×
важно!
<>

Неудачная история удаления материала автора одного из курсов Paysystem

Здравствуйте!

Сейчас я хочу рассказать вам историю, которая произошла со мной несколько дней назад. Сразу хочу отметить, что рассказ написан на основе реальных событий. В данном рассказе все имена, адреса сервисов будут вырезаны (некоторые по договоренности, некоторые на личных основаниях). История будет интересная, поэтому устраивайтесь поудобней и наслаждайтесь. За все время существования нашего проекта было много угроз в адрес команды сайты, лично в мой адрес, в адрес проекта. Угрозы пишут конкуренты, авторы курсов-пустышек и все недовольные чем-либо. Если кто-то думает, что авторы адекватных курсов пишут угрозы — нет, вы ошибаетесь. Все вопросы и претензии с адекватными людьми решаются в адекватной обстановке. За последний год количество неадекватных людей уменьшилось в разы, но они еще остались. В основном, все игнорируется, но на этот раз я решил подыграть неизвестной личности и что из этого вышло вы узнаете дальше. Настоятельно рекомендую последовать моим советам в конце рассказа и пересмотреть собственную безопасность после прочтения.

Все началось в пятницу 22 апреля, когда в техническую поддержку пришло письмо с просьбой опубликовать курс-пустышку с душераздирающей историей. Скриншот письма:

С виду вижу обычное письмо с просьбой опубликовать курс, но первое, что меня смутило — это то, что материал прислали прямо на почту Администратора, а не в предложенные записи. Второе — курс уже публиковался несколько дней назад до получения этого письма и никаких программ там не было. Третье — просьба запустить сомнительную программу (развод на лоха). Становится понятно, что это неудачная попытка заразить меня каким-то пока мне неизвестным вирусом. Письмо можно было проигнорировать и забыть об этом, но я решил подыграть «Максиму» и посмотреть, что он собирается делать дальше.

Скачиваю архив, распаковываю его. В архиве два файла (KursProga.exe и Текстовая инструкция.txt):

Содержимое текстового файла: 

Посмеялся, спасибо. Переходим к программе. Во-первых — это был архив, так как WinRar показывает такую опцию, как «Извлечь файлы». Долго не думая я обратился к своему знакомому, который занимается реверсингом ПО и вирусологией, а также закинул архив на Virustotal и получил следующие результаты:

Теперь точно все понятно. Дождавшись результатов анализа софта, я получил информацию о том, что это обычный плохо криптованный паблик кейлоггер (троян для перехвата нажатия клавиш с клавиатуры). Долго не думая я разворачиваю виртуальную машину с Windows XP (чтоб наверняка), устанавливаю несколько программ, создаю видимость того, что это рабочий компьютер, а не левая виртуальная машина. Запускаю вирус, появляется консоль на несколько секунд. Вирус активировался. Теперь необходимо словить нашего юного хакера с поличным. Далее с аккаунта главного Администратора урезаю себе на аккаунте на сайте права до минимума и даю задание программисту написать условие для авторизации (если авторизация проходит от указанного имени — идет редирект на страницу, где будет произведен перехват IP-адреса злоумышленника). Сделать это не сложно, уже через час все было готово. Дело близится к ночи. Включив виртуальную машину, в течение некоторого времени я побывал на некоторых IT ресурсах, затем зашел на сайт и авторизовался. Все, теперь осталось только ждать…

Время 2:14 ночи. Смотрю логи, прошла авторизация с IP, который мне не принадлежит. Попался родной :) Быстро отменив все изменения и изменив данные для авторизации я решил оставить дело до утра и отправился спать. С утра я приступил к сбору информации о неизвестном «Максиме». Первым делом залез в свойства письма, которое я получил. По-умолчанию, кто не знает — Mail.Ru в заголовках подставляет Ваш IP, с которого было отправлено письмо! Кто не верит — проверьте :) Строчка «Received: from [ВАШ IP] (ident=mail)». Пробиваю город:

Все было бы хорошо, но этот IP не совпадает с тем, с которого «Максим» производил авторизацию. Оставив этот адрес (я был уверен, что это настоящий IP), я принялся к изучению IP, с которого работал злоумышленник. Это оказалась обычная Proxy на раздаче. Страна Украина:

Дальше в информации IP нашел почту для жалоб, сформировал грамотное письмо и направил его провайдеру. Скриншот письма прикладывать я не буду, так как не вижу в этом смысла. Суть письма была в том, что я не стал запрашивать логи подключений, так как мне бы их все равно никто не выдал без официального запроса. Я поступил немного иначе: Хостинг-провайдеру была описана полная ситуация о взломе, предоставлены все логи и был задан вопрос «Подключался ли IP адрес *IP с которого было отправлено письмо* к Украинскому серверу в районе 2 часов ночи. Цель — личное расследование, также я пообещал провайдера нигде не указывать при написании данного рассказа (идея возникла сразу). На такой запрос есть больше шансов получить ответ, чем на запрос о предоставлении полных логов. Через несколько часов приходит ответ (выходной день, я был удивлен):

Еще больше я был удивлен тому, что провайдер просто так предоставил информацию. Обращение было направлено в саму контору, где был арендован сервер, а не в ДЦ. Не каждый провайдер выдаст информацию, но возможно, что на это повлияло грамотно составленное обращение, да уже и не важно :)

Что я имею: Настоящий IP злоумышленника и подтверждение о том, что это именно он осуществлял все действия. Теперь осталось найти какую-нибудь информацию о данном человеке. Сначала я решил проверить данный адрес по базе openssource и я не прогадал. «Максимом» оказался пользователь сайта, который когда-то оставлял комментарии о нерабочих курсах. Все комментарии были написаны из-под одного IP, следовательно, делаем вывод, что IP статический. Теперь у меня есть еще и реальная почта клиента.

Захожу на наш сервис «Поиск пользователей Вконтакте по E-mail» вбиваю почту и получаю результат в виде реальной страницы Вконтакте. Этим товарищем оказывается не Максим, а 22-х летний Андрей из Москвы :) С Андреем получился небольшой разговор:

Если бы что-то было по-другому или же провайдер не выдал бы данных — пришлось бы действовать другим образом. Вы стали свидетелями раскрутки простой цепочки и деанонимизации пользователя. Я надеюсь, что многие сделают выводы насчет того, стоит ли использовать публичные ресурсы (прокси, впн) и бесплатные почтовые сервисы.

Посещайте вебинары от Vektor T13, учитесь безопасности и не попадайтесь на уловки мошенников! :)

Статья написана специально для сайта openssource.biz. Всем хорошего вечера!

FavoriteLoadingДобавить в закладки

Апр 28, 2016


Всего комментариев: 47
  • kivlar29

    Апрель 28, 2016 в 18:14

    Ржачная история, вот тоже люди смешные.
    Те кто делают сайты и инфобизом интересуются на такое не поведутся.
    Могли бы и поинтереснее замануху придумать

    (3)

    • openssource

      Апрель 28, 2016 в 18:17

      Не поведутся, но в последнее время говнопродажники делают, с помощью обычного конструктора и тупо перепродают чужой курс. Найди приватную базу почт, потрать пару часов на продажник, разошли спам — профит, но это не инфобизнес, а детский сад.

      (5)

      • TOKIO

        Апрель 28, 2016 в 18:39

        чорд, OS ты только что спалил тему :grin:
        может еще подскажешь годную инфу по маил рассылкам? :oops:

        З.Ы, OS можно поменят ник на сайте, чтоб он был такой же как и на форуме?

        (0)

        • openssource

          Апрель 28, 2016 в 18:51

          Да, на почту отпиши.
          По рассылкам — курс Шелеста :)

          (2)

      • 108Georg

        Апрель 28, 2016 в 20:28

        Лично меня порадовал ваш профессионализм и ваша порядочность.
        Уважение дорого стоит!
        С искренним уважением и наилучшими пожеланиями в вашей работе!

        (9)

  • cpa.boss

    Апрель 28, 2016 в 18:15

    :cool:

    (0)

  • karpi4

    Апрель 28, 2016 в 18:17

    :arrow:

    (0)

  • Noct

    Апрель 28, 2016 в 18:18

    Спасибо Вам и Вашей команде за ресурс! :) Будет урок инфоразводчикам. ;)
    И простите Ваших пользователей за грехи какие. :oops:

    (0)

    • Hayam

      Апрель 28, 2016 в 18:36

      Ага, чтоб они лучше шифровались и к процессу взлома админки (учётной записи) подходили более обстоятельно что ли?

      (1)

      • Noct

        Апрель 28, 2016 в 18:55

        Чтоб знали, что есть команды антиинфоразводил.

        (0)

  • levr178

    Апрель 28, 2016 в 18:18

    Молодцы. Вот что значит владеть знаниями и умениями. Может послужит уроком кому-нибудь со злыми умыслами.

    (0)

    • Hayam

      Апрель 28, 2016 в 18:37

      Если только урок — как избежать досадных косяков при взломе

      (0)

  • barracuda

    Апрель 28, 2016 в 18:27

    Молодцы. Ты меня наверно знаешь :arrow: :shock:

    (0)

  • ksipsi

    Апрель 28, 2016 в 18:35

    Интересный рассказ получился. Настоящее детективное расследование. :cool:

    (1)

  • Hayam

    Апрель 28, 2016 в 18:39

    Мне почему-то кажется (надеюсь, что ошибаюсь), что публика не понимает, что андрея-максима чуть за нежное место не взяли, и только поэтому он «признал ошибку»

    (0)

  • A1RWALK3R

    Апрель 28, 2016 в 18:40

    Всегда приятно прочитать о «боевом» применении навыков и методов деанонимизации. Про то, что майл палит айпишник так явно, честно говоря, даже не догадывался. :smile: А openssource и Vektor T13, как всегда, большущий респект! :arrow:

    (3)

  • smm

    Апрель 28, 2016 в 18:48

    Ставьте лайк если перешли с вебинара Вектора.

    (-2)

  • Snedi

    Апрель 28, 2016 в 18:50

    Не дай бог Ваши знания в гос труктурах! :arrow:

    (2)

  • Svetoch

    Апрель 28, 2016 в 18:51

    Ну что тут скажешь, дилетант попробовал себя на взломе не зная азов безопасности. :roll: Бывает. :|

    (2)

  • rvssvr75

    Апрель 28, 2016 в 19:51

    Ни чего удивительного, таких говнюков пруд пруди. А наказывать надо :evil:

    (0)

  • donny1

    Апрель 28, 2016 в 21:10

    Эпично получилось.

    (0)

  • rtsmagics

    Апрель 28, 2016 в 21:21

    Админ красавчик!
    Повел себя достойно.

    (0)

  • dgon

    Апрель 28, 2016 в 22:41

    Удачи вам Павел. Приятно что такие порядочные люди есть в это не простое время.

    (1)

  • Avatonk

    Апрель 28, 2016 в 23:13

    Вот он, отличник школы Вектора! :cool:

    (1)

  • DeloSovetnik

    Апрель 28, 2016 в 23:34

    Впечатлён. :smile:

    (0)

  • Виталий

    Апрель 29, 2016 в 05:48

    Надо было наказать негодяя….Статья класс!

    (0)

  • rvv56

    Апрель 29, 2016 в 10:55

    Интересная статья, познавательная, нужная. Спасибо openssource за информацию.

    (0)

  • Niko

    Апрель 29, 2016 в 15:32

    Пожалел Андрей 17 баксов на криптованый троян,тем и поплатился :roll:А вообще в следующий раз будет знать ,что так делать не есть хорошо.

    (1)

  • Roseell

    Апрель 29, 2016 в 15:37

    Молодец Админ!

    (0)

  • xatta6bl4

    Апрель 29, 2016 в 16:05

    Да что то верится с трудом что так все и было.

    (0)

  • Romka

    Апрель 29, 2016 в 20:33

    Таких предприимчивых авторов надо бы серьезно наказывать. Эти авторы чудо-курсов всю почту заспамили. А посмотрите какие у них продажи! Люди последние деньги им отдают. Может кто-то умный и скажет, что это лохи, но многие люди действительно очень доверчивы и нуждаются в дополнительном заработке, а знаний не хватает.

    (0)

  • Smart

    Апрель 30, 2016 в 08:50

    Реально все описано не только интересно, но и очень полезно. OS, спасибо за статью.

    (0)

  • Vladimir1993

    Май 1, 2016 в 07:35

    Админу уважуха, ты крут!!!

    (0)

  • Drakon999

    Май 1, 2016 в 22:47

    Павел, Вы МОЛОДЕЦ! Но… не надо проявлять Жалость! В студию НЕГОДЯЯ! :evil:

    (0)

  • krutyashnik

    Май 2, 2016 в 03:43

    История хороша, но больше всего удивляет провайдер.
    С таким же успехом я могу позвонить в банк, выдумать какую то историю и спросить — не переводил ли такой то столько то денег…А они мне, мол да, переводил. Вот вам полная история транзакций за месяц :)

    (1)

    • dondindon

      Май 2, 2016 в 21:49

      Это похоже не совсем провайдер, а бесплатный vpn-сервис, а они обычно у себя на сайте пишут что при поступлении любых жалоб на противоправные дейстия сольют всю информацию о нарушителе

      (0)

  • Мудрец

    Май 3, 2016 в 01:38

    Мое почтение вашему сайту!!!!!!!!!!!!!!!!!!!!!!!!!!!

    (1)

  • Viva

    Май 3, 2016 в 14:29

    Openssource , молодцы! Да ещё и очень красиво написано, читал на одном духу!

    (0)

  • zmej34370

    Май 4, 2016 в 10:20

    Реально молодец! Удивил профессионализм+вычислил подлеца в столь короткий срок! :arrow: Так держать!

    (0)

  • Eustpro

    Май 5, 2016 в 02:20

    Респект Админу — красивый «деанон».
    Только этот Андрей «Максим» ни капельки не извлек из этого урока.

    (0)

  • Stas444

    Май 8, 2016 в 23:00

    мне кажется что таких товарищей как этот Андрей нужно наказывать рублем и притом в жосткой форме.моё мнение таково. Кто согласен?

    (0)

  • MotiusStonefang

    Май 9, 2016 в 00:07

    Интересный рассказ сам сочинил =)

    (0)

  • a001mp

    Май 10, 2016 в 14:35

    Круто!

    (0)

  • sexy

    Май 16, 2016 в 23:04

    простили его ?) уважаю)

    (0)

  • RVBest

    Июль 22, 2016 в 01:17

    Смешно. Сайт у вас хороший, но рассказ ваш — сказка для несведущих. Очень похоже на современные сериалы, где показывают суперхакеров, которые ломают пентагон, прописывая команды в текстовом редакторе Word. А вообще правильно жуликов запугиваете — пусть боятся)

    (-1)

  • illiot

    Декабрь 3, 2016 в 16:31

    Ну вот вышли вы на него и что?
    Хорошо что он вас ещё не послал, а может и послал, а может и рассказ чистой воды сочинение))

    (0)

  • illiot

    Декабрь 3, 2016 в 16:41

    зы. Не понял как зайти в свойства письма, что бы айпи посмотреть, и так и сяк делал, и скачал письмо, не пойму где там ип смотреть..
    Кто понял подскажите..

    (0)

Оставить комментарий


* - обязательное поле для заполнения.

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Подтвердите, что Вы не бот — выберите человечка с поднятой рукой:

Перед написанием комментариев ознакомьтесь с правилами поведения на сайте.


5socks



Курсы недели