно, что на это повлияло грамотно составленное обращение, да уже и не важно
Что я имею: Настоящий IP злоумышленника и подтверждение о том, что это именно он осуществлял все действия. Теперь осталось найти какую-нибудь информацию о данном человеке. Сначала я решил проверить данный адрес по базе openssource и я не прогадал. “Максимом” оказался пользователь сайта, который когда-то оставлял комментарии о нерабочих курсах. Все комментарии были написаны из-под одного IP, следовательно, делаем вывод, что IP статический. Теперь у меня есть еще и реальная почта клиента.
Захожу на наш сервис “Поиск пользователей Вконтакте по E-mail” вбиваю почту и получаю результат в виде реальной страницы Вконтакте. Этим товарищем оказывается не Максим, а 22-х летний Андрей из Москвы С Андреем получился небольшой разговор:
Если бы что-то было по-другому или же провайдер не выдал бы данных – пришлось бы действовать другим образом. Вы стали свидетелями раскрутки простой цепочки и деанонимизации пользователя. Я надеюсь, что многие сделают выводы насчет того, стоит ли использовать публичные ресурсы (прокси, впн) и бесплатные почтовые сервисы.
Посещайте вебинары от Vektor T13, учитесь безопасности и не попадайтесь на уловки мошенников!
Статья написана специально для сайта openssource.biz. Всем хорошего вечера!
28 апреля, 2016
Перед написанием комментариев ознакомьтесь с правилами поведения на сайте.
Вы должны быть зарегистрированы для того, чтобы оставлять комментарии.
52 комментария
Внимание! Сайт работает в архивном режиме. Все новые публикации и активность на нашем форуме. 
A1RWALK3R
28 апреля, 2016 в 18:40
Всегда приятно прочитать о “боевом” применении навыков и методов деанонимизации. Про то, что майл палит айпишник так явно, честно говоря, даже не догадывался.
А openssource и Vektor T13, как всегда, большущий респект! 
Snedi
28 апреля, 2016 в 18:50
Не дай бог Ваши знания в гос труктурах!
Goras
7 ноября, 2020 в 18:47
Логично, поддерживаю пожелание
Svetoch
28 апреля, 2016 в 18:51
Ну что тут скажешь, дилетант попробовал себя на взломе не зная азов безопасности.
Бывает. 
Vladimir1993
1 мая, 2016 в 07:35
Админу уважуха, ты крут!!!
Avatonk
28 апреля, 2016 в 23:13
Вот он, отличник школы Вектора!
krutyashnik
2 мая, 2016 в 03:43
История хороша, но больше всего удивляет провайдер.
С таким же успехом я могу позвонить в банк, выдумать какую то историю и спросить – не переводил ли такой то столько то денег…А они мне, мол да, переводил. Вот вам полная история транзакций за месяц
dondindon
2 мая, 2016 в 21:49
Это похоже не совсем провайдер, а бесплатный vpn-сервис, а они обычно у себя на сайте пишут что при поступлении любых жалоб на противоправные дейстия сольют всю информацию о нарушителе
illiot
3 декабря, 2016 в 16:41
зы. Не понял как зайти в свойства письма, что бы айпи посмотреть, и так и сяк делал, и скачал письмо, не пойму где там ип смотреть..
Кто понял подскажите..
Nimoi
25 апреля, 2018 в 23:25
Открой письмо. Вверху, где кнопки “ответить”, “переслать” и тд. жмешь кн. “еще”, далее – служебные заголовки и будет тебе счастье)
karpi4
28 апреля, 2016 в 18:17
Noct
28 апреля, 2016 в 18:18
Спасибо Вам и Вашей команде за ресурс!
Будет урок инфоразводчикам. 
И простите Ваших пользователей за грехи какие.
Hayam
28 апреля, 2016 в 18:36
Ага, чтоб они лучше шифровались и к процессу взлома админки (учётной записи) подходили более обстоятельно что ли?
Noct
28 апреля, 2016 в 18:55
Чтоб знали, что есть команды антиинфоразводил.
ksipsi
28 апреля, 2016 в 18:35
Интересный рассказ получился. Настоящее детективное расследование.
dgon
28 апреля, 2016 в 22:41
Удачи вам Павел. Приятно что такие порядочные люди есть в это не простое время.
DeloSovetnik
28 апреля, 2016 в 23:34
Впечатлён.
Мудрец
3 мая, 2016 в 01:38
Мое почтение вашему сайту!!!!!!!!!!!!!!!!!!!!!!!!!!!
Stas444
8 мая, 2016 в 23:00
мне кажется что таких товарищей как этот Андрей нужно наказывать рублем и притом в жосткой форме.моё мнение таково. Кто согласен?
MotiusStonefang
9 мая, 2016 в 00:07
Интересный рассказ сам сочинил =)
sexy
16 мая, 2016 в 23:04
простили его ?) уважаю)
RVBest
22 июля, 2016 в 01:17
Смешно. Сайт у вас хороший, но рассказ ваш – сказка для несведущих. Очень похоже на современные сериалы, где показывают суперхакеров, которые ломают пентагон, прописывая команды в текстовом редакторе Word. А вообще правильно жуликов запугиваете – пусть боятся)
illiot
3 декабря, 2016 в 16:31
Ну вот вышли вы на него и что?
Хорошо что он вас ещё не послал, а может и послал, а может и рассказ чистой воды сочинение))
MegaUspex
27 июня, 2021 в 13:14
Вот же горе-хакер. Зашёл на сайт с прокси, а вирус почему-то отправил с реального своего email, а не с левого. Возможно про прокси он уже позже он додумался. Учится ему ещё и учиться.
cpa.boss
28 апреля, 2016 в 18:15
donny1
28 апреля, 2016 в 21:10
Эпично получилось.
Niko
29 апреля, 2016 в 15:32
Пожалел Андрей 17 баксов на криптованый троян,тем и поплатился :roll:А вообще в следующий раз будет знать ,что так делать не есть хорошо.
xatta6bl4
29 апреля, 2016 в 16:05
Да что то верится с трудом что так все и было.
Romka
29 апреля, 2016 в 20:33
Таких предприимчивых авторов надо бы серьезно наказывать. Эти авторы чудо-курсов всю почту заспамили. А посмотрите какие у них продажи! Люди последние деньги им отдают. Может кто-то умный и скажет, что это лохи, но многие люди действительно очень доверчивы и нуждаются в дополнительном заработке, а знаний не хватает.
Smart
30 апреля, 2016 в 08:50
Реально все описано не только интересно, но и очень полезно. OS, спасибо за статью.
Drakon999
1 мая, 2016 в 22:47
Павел, Вы МОЛОДЕЦ! Но… не надо проявлять Жалость! В студию НЕГОДЯЯ!
Viva
3 мая, 2016 в 14:29
Openssource , молодцы! Да ещё и очень красиво написано, читал на одном духу!
Eustpro
5 мая, 2016 в 02:20
Респект Админу – красивый “деанон”.
Только этот Андрей “Максим” ни капельки не извлек из этого урока.
a001mp
10 мая, 2016 в 14:35
Круто!
slvzyjmneu1k
23 июля, 2017 в 20:10
Клёвая (нативно-рекламная) статья, понравился стиль автора, а в конце словно друг рекомендует помощь (услуги) друга. Пишу без негатива, мне нравится то, что вы делаете. Если здесь уже были выложены материалы по естественной рекламе, ткните носом, а если нет – прошу выложить (хотя все и так понятно, но вдруг…).
Random
4 ноября, 2017 в 09:40
Прокси провайдер просто убил
kivlar29
28 апреля, 2016 в 18:14
Ржачная история, вот тоже люди смешные.
Те кто делают сайты и инфобизом интересуются на такое не поведутся.
Могли бы и поинтереснее замануху придумать
openssource
28 апреля, 2016 в 18:17
Не поведутся, но в последнее время говнопродажники делают, с помощью обычного конструктора и тупо перепродают чужой курс. Найди приватную базу почт, потрать пару часов на продажник, разошли спам – профит, но это не инфобизнес, а детский сад.
108Georg
28 апреля, 2016 в 20:28
Лично меня порадовал ваш профессионализм и ваша порядочность.
Уважение дорого стоит!
С искренним уважением и наилучшими пожеланиями в вашей работе!
TOKIO
28 апреля, 2016 в 18:39
чорд, OS ты только что спалил тему
может еще подскажешь годную инфу по маил рассылкам?
З.Ы, OS можно поменят ник на сайте, чтоб он был такой же как и на форуме?
openssource
28 апреля, 2016 в 18:51
Да, на почту отпиши.
По рассылкам – курс Шелеста
levr178
28 апреля, 2016 в 18:18
Молодцы. Вот что значит владеть знаниями и умениями. Может послужит уроком кому-нибудь со злыми умыслами.
Hayam
28 апреля, 2016 в 18:37
Если только урок – как избежать досадных косяков при взломе
barracuda
28 апреля, 2016 в 18:27
Молодцы. Ты меня наверно знаешь
Hayam
28 апреля, 2016 в 18:39
Мне почему-то кажется (надеюсь, что ошибаюсь), что публика не понимает, что андрея-максима чуть за нежное место не взяли, и только поэтому он “признал ошибку”
rtsmagics
28 апреля, 2016 в 21:21
Админ красавчик!
Повел себя достойно.
rvv56
29 апреля, 2016 в 10:55
Интересная статья, познавательная, нужная. Спасибо openssource за информацию.
Roseell
29 апреля, 2016 в 15:37
Молодец Админ!
zmej34370
4 мая, 2016 в 10:20
Реально молодец! Удивил профессионализм+вычислил подлеца в столь короткий срок!
Так держать!
rvssvr75
28 апреля, 2016 в 19:51
Ни чего удивительного, таких говнюков пруд пруди. А наказывать надо
Виталий
29 апреля, 2016 в 05:48
Надо было наказать негодяя….Статья класс!
smm
28 апреля, 2016 в 18:48
Ставьте лайк если перешли с вебинара Вектора.