Правообладателям

Если Вы столкнулись с нарушением Ваших авторских прав - просьба ознакомиться с данной страницей для правообладателей и выполнить все указанные требования для удаления материала с сайта.

Правообладателям

admin@openssource.biz

Неудачная история удаления материала автора одного из курсов Paysystem

28 апреля, 2016

Вне категории

sign emergency code sos 127 128 Неудачная история удаления материала автора одного из курсов Paysystem

Здравствуйте!

Сейчас я хочу рассказать вам историю, которая произошла со мной несколько дней назад. Сразу хочу отметить, что рассказ написан на основе реальных событий. В данном рассказе все имена, адреса сервисов будут вырезаны (некоторые по договоренности, некоторые на личных основаниях). История будет интересная, поэтому устраивайтесь поудобней и наслаждайтесь. За все время существования нашего проекта было много угроз в адрес команды сайты, лично в мой адрес, в адрес проекта. Угрозы пишут конкуренты, авторы курсов-пустышек и все недовольные чем-либо. Если кто-то думает, что авторы адекватных курсов пишут угрозы — нет, вы ошибаетесь. Все вопросы и претензии с адекватными людьми решаются в адекватной обстановке. За последний год количество неадекватных людей уменьшилось в разы, но они еще остались. В основном, все игнорируется, но на этот раз я решил подыграть неизвестной личности и что из этого вышло вы узнаете дальше. Настоятельно рекомендую последовать моим советам в конце рассказа и пересмотреть собственную безопасность после прочтения.

Все началось в пятницу 22 апреля, когда в техническую поддержку пришло письмо с просьбой опубликовать курс-пустышку с душераздирающей историей. Скриншот письма:

2Lba6gK Неудачная история удаления материала автора одного из курсов Paysystem

С виду вижу обычное письмо с просьбой опубликовать курс, но первое, что меня смутило — это то, что материал прислали прямо на почту Администратора, а не в предложенные записи. Второе — курс уже публиковался несколько дней назад до получения этого письма и никаких программ там не было. Третье — просьба запустить сомнительную программу (развод на лоха). Становится понятно, что это неудачная попытка заразить меня каким-то пока мне неизвестным вирусом. Письмо можно было проигнорировать и забыть об этом, но я решил подыграть «Максиму» и посмотреть, что он собирается делать дальше.

Скачиваю архив, распаковываю его. В архиве два файла (KursProga.exe и Текстовая инструкция.txt):

jJctody Неудачная история удаления материала автора одного из курсов Paysystem

Содержимое текстового файла: 

fQAZivz Неудачная история удаления материала автора одного из курсов Paysystem

Посмеялся, спасибо. Переходим к программе. Во-первых — это был архив, так как WinRar показывает такую опцию, как «Извлечь файлы». Долго не думая я обратился к своему знакомому, который занимается реверсингом ПО и вирусологией, а также закинул архив на Virustotal и получил следующие результаты:

zokESxq Неудачная история удаления материала автора одного из курсов Paysystem

Теперь точно все понятно. Дождавшись результатов анализа софта, я получил информацию о том, что это обычный плохо криптованный паблик кейлоггер (троян для перехвата нажатия клавиш с клавиатуры). Долго не думая я разворачиваю виртуальную машину с Windows XP (чтоб наверняка), устанавливаю несколько программ, создаю видимость того, что это рабочий компьютер, а не левая виртуальная машина. Запускаю вирус, появляется консоль на несколько секунд. Вирус активировался. Теперь необходимо словить нашего юного хакера с поличным. Далее с аккаунта главного Администратора урезаю себе на аккаунте на сайте права до минимума и даю задание программисту написать условие для авторизации (если авторизация проходит от указанного имени — идет редирект на страницу, где будет произведен перехват IP-адреса злоумышленника). Сделать это не сложно, уже через час все было готово. Дело близится к ночи. Включив виртуальную машину, в течение некоторого времени я побывал на некоторых IT ресурсах, затем зашел на сайт и авторизовался. Все, теперь осталось только ждать…

Время 2:14 ночи. Смотрю логи, прошла авторизация с IP, который мне не принадлежит. Попался родной icon smile Неудачная история удаления материала автора одного из курсов Paysystem Быстро отменив все изменения и изменив данные для авторизации я решил оставить дело до утра и отправился спать. С утра я приступил к сбору информации о неизвестном «Максиме». Первым делом залез в свойства письма, которое я получил. По-умолчанию, кто не знает — Mail.Ru в заголовках подставляет Ваш IP, с которого было отправлено письмо! Кто не верит — проверьте icon smile Неудачная история удаления материала автора одного из курсов Paysystem Строчка «Received: from [ВАШ IP] (ident=mail)». Пробиваю город:

cuU8OlP Неудачная история удаления материала автора одного из курсов Paysystem

Все было бы хорошо, но этот IP не совпадает с тем, с которого «Максим» производил авторизацию. Оставив этот адрес (я был уверен, что это настоящий IP), я принялся к изучению IP, с которого работал злоумышленник. Это оказалась обычная Proxy на раздаче. Страна Украина:

KfjJdqw Неудачная история удаления материала автора одного из курсов Paysystem

Дальше в информации IP нашел почту для жалоб, сформировал грамотное письмо и направил его провайдеру. Скриншот письма прикладывать я не буду, так как не вижу в этом смысла. Суть письма была в том, что я не стал запрашивать логи подключений, так как мне бы их все равно никто не выдал без официального запроса. Я поступил немного иначе: Хостинг-провайдеру была описана полная ситуация о взломе, предоставлены все логи и был задан вопрос «Подключался ли IP адрес *IP с которого было отправлено письмо* к Украинскому серверу в районе 2 часов ночи. Цель — личное расследование, также я пообещал провайдера нигде не указывать при написании данного рассказа (идея возникла сразу). На такой запрос есть больше шансов получить ответ, чем на запрос о предоставлении полных логов. Через несколько часов приходит ответ (выходной день, я был удивлен):

c6mTayr Неудачная история удаления материала автора одного из курсов Paysystem

Еще больше я был удивлен тому, что провайдер просто так предоставил информацию. Обращение было направлено в саму контору, где был арендован сервер, а не в ДЦ. Не каждый провайдер выдаст информацию, но возможно, что на это повлияло грамотно составленное обращение, да уже и не важно icon smile Неудачная история удаления материала автора одного из курсов Paysystem

Что я имею: Настоящий IP злоумышленника и подтверждение о том, что это именно он осуществлял все действия. Теперь осталось найти какую-нибудь информацию о данном человеке. Сначала я решил проверить данный адрес по базе openssource и я не прогадал. «Максимом» оказался пользователь сайта, который когда-то оставлял комментарии о нерабочих курсах. Все комментарии были написаны из-под одного IP, следовательно, делаем вывод, что IP статический. Теперь у меня есть еще и реальная почта клиента.

Захожу на наш сервис «Поиск пользователей Вконтакте по E-mail» вбиваю почту и получаю результат в виде реальной страницы Вконтакте. Этим товарищем оказывается не Максим, а 22-х летний Андрей из Москвы icon smile Неудачная история удаления материала автора одного из курсов Paysystem С Андреем получился небольшой разговор:

vHHyioT Неудачная история удаления материала автора одного из курсов Paysystem

Если бы что-то было по-другому или же провайдер не выдал бы данных — пришлось бы действовать другим образом. Вы стали свидетелями раскрутки простой цепочки и деанонимизации пользователя. Я надеюсь, что многие сделают выводы насчет того, стоит ли использовать публичные ресурсы (прокси, впн) и бесплатные почтовые сервисы.

Посещайте вебинары от Vektor T13, учитесь безопасности и не попадайтесь на уловки мошенников! icon smile Неудачная история удаления материала автора одного из курсов Paysystem

Статья написана специально для сайта openssource.biz. Всем хорошего вечера!

Актуальный адрес форума OPENSSOURCE - s2.openssource.cc
Форум

Комментарии

Вы должны быть зарегистрированы для того, чтобы оставлять комментарии.

52 комментария

  • Ответить

    A1RWALK3R

    28 апреля, 2016 в 18:40

    Всегда приятно прочитать о «боевом» применении навыков и методов деанонимизации. Про то, что майл палит айпишник так явно, честно говоря, даже не догадывался. :smile: А openssource и Vektor T13, как всегда, большущий респект! :arrow:

    8
  • Ответить

    Snedi

    28 апреля, 2016 в 18:50

    Не дай бог Ваши знания в гос труктурах! :arrow:

    5
    Показать 1 ответ
    • Ответить

      Goras

      7 ноября, 2020 в 18:47

      Логично, поддерживаю пожелание

      -1
  • Ответить

    Svetoch

    28 апреля, 2016 в 18:51

    Ну что тут скажешь, дилетант попробовал себя на взломе не зная азов безопасности. :roll: Бывает. :|

    3
  • Ответить

    Vladimir1993

    1 мая, 2016 в 07:35

    Админу уважуха, ты крут!!!

    3
  • Ответить

    Avatonk

    28 апреля, 2016 в 23:13

    Вот он, отличник школы Вектора! :cool:

    2
  • Ответить

    krutyashnik

    2 мая, 2016 в 03:43

    История хороша, но больше всего удивляет провайдер.
    С таким же успехом я могу позвонить в банк, выдумать какую то историю и спросить — не переводил ли такой то столько то денег…А они мне, мол да, переводил. Вот вам полная история транзакций за месяц :)

    2
    Показать 1 ответ
    • Ответить

      dondindon

      2 мая, 2016 в 21:49

      Это похоже не совсем провайдер, а бесплатный vpn-сервис, а они обычно у себя на сайте пишут что при поступлении любых жалоб на противоправные дейстия сольют всю информацию о нарушителе

      0
  • Ответить

    illiot

    3 декабря, 2016 в 16:41

    зы. Не понял как зайти в свойства письма, что бы айпи посмотреть, и так и сяк делал, и скачал письмо, не пойму где там ип смотреть..
    Кто понял подскажите..

    1
    Показать 1 ответ
    • Ответить

      Nimoi

      25 апреля, 2018 в 23:25

      Открой письмо. Вверху, где кнопки «ответить», «переслать» и тд. жмешь кн. «еще», далее — служебные заголовки и будет тебе счастье) :smile:

      2
  • Ответить

    karpi4

    28 апреля, 2016 в 18:17

    :arrow:

    1
  • Ответить

    Noct

    28 апреля, 2016 в 18:18

    Спасибо Вам и Вашей команде за ресурс! :) Будет урок инфоразводчикам. ;)
    И простите Ваших пользователей за грехи какие. :oops:

    1
    Показать 1 ответ
    • Ответить

      Hayam

      28 апреля, 2016 в 18:36

      Ага, чтоб они лучше шифровались и к процессу взлома админки (учётной записи) подходили более обстоятельно что ли?

      1
      Показать 1 ответ
      • Ответить

        Noct

        28 апреля, 2016 в 18:55

        Чтоб знали, что есть команды антиинфоразводил.

        -1
  • Ответить

    ksipsi

    28 апреля, 2016 в 18:35

    Интересный рассказ получился. Настоящее детективное расследование. :cool:

    1
  • Ответить

    dgon

    28 апреля, 2016 в 22:41

    Удачи вам Павел. Приятно что такие порядочные люди есть в это не простое время.

    1
  • Ответить

    DeloSovetnik

    28 апреля, 2016 в 23:34

    Впечатлён. :smile:

    1
  • Ответить

    Мудрец

    3 мая, 2016 в 01:38

    Мое почтение вашему сайту!!!!!!!!!!!!!!!!!!!!!!!!!!!

    1
  • Ответить

    Stas444

    8 мая, 2016 в 23:00

    мне кажется что таких товарищей как этот Андрей нужно наказывать рублем и притом в жосткой форме.моё мнение таково. Кто согласен?

    1
  • Ответить

    MotiusStonefang

    9 мая, 2016 в 00:07

    Интересный рассказ сам сочинил =)

    1
  • Ответить

    sexy

    16 мая, 2016 в 23:04

    простили его ?) уважаю)

    1
  • Ответить

    RVBest

    22 июля, 2016 в 01:17

    Смешно. Сайт у вас хороший, но рассказ ваш — сказка для несведущих. Очень похоже на современные сериалы, где показывают суперхакеров, которые ломают пентагон, прописывая команды в текстовом редакторе Word. А вообще правильно жуликов запугиваете — пусть боятся)

    1
  • Ответить

    illiot

    3 декабря, 2016 в 16:31

    Ну вот вышли вы на него и что?
    Хорошо что он вас ещё не послал, а может и послал, а может и рассказ чистой воды сочинение))

    1
  • Ответить

    MegaUspex

    27 июня, 2021 в 13:14

    Вот же горе-хакер. Зашёл на сайт с прокси, а вирус почему-то отправил с реального своего email, а не с левого. Возможно про прокси он уже позже он додумался. Учится ему ещё и учиться.

    1
  • Ответить

    cpa.boss

    28 апреля, 2016 в 18:15

    :cool:

    0
  • Ответить

    donny1

    28 апреля, 2016 в 21:10

    Эпично получилось.

    0
  • Ответить

    Niko

    29 апреля, 2016 в 15:32

    Пожалел Андрей 17 баксов на криптованый троян,тем и поплатился :roll:А вообще в следующий раз будет знать ,что так делать не есть хорошо.

    0
  • Ответить

    xatta6bl4

    29 апреля, 2016 в 16:05

    Да что то верится с трудом что так все и было.

    0
  • Ответить

    Romka

    29 апреля, 2016 в 20:33

    Таких предприимчивых авторов надо бы серьезно наказывать. Эти авторы чудо-курсов всю почту заспамили. А посмотрите какие у них продажи! Люди последние деньги им отдают. Может кто-то умный и скажет, что это лохи, но многие люди действительно очень доверчивы и нуждаются в дополнительном заработке, а знаний не хватает.

    0
  • Ответить

    Smart

    30 апреля, 2016 в 08:50

    Реально все описано не только интересно, но и очень полезно. OS, спасибо за статью.

    0
  • Ответить

    Drakon999

    1 мая, 2016 в 22:47

    Павел, Вы МОЛОДЕЦ! Но… не надо проявлять Жалость! В студию НЕГОДЯЯ! :evil:

    0
  • Ответить

    Viva

    3 мая, 2016 в 14:29

    Openssource , молодцы! Да ещё и очень красиво написано, читал на одном духу!

    0
  • Ответить

    Eustpro

    5 мая, 2016 в 02:20

    Респект Админу — красивый «деанон».
    Только этот Андрей «Максим» ни капельки не извлек из этого урока.

    0
  • Ответить

    a001mp

    10 мая, 2016 в 14:35

    Круто!

    0
  • Ответить

    slvzyjmneu1k

    23 июля, 2017 в 20:10

    Клёвая (нативно-рекламная) статья, понравился стиль автора, а в конце словно друг рекомендует помощь (услуги) друга. Пишу без негатива, мне нравится то, что вы делаете. Если здесь уже были выложены материалы по естественной рекламе, ткните носом, а если нет — прошу выложить (хотя все и так понятно, но вдруг…).

    0
  • Ответить

    Random

    4 ноября, 2017 в 09:40

    Прокси провайдер просто убил :lol:

    0
  • Ответить

    kivlar29

    28 апреля, 2016 в 18:14

    Ржачная история, вот тоже люди смешные.
    Те кто делают сайты и инфобизом интересуются на такое не поведутся.
    Могли бы и поинтереснее замануху придумать

    3
    Показать 1 ответ
    • Ответить

      openssource

      28 апреля, 2016 в 18:17

      Не поведутся, но в последнее время говнопродажники делают, с помощью обычного конструктора и тупо перепродают чужой курс. Найди приватную базу почт, потрать пару часов на продажник, разошли спам — профит, но это не инфобизнес, а детский сад.

      4
      Показать 2 ответа
      • Ответить

        108Georg

        28 апреля, 2016 в 20:28

        Лично меня порадовал ваш профессионализм и ваша порядочность.
        Уважение дорого стоит!
        С искренним уважением и наилучшими пожеланиями в вашей работе!

        11
      • Ответить

        TOKIO

        28 апреля, 2016 в 18:39

        чорд, OS ты только что спалил тему :grin:
        может еще подскажешь годную инфу по маил рассылкам? :oops:

        З.Ы, OS можно поменят ник на сайте, чтоб он был такой же как и на форуме?

        -1
        Показать 1 ответ
        • Ответить

          openssource

          28 апреля, 2016 в 18:51

          Да, на почту отпиши.
          По рассылкам — курс Шелеста :)

          2
  • Ответить

    levr178

    28 апреля, 2016 в 18:18

    Молодцы. Вот что значит владеть знаниями и умениями. Может послужит уроком кому-нибудь со злыми умыслами.

    -1
    Показать 1 ответ
    • Ответить

      Hayam

      28 апреля, 2016 в 18:37

      Если только урок — как избежать досадных косяков при взломе

      0
  • Ответить

    barracuda

    28 апреля, 2016 в 18:27

    Молодцы. Ты меня наверно знаешь :arrow: :shock:

    -1
  • Ответить

    Hayam

    28 апреля, 2016 в 18:39

    Мне почему-то кажется (надеюсь, что ошибаюсь), что публика не понимает, что андрея-максима чуть за нежное место не взяли, и только поэтому он «признал ошибку»

    -1
  • Ответить

    rtsmagics

    28 апреля, 2016 в 21:21

    Админ красавчик!
    Повел себя достойно.

    -1
  • Ответить

    rvv56

    29 апреля, 2016 в 10:55

    Интересная статья, познавательная, нужная. Спасибо openssource за информацию.

    -1
  • Ответить

    Roseell

    29 апреля, 2016 в 15:37

    Молодец Админ!

    -1
  • Ответить

    zmej34370

    4 мая, 2016 в 10:20

    Реально молодец! Удивил профессионализм+вычислил подлеца в столь короткий срок! :arrow: Так держать!

    -1
  • Ответить

    rvssvr75

    28 апреля, 2016 в 19:51

    Ни чего удивительного, таких говнюков пруд пруди. А наказывать надо :evil:

    -2
  • Ответить

    Виталий

    29 апреля, 2016 в 05:48

    Надо было наказать негодяя….Статья класс!

    -2
  • Ответить

    smm

    28 апреля, 2016 в 18:48

    Ставьте лайк если перешли с вебинара Вектора.

    -4