вторник, 15 февраля 2011 г.

Взлом нашего служебного форума-3. Как этот момент доходил нам.

Оцените живую ленту Скайпа меня с Натальей. Прям детектива в 2х лицах.
Какая произведена редакция:
- убраны записи, не относящиеся к сюжету, всё-таки активный рабочий день был, много чего попутно решалось
- имена и фамилии забиты звездочками
- мои комментирующие вставки для лучшего понимания Вами контекста италиком
- картинки кликабельны, хорошего качества

Обратите внимание на время в минутах, интересна динамика событий

------------------------

Первое обращение Натальи в связи с ситуацией, когда наш сотрудник с утра испытал проблемы с доступом на форум. Я еще не знаю, что ящик взломан и что пользователь сейчас зашедший на форуме под «Леной»- чужой. Прислала копию письма.

[21.01.2011 11:35:32] Наталья: Fri, 21 Jan 2011 08:25:07 -0000 письмо от "Промполов всеобщий 2011" :

> Уважаемый *******,
> Вы воспользовались функцией 'восстановления пароля' для Вашей учетной записи.
> Чтобы установить новый пароль перейдите по ссылке:
> http://prompol.stavropol.info/2011/index.php?action=reminder;sa=setpassword;u=19;code=******
>
> IP: 71.55.123.56
> Имя пользователя: *******
>
> С Уважением,
> Администрация форума Промполов всеобщий
> 2011
[21.01.2011 11:36:46] Михаил: ну ни чего страшного, если хочешь - перезвони Лене, переспроси, делала ли
[21.01.2011 11:38:04] Михаил: если не делала, значит кто-то пытался, но это не просто, возможно только при взломе её почтового ящика, на который идет уведомление
спроси, а я гляну статистику обращений этого пользователя в админке
[21.01.2011 11:38:40] Наталья: у нее взломали почтовый ящик

ага, вот тут запахло нехорошим

[21.01.2011 11:38:59] Михаил: тогда блокиру пользователя
[21.01.2011 11:38:59] Наталья: я удалила ее запись учетьную
[21.01.2011 11:39:11] Михаил: да погодь ты!!!!
[21.01.2011 11:39:13] Михаил: блин
[21.01.2011 11:39:29] Михаил: ну нельзя махом удалять! достаточно сменить реквизиты
[21.01.2011 11:39:52] Михаил: Ну ты хоть советуйся в подобных случаях
[21.01.2011 11:41:11] Михаил: блин, ну как я теперь входы увижу?!!!

Узнаю, что «пользователь» копается у нас прямо сейчас.

[21.01.2011 11:42:02] Наталья: а почему -то у меня она висит еще что она на форуме
[21.01.2011 11:43:01] Наталья: я ее не удалила похоже
[21.01.2011 11:43:27] Михаил: ну и не надо, сейчас забаню стандартными процедурами
[21.01.2011 11:43:34] Наталья: давай
прописываю бан пользователю, рассчитываю что при любом следующем клике этого пользователя движок форума заблокирует деятельность.



[21.01.2011 11:43:55] Наталья: только почему они продолжают работать?
[21.01.2011 11:45:00] Наталья: ее айпишник 207191229196
[21.01.2011 11:45:14] Наталья: последний. под которым она вышла




[21.01.2011 11:46:35] Михаил: а Лена сейчас что делает? она на форуме была или нет?
[21.01.2011 11:46:41] Наталья: Елена просматривает тему энергомера
[21.01.2011 11:46:57] Михаил: это она говорит?
[21.01.2011 11:46:59] Наталья: как сделать так, чтобы они ничгео не могли скачать
[21.01.2011 11:47:25] Михаил: еще раз спрашиваю - что делает Лена реально сейчас?
[21.01.2011 11:47:25] Наталья: нет это написано на форуме у нас 3 гостя на форуме
[21.01.2011 11:47:34] Наталья: нет она выключила комп
[21.01.2011 11:47:55] Михаил: а до этого ходила по форуму?
[21.01.2011 11:48:01] Наталья: нет
[21.01.2011 11:48:10] Наталья: не смогла его открыть сегодня
[21.01.2011 11:49:06] Наталья: блин
[21.01.2011 11:49:18] Наталья: они могли за ночь всю базу нашу выкачать
[21.01.2011 11:50:38] Михаил: ну не суетись, раз лазили сейчас, значит не выкачали, а на будущее надо бы поаккуратнее с информационной безопасностью, антивирусы и т.д.
ну может придеться вводить неудобства - не своего региона не доступны. Ну ладно, оргвыводы потом сделаем
[21.01.2011 11:51:00] Наталья: как проверить чей айпишник
[21.01.2011 11:51:07] Наталья: ?
[21.01.2011 11:51:49] Михаил: я проверю, не суетись, пока делами занимайся, я может приостановлю форум ненадолго, пусть кому срочно нужна инфа оттуда, возьмут сейчас
[21.01.2011 11:52:10] Наталья: приостанавливай

поразмышляв над несколькими вариантами, делаю на локальный компьютер полную копию базы форума и в параметрах форума ввожу название не существующей базы. Эффект мгновенный для всех. Оставляю у себя в браузере открытые странички с визуальными следами присутствия чужих.

[21.01.2011 12:03:23] Михаил: в общем заблокировал крепко, судя по информации, вход был всего лишь 20 минут назад через анонимный зарубежный проксик, видимо взломали и вручили заинтересованному лицу. Чего это лицо поперлось на Энергомеру, видимо терки-перетерки с заказчиком прямо сейчас, это не критично :)
[21.01.2011 12:06:50] Наталья: ориентировочное время нахождения на форуме с 8.35 до 11.35
[21.01.2011 12:07:23] Наталья: что они могли сделать за 2 часа? как много можно скачать информации?
[21.01.2011 12:07:47] Михаил: Наташ, оставь в покое админку, не сбивай мне своё разбирательство
[21.01.2011 12:08:48] Наталья: может оно поперлось именно туда, куда послали скачать все что етсь этому конкретно клиенту
[21.01.2011 12:09:35] Михаил: я сейчас разбираюсь и восстанавливаю форум для работы
[21.01.2011 12:10:23] Наталья: там было 2 проксика, один с 207 начинается. а другой с 75
Восстанавливаю работу форума на прежнем адресе, но на новой базе, чьё имя прописал ранее. Рассчитываю, что все сессии оборвались, всеи пользователям заходить заново и забаненные уже не пройдут. Это оказалось ошибочным, надо было сразу менять место расположения.

[21.01.2011 12:17:14] Наталья: форум уже рабоатет?
[21.01.2011 12:17:32] Михаил: уже
[21.01.2011 12:17:41] Наталья: хорошо
[21.01.2011 12:17:46] Михаил: угу
[21.01.2011 12:17:56] Наталья: надо ******* тоже забанить
[21.01.2011 12:18:07] Наталья: и изменить им почтовые ящики на наши инфошные
[21.01.2011 12:18:13] Михаил: он не возражает? :)
[21.01.2011 12:18:26] Наталья: они уехали в институт пока ничего не увидят
[21.01.2011 12:18:42] Михаил: потом надо будет объяснить
[21.01.2011 12:19:06] Наталья: объясню
[21.01.2011 12:19:39] Михаил: я пока забаню, минутное дело разбанить
[21.01.2011 12:19:46] Михаил: сама сможешь
[21.01.2011 12:20:05] Наталья: вот нам сыграло службу менеджерская безолаберность, у Саши последняя запись на энергомере от 18 мая
[21.01.2011 12:20:19] Михаил: хи хи
[21.01.2011 12:20:21] Наталья: а можно проверить, что было скачано и просмотрено с этих айпишников?
[21.01.2011 12:20:34] Михаил: еще не знаю, ты мне мешаешь этим делом заниматься
[21.01.2011 12:21:00] Михаил: (логи скачать, ну и много чего)
[21.01.2011 12:22:00] Михаил: сейчас сделаем смену пароля только администратором, уже эту дырку взлома внешних ящиков закроем полностью
[21.01.2011 12:22:35] Наталья: хорошо
[21.01.2011 12:24:07] Михаил: хи хи, кто-то из Краснодара ломится
[21.01.2011 12:24:11] Михаил: сейчас

далее стало не до хихиканий, так как в живую начали наблюдать гонку по нашим служебным активам, причем одновременно несколькими входами с разных адресов. Самый азартный момент (в ленте Скайпа не все события, мы ж с Наташей не радиокомментаторы, а действовали).


[21.01.2011 12:24:42] Наталья: Лена снова на форуме
[21.01.2011 12:24:48] Наталья: удаляй ее нафиг
[21.01.2011 12:25:03] Наталья: сморти куйбышевазот
[21.01.2011 12:25:05] Михаил: да, неправильно
[21.01.2011 12:26:33] Наталья: дальше на хдалдокомбинате
[21.01.2011 12:27:10] Наталья: а чего ты ее не удаляешь, она уже на солане побываала
[21.01.2011 12:27:32] Наталья: дальше был абинский метталургический вот зараза
[21.01.2011 12:27:46] Михаил: надо с дыркой разобраться, не суетись, удалить всегда успеем
[21.01.2011 12:28:20] Наталья: а адвай я в милицию пойду
[21.01.2011 12:28:24] Михаил: значит какая-то дырка, буду теперь смотреть внимательнее
[21.01.2011 12:28:52] Михаил: да ладно, Наташ, не суетись

блокирую форум повторно тем же методом смены имени базы, только теперь без намерений быстро возвращать

[21.01.2011 12:29:45] Михаил: в общем, пусть все чуть отдохнут от форума, видимо мало что успели шпионы сделать, раз такую прыть проявили
[21.01.2011 12:30:05] Михаил: часа через два я на другом адресе активирую
[21.01.2011 12:30:33] Михаил: он будет не известен контакту "Лена"
[21.01.2011 12:31:39] Михаил: они сейчас быстро открывали странички в новых окнах браузера чтобы их считать даже если заблокируем. То есть возбмут что на виду
[21.01.2011 12:49:02] Наталья: возьмут главное контакты и где строят
[21.01.2011 12:50:04] Михаил: смотрю логи, нашел последнюю активность, вроде всё видно и этого немного левого, посмотрим внимательнее. Меня беспокоит что забаненый пользователь попал в работу
******
[21.01.2011 12:51:03] Наталья: значит надо обезопасить себя другими методами: почтовые ящики взять наши
[21.01.2011 12:51:45] Михаил: обезопасим, реактивные действия это нормально, так как на превентивные ни каких сил не хватит
[21.01.2011 12:51:49] Наталья: и чтобы у них не было через кого взломать, чтобы были почтовые ящики только для внутренней работы
[21.01.2011 12:52:08] Михаил: ну не парься, взломать можно и иными способами
[21.01.2011 12:52:16] Наталья: так ты считаешь, что они немного изъяли информации?
[21.01.2011 12:52:30] Михаил: Наташ, угомонись, информационная безопасность это много чего
[21.01.2011 12:52:32] Наталья: если они не будут знать что взалмывать. то и не смогут
[21.01.2011 12:52:44] Михаил: еще не знаю, ты мешаешь :P
[21.01.2011 12:53:50] Михаил: скачал полные логи за сутки, там каша визуальная, надо конвертировать и сортировать, но там есть каждое обращение с каждого ИП
******
[21.01.2011 13:08:04] Михаил: **** не факт что при делах, даже ****ев еще не факт
[21.01.2011 13:08:24] Наталья: да уж конечно, факт судя по лигке скачивания
******
[21.01.2011 13:11:52] Наталья: да уж неоджиданность, я представлю масштабы ****ной деятельности
[21.01.2011 13:12:09] Наталья: меня беспокоит, что он может просто взять и понагадить везде
[21.01.2011 13:12:36] Михаил: ну и какие? 50$ взлом
*****
[21.01.2011 13:13:12] Михаил: ну вор и есть вор, не брезгует тащить, фу
*****
[21.01.2011 13:13:48] Наталья: нет, ****** сейчас вопспользуется этой информацией - он направит везде свои предложения с меньшей ценой
[21.01.2011 13:14:00] Наталья: нам нужны аргументы
[21.01.2011 13:14:25] Михаил: успокойся, через 20 минут не направит
[21.01.2011 13:14:52] Наталья: мы тоже через 20 минут не отреагируем по всем заказчикам. и как нам реагировтаь?
******
[21.01.2011 15:33:30] Михаил: нашел подозрительные 23 минуты активности с кубаньтелекома еще 19 января
[21.01.2011 15:36:06] Наталья: у нас же мтс кубанский
[21.01.2011 15:36:29] Михаил: отсеваю...
[21.01.2011 15:36:40] Михаил: задачка не простая
[21.01.2011 15:37:08] Наталья: взлом был моего ящика, может тогда было какое-то пересечение, но у меня на почтовом не было сообщений
[21.01.2011 15:37:17] Михаил: логи за январь 27000 записей
[21.01.2011 15:37:44] Михаил: ну может просто потолкались перед входом, еще не знаю, просто проинформировал пока
[21.01.2011 15:38:00] Наталья: сейчас уведомления у пользователей удаляя
[21.01.2011 15:39:00] Михаил: там в деталях будет видно, но пока чижало расковыривать, очень много логов
******
[21.01.2011 15:58:44] Наталья: там было 2 адреса
[21.01.2011 15:59:20] Михаил: судя по картине - не один человек одновременно был, ломились на вход в то же самое время когда "леной" уже шел просмотр
[21.01.2011 15:59:45] Наталья: я же о том же
[21.01.2011 16:00:20] Михаил: нет, я думаю что это был ******* и нанятые ребята, они более корректно шли - через анонимные проки
[21.01.2011 16:00:31] Наталья: ъотя непонятно, они могли же под ее ником выходить одновременно с разных компов
[21.01.2011 16:00:32] Михаил: через прокси-сервера
[21.01.2011 16:00:57] Михаил: это не запрещено
[21.01.2011 16:01:25] Наталья: так я же о том же. зачем было ломиться гостем с других проксиков
[21.01.2011 16:01:36] Михаил: мы не можем прописать явные, так как сами попадаем динамически
[21.01.2011 16:02:05] Михаил: МТС то через волгоград, то краснодар вводит в Инет
[21.01.2011 16:02:17] Михаил: зеленая однажды через сибирь и т.п.
******

Через три часа копания по следам в логах картина прояснилась, стало смешно, что выявили злоумышленников практически с порога. Сообщаю в офис.

[21.01.2011 16:34:04] Михаил: ай ай ай... как нехорошо, вы девушка обломали, похоже, хацкеров.... небось все выступающие места себе от досады откусили... Какой облом... а щастье уже в руках было...
в общем успокойся, вроде облом произошел полный у них - только начали и тут БАЦ....ФИГ... ЖОПА..., потом на досуге ***** посетуй, но без наездов, просто проинформируй, что вот такое было дело, но пресекли
Думаю, что если ****** участвовала, то при полной обработке ***** что так надо и ты можешь нарваться на оптовые наезды, на которые потратишь часы отбиваясь по пустому

Разъяснения с примерами по видео-связи

[21.01.2011 16:35:53] *** Звонок от Наталья, продолжительность 14:35. ***
******

Отработка вероятных хвостов

[21.01.2011 17:21:21] Михаил: Наташ, судя по одной записи - "Леной" была попытка отправки личного сообщения
если ты ей поменяла пароль, то зайди ей, посмотри в её отправленных, может какие следы есть или пакость с адресацией "от Лены" на любого из участников форума
[21.01.2011 17:21:38] Михаил: только не удаляй!

Продолжение следует...

Конкурентный взлом нашего служебного закрытого Интернет-форума. Часть 1
Часть 2 Действия воришек до
Часть 3. Как этот момент доходил нам.
Часть 4. Действия воришек во время взлома.

Комментариев нет:

Отправить комментарий