вторник, 22 февраля 2011 г.

Взлом нашего служебного форума-4. Действия воришек во время взлома.

Уточнение по действиям «До». Я при разборе один адресок в статистике упустил - краснодарского Кубтелекома, так с него из-под МаилРу-шного ящика долбились на форум еще с 19 января (без знания дыры) и, забегая вперед, несколько часов после изгнания, в том числе разок через анонимные сервисы, например домена elearning.gau.edu.tr (турецкий, что ли, неважно). Вообще остались следы от 8 кубанских адресов левых обращений на вход за период с 5 января по 21-е включительно, один «засветился» из Ростова-на-Дону.

Взлом форума с использованием дырки «Забыли пароль?» пользователя был произведен 21 января в 11ч 24мин с адреса 71.55.123.56.
Человек это был явно не сведущий в наших делах, в последующие минуты совершенно бесцельно потоптавшийся по разделам форума, не имеющим информационной ценности — по библиотеке профессиональных знаний (там у нас ГОСТы, методики по разным технологиям, СНиПы), по заведенным нами, но пока не отрабатываемым регионам-пустышкам. Он потом после обеда и до 6 часов вечера еще 9 раз продолбился по бывшему адресу форума из каких-то МаилРушных писем, но с какого ящика уже не понятно.

В 11ч31мин, параллельно с первым произошел осмысленный набег с адреса 207.191.229.196 с последующим профессиональным путешествием по информационно ценным разделам вплоть до момента первого выключения (в 11.45, 14 минут, «осмотрено» 7 объектов.). Причем этот же самый адрес разок «засветился» 5 января после взлома Натальиного ящика, поэтому мы в действиях воришек «До» однозначно связываем в одну общую цепочку и то событие и данное.
В 12.21 после первого выключения-включения форума по темам понеслись с адреса 74.220.207.168, предполагаем что это был тот же человек, что был вход в 11-31, но, не 100%, так как ломился он при наличии обращения с предыдущего.
Вырубили в 12.28, 7 минут активности, «осмотрено» 7 объектов, по 60 секунд вместе с переходами!

С обоих этих адресов (плюс краснодарские) безрезультатно обратились в этот день еще несколько раз вплоть до 19 часов вечера.

Наиболее явное наблюдение:
Если Вы - посторонний человек, впервые попавший на некий незнакомый для себя форум с десятками разделов, то Вам надо осмотреться, потыкаться, понять предназначение, условности. Поведение взломщика «с адреса 71.55.123.56» было полностью этому соответствующее.. Поведение же воришек, жадно и торопливо тащивших нашу информацию в самый разгар рабочего дня, в присутствии владельцев, говорит о явной их глупости и не понимания, что остаются четкие следы для нас, например, того, что они в своих действиях уже заранее знают логику нашего форума, предназначение разделов, содержание тем.
Так что круг подозреваемых сильно сузился...

Продолжение следует...


Конкурентный взлом нашего служебного закрытого Интернет-форума. Часть 1
Часть 2 Действия воришек до
Часть 3. Как этот момент доходил нам.
Часть 4. Действия воришек во время взлома.

Комментариев нет:

Отправить комментарий