Неудачная история удаления материала автора одного из курсов Paysystem

Здравствуйте!

Сейчас я хочу рассказать вам историю, которая произошла со мной несколько дней назад. Сразу хочу отметить, что рассказ написан на основе реальных событий. В данном рассказе все имена, адреса сервисов будут вырезаны (некоторые по договоренности, некоторые на личных основаниях). История будет интересная, поэтому устраивайтесь поудобней и наслаждайтесь. За все время существования нашего проекта было много угроз в адрес команды сайты, лично в мой адрес, в адрес проекта. Угрозы пишут конкуренты, авторы курсов-пустышек и все недовольные чем-либо. Если кто-то думает, что авторы адекватных курсов пишут угрозы — нет, вы ошибаетесь. Все вопросы и претензии с адекватными людьми решаются в адекватной обстановке. За последний год количество неадекватных людей уменьшилось в разы, но они еще остались. В основном, все игнорируется, но на этот раз я решил подыграть неизвестной личности и что из этого вышло вы узнаете дальше. Настоятельно рекомендую последовать моим советам в конце рассказа и пересмотреть собственную безопасность после прочтения.

Все началось в пятницу 22 апреля, когда в техническую поддержку пришло письмо с просьбой опубликовать курс-пустышку с душераздирающей историей. Скриншот письма:

С виду вижу обычное письмо с просьбой опубликовать курс, но первое, что меня смутило — это то, что материал прислали прямо на почту Администратора, а не в предложенные записи. Второе — курс уже публиковался несколько дней назад до получения этого письма и никаких программ там не было. Третье — просьба запустить сомнительную программу (развод на лоха). Становится понятно, что это неудачная попытка заразить меня каким-то пока мне неизвестным вирусом. Письмо можно было проигнорировать и забыть об этом, но я решил подыграть «Максиму» и посмотреть, что он собирается делать дальше.

Скачиваю архив, распаковываю его. В архиве два файла (KursProga.exe и Текстовая инструкция.txt):

Содержимое текстового файла: 

Посмеялся, спасибо. Переходим к программе. Во-первых — это был архив, так как WinRar показывает такую опцию, как «Извлечь файлы». Долго не думая я обратился к своему знакомому, который занимается реверсингом ПО и вирусологией, а также закинул архив на Virustotal и получил следующие результаты:

Теперь точно все понятно. Дождавшись результатов анализа софта, я получил информацию о том, что это обычный плохо криптованный паблик кейлоггер (троян для перехвата нажатия клавиш с клавиатуры). Долго не думая я разворачиваю виртуальную машину с Windows XP (чтоб наверняка), устанавливаю несколько программ, создаю видимость того, что это рабочий компьютер, а не левая виртуальная машина. Запускаю вирус, появляется консоль на несколько секунд. Вирус активировался. Теперь необходимо словить нашего юного хакера с поличным. Далее с аккаунта главного Администратора урезаю себе на аккаунте на сайте права до минимума и даю задание программисту написать условие для авторизации (если авторизация проходит от указанного имени — идет редирект на страницу, где будет произведен перехват IP-адреса злоумышленника). Сделать это не сложно, уже через час все было готово. Дело близится к ночи. Включив виртуальную машину, в течение некоторого времени я побывал на некоторых IT ресурсах, затем зашел на сайт и авторизовался. Все, теперь осталось только ждать…

Время 2:14 ночи. Смотрю логи, прошла авторизация с IP, который мне не принадлежит. Попался родной :) Быстро отменив все изменения и изменив данные для авторизации я решил оставить дело до утра и отправился спать. С утра я приступил к сбору информации о неизвестном «Максиме». Первым делом залез в свойства письма, которое я получил. По-умолчанию, кто не знает — Mail.Ru в заголовках подставляет Ваш IP, с которого было отправлено письмо! Кто не верит — проверьте :) Строчка «Received: from [ВАШ IP] (ident=mail)». Пробиваю город:

Все было бы хорошо, но этот IP не совпадает с тем, с которого «Максим» производил авторизацию. Оставив этот адрес (я был уверен, что это настоящий IP), я принялся к изучению IP, с которого работал злоумышленник. Это оказалась обычная Proxy на раздаче. Страна Украина:

Дальше в информации IP нашел почту для жалоб, сформировал грамотное письмо и направил его провайдеру. Скриншот письма прикладывать я не буду, так как не вижу в этом смысла. Суть письма была в том, что я не стал запрашивать логи подключений, так как мне бы их все равно никто не выдал без официального запроса. Я поступил немного иначе: Хостинг-провайдеру была описана полная ситуация о взломе, предоставлены все логи и был задан вопрос «Подключался ли IP адрес *IP с которого было отправлено письмо* к Украинскому серверу в районе 2 часов ночи. Цель — личное расследование, также я пообещал провайдера нигде не указывать при написании данного рассказа (идея возникла сразу). На такой запрос есть больше шансов получить ответ, чем на запрос о предоставлении полных логов. Через несколько часов приходит ответ (выходной день, я был удивлен):

Еще больше я был удивлен тому, что провайдер просто так предоставил информацию. Обращение было направлено в саму контору, где был арендован сервер, а не в ДЦ. Не каждый провайдер выдаст информацию, но возможно, что на это повлияло грамотно составленное обращение, да уже и не важно :)

Что я имею: Настоящий IP злоумышленника и подтверждение о том, что это именно он осуществлял все действия. Теперь осталось найти какую-нибудь информацию о данном человеке. Сначала я решил проверить данный адрес по базе openssource и я не прогадал. «Максимом» оказался пользователь сайта, который когда-то оставлял комментарии о нерабочих курсах. Все комментарии были написаны из-под одного IP, следовательно, делаем вывод, что IP статический. Теперь у меня есть еще и реальная почта клиента.

Захожу на наш сервис «Поиск пользователей Вконтакте по E-mail» вбиваю почту и получаю результат в виде реальной страницы Вконтакте. Этим товарищем оказывается не Максим, а 22-х летний Андрей из Москвы :) С Андреем получился небольшой разговор:

Если бы что-то было по-другому или же провайдер не выдал бы данных — пришлось бы действовать другим образом. Вы стали свидетелями раскрутки простой цепочки и деанонимизации пользователя. Я надеюсь, что многие сделают выводы насчет того, стоит ли использовать публичные ресурсы (прокси, впн) и бесплатные почтовые сервисы.

Посещайте вебинары от Vektor T13, учитесь безопасности и не попадайтесь на уловки мошенников! :)

Статья написана специально для сайта openssource.biz. Всем хорошего вечера!

Апр 28, 2016


FavoriteLoadingДобавить в закладки

Всего комментариев: 49

  • Ответить

    kivlar29

    Апрель 28, 2016 в 18:14

    Ржачная история, вот тоже люди смешные.
    Те кто делают сайты и инфобизом интересуются на такое не поведутся.
    Могли бы и поинтереснее замануху придумать

    (3)

    • Ответить

      openssource

      Апрель 28, 2016 в 18:17

      Не поведутся, но в последнее время говнопродажники делают, с помощью обычного конструктора и тупо перепродают чужой курс. Найди приватную базу почт, потрать пару часов на продажник, разошли спам — профит, но это не инфобизнес, а детский сад.

      (5)

      • Ответить

        TOKIO

        Апрель 28, 2016 в 18:39

        чорд, OS ты только что спалил тему :grin:
        может еще подскажешь годную инфу по маил рассылкам? :oops:

        З.Ы, OS можно поменят ник на сайте, чтоб он был такой же как и на форуме?

        (0)

        • Ответить

          openssource

          Апрель 28, 2016 в 18:51

          Да, на почту отпиши.
          По рассылкам — курс Шелеста :)

          (2)

      • Ответить

        108Georg

        Апрель 28, 2016 в 20:28

        Лично меня порадовал ваш профессионализм и ваша порядочность.
        Уважение дорого стоит!
        С искренним уважением и наилучшими пожеланиями в вашей работе!

        (10)

  • Ответить

    cpa.boss

    Апрель 28, 2016 в 18:15

    :cool:

    (0)

  • Ответить

    karpi4

    Апрель 28, 2016 в 18:17

    :arrow:

    (0)

  • Ответить

    Noct

    Апрель 28, 2016 в 18:18

    Спасибо Вам и Вашей команде за ресурс! :) Будет урок инфоразводчикам. ;)
    И простите Ваших пользователей за грехи какие. :oops:

    (0)

    • Ответить

      Hayam

      Апрель 28, 2016 в 18:36

      Ага, чтоб они лучше шифровались и к процессу взлома админки (учётной записи) подходили более обстоятельно что ли?

      (1)

      • Ответить

        Noct

        Апрель 28, 2016 в 18:55

        Чтоб знали, что есть команды антиинфоразводил.

        (0)

  • Ответить

    levr178

    Апрель 28, 2016 в 18:18

    Молодцы. Вот что значит владеть знаниями и умениями. Может послужит уроком кому-нибудь со злыми умыслами.

    (0)

    • Ответить

      Hayam

      Апрель 28, 2016 в 18:37

      Если только урок — как избежать досадных косяков при взломе

      (0)

  • Ответить

    barracuda

    Апрель 28, 2016 в 18:27

    Молодцы. Ты меня наверно знаешь :arrow: :shock:

    (0)

  • Ответить

    ksipsi

    Апрель 28, 2016 в 18:35

    Интересный рассказ получился. Настоящее детективное расследование. :cool:

    (1)

  • Ответить

    Hayam

    Апрель 28, 2016 в 18:39

    Мне почему-то кажется (надеюсь, что ошибаюсь), что публика не понимает, что андрея-максима чуть за нежное место не взяли, и только поэтому он «признал ошибку»

    (0)

  • Ответить

    A1RWALK3R

    Апрель 28, 2016 в 18:40

    Всегда приятно прочитать о «боевом» применении навыков и методов деанонимизации. Про то, что майл палит айпишник так явно, честно говоря, даже не догадывался. :smile: А openssource и Vektor T13, как всегда, большущий респект! :arrow:

    (3)

  • Ответить

    smm

    Апрель 28, 2016 в 18:48

    Ставьте лайк если перешли с вебинара Вектора.

    (-2)

  • Ответить

    Snedi

    Апрель 28, 2016 в 18:50

    Не дай бог Ваши знания в гос труктурах! :arrow:

    (3)

  • Ответить

    Svetoch

    Апрель 28, 2016 в 18:51

    Ну что тут скажешь, дилетант попробовал себя на взломе не зная азов безопасности. :roll: Бывает. :|

    (2)

  • Ответить

    rvssvr75

    Апрель 28, 2016 в 19:51

    Ни чего удивительного, таких говнюков пруд пруди. А наказывать надо :evil:

    (0)

  • Ответить

    donny1

    Апрель 28, 2016 в 21:10

    Эпично получилось.

    (0)

  • Ответить

    rtsmagics

    Апрель 28, 2016 в 21:21

    Админ красавчик!
    Повел себя достойно.

    (0)

  • Ответить

    dgon

    Апрель 28, 2016 в 22:41

    Удачи вам Павел. Приятно что такие порядочные люди есть в это не простое время.

    (1)

  • Ответить

    Avatonk

    Апрель 28, 2016 в 23:13

    Вот он, отличник школы Вектора! :cool:

    (1)

  • Ответить

    DeloSovetnik

    Апрель 28, 2016 в 23:34

    Впечатлён. :smile:

    (0)

  • Ответить

    Виталий

    Апрель 29, 2016 в 05:48

    Надо было наказать негодяя….Статья класс!

    (0)

  • Ответить

    rvv56

    Апрель 29, 2016 в 10:55

    Интересная статья, познавательная, нужная. Спасибо openssource за информацию.

    (0)

  • Ответить

    Niko

    Апрель 29, 2016 в 15:32

    Пожалел Андрей 17 баксов на криптованый троян,тем и поплатился :roll:А вообще в следующий раз будет знать ,что так делать не есть хорошо.

    (1)

  • Ответить

    Roseell

    Апрель 29, 2016 в 15:37

    Молодец Админ!

    (0)

  • Ответить

    xatta6bl4

    Апрель 29, 2016 в 16:05

    Да что то верится с трудом что так все и было.

    (0)

  • Ответить

    Romka

    Апрель 29, 2016 в 20:33

    Таких предприимчивых авторов надо бы серьезно наказывать. Эти авторы чудо-курсов всю почту заспамили. А посмотрите какие у них продажи! Люди последние деньги им отдают. Может кто-то умный и скажет, что это лохи, но многие люди действительно очень доверчивы и нуждаются в дополнительном заработке, а знаний не хватает.

    (0)

  • Ответить

    Smart

    Апрель 30, 2016 в 08:50

    Реально все описано не только интересно, но и очень полезно. OS, спасибо за статью.

    (0)

  • Ответить

    Vladimir1993

    Май 1, 2016 в 07:35

    Админу уважуха, ты крут!!!

    (0)

  • Ответить

    Drakon999

    Май 1, 2016 в 22:47

    Павел, Вы МОЛОДЕЦ! Но… не надо проявлять Жалость! В студию НЕГОДЯЯ! :evil:

    (0)

  • Ответить

    krutyashnik

    Май 2, 2016 в 03:43

    История хороша, но больше всего удивляет провайдер.
    С таким же успехом я могу позвонить в банк, выдумать какую то историю и спросить — не переводил ли такой то столько то денег…А они мне, мол да, переводил. Вот вам полная история транзакций за месяц :)

    (1)

    • Ответить

      dondindon

      Май 2, 2016 в 21:49

      Это похоже не совсем провайдер, а бесплатный vpn-сервис, а они обычно у себя на сайте пишут что при поступлении любых жалоб на противоправные дейстия сольют всю информацию о нарушителе

      (0)

  • Ответить

    Мудрец

    Май 3, 2016 в 01:38

    Мое почтение вашему сайту!!!!!!!!!!!!!!!!!!!!!!!!!!!

    (1)

  • Ответить

    Viva

    Май 3, 2016 в 14:29

    Openssource , молодцы! Да ещё и очень красиво написано, читал на одном духу!

    (0)

  • Ответить

    zmej34370

    Май 4, 2016 в 10:20

    Реально молодец! Удивил профессионализм+вычислил подлеца в столь короткий срок! :arrow: Так держать!

    (0)

  • Ответить

    Eustpro

    Май 5, 2016 в 02:20

    Респект Админу — красивый «деанон».
    Только этот Андрей «Максим» ни капельки не извлек из этого урока.

    (0)

  • Ответить

    Stas444

    Май 8, 2016 в 23:00

    мне кажется что таких товарищей как этот Андрей нужно наказывать рублем и притом в жосткой форме.моё мнение таково. Кто согласен?

    (0)

  • Ответить

    MotiusStonefang

    Май 9, 2016 в 00:07

    Интересный рассказ сам сочинил =)

    (1)

  • Ответить

    a001mp

    Май 10, 2016 в 14:35

    Круто!

    (0)

  • Ответить

    sexy

    Май 16, 2016 в 23:04

    простили его ?) уважаю)

    (0)

  • Ответить

    RVBest

    Июль 22, 2016 в 01:17

    Смешно. Сайт у вас хороший, но рассказ ваш — сказка для несведущих. Очень похоже на современные сериалы, где показывают суперхакеров, которые ломают пентагон, прописывая команды в текстовом редакторе Word. А вообще правильно жуликов запугиваете — пусть боятся)

    (-1)

  • Ответить

    illiot

    Декабрь 3, 2016 в 16:31

    Ну вот вышли вы на него и что?
    Хорошо что он вас ещё не послал, а может и послал, а может и рассказ чистой воды сочинение))

    (0)

  • Ответить

    illiot

    Декабрь 3, 2016 в 16:41

    зы. Не понял как зайти в свойства письма, что бы айпи посмотреть, и так и сяк делал, и скачал письмо, не пойму где там ип смотреть..
    Кто понял подскажите..

    (0)

  • Ответить

    slvzyjmneu1k

    Июль 23, 2017 в 20:10

    Клёвая (нативно-рекламная) статья, понравился стиль автора, а в конце словно друг рекомендует помощь (услуги) друга. Пишу без негатива, мне нравится то, что вы делаете. Если здесь уже были выложены материалы по естественной рекламе, ткните носом, а если нет — прошу выложить (хотя все и так понятно, но вдруг…).

    (0)

  • Ответить

    Random

    Ноябрь 4, 2017 в 09:40

    Прокси провайдер просто убил :lol:

    (0)

Оставить комментарий


* - обязательное поле для заполнения.

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

Подтвердите, что Вы не бот — выберите человечка с поднятой рукой:

Уведомлять меня при ответах на мои комментарии



Курсы недели

Если вы занимаетесь арбитражем, бонусхантингом, SMM, работаете с Avito, Facebook, Google, Вконтакте или другими сайтами, где требуется управление мультиаккаунтами, то вас может заинтересовать Multilogin 2.1 Deep Blue.

Multilogin позволяет заменить множество виртуальных машин или физических компьютеров на виртуальные браузеры, управляемые через удобный лаунчер. Версия 2.1 позволяет работать быстро и комфортно, а русская поддержка поможет в решении проблем.

ПОПРОБОВАТЬ БЕСПЛАТНО