воскресенье, 19 июня 2011 г.

...И со строптивым развратишься.

«С преподобным преподобен будешь, и со избранным избран будешь, и со строптивым развратишься.»
Пророк царь Давид
(Пс. 17, 26-27)


Если выяснил, что:
твой начальник слаб духом — найди в себе силы и мужество, расставайся!
твой сотрудник слаб духом — расставайся!
партнер мошенник — расставайся!
заказчик бесчестный — отступись!

А думаешь справиться в себе или перевоспитать такого, повлиять — ты гордец самонадеянный и самоуверенный, считающий себя выше прославленного в тысячелетиях царя Давида।

Деньги того не стоят

С уважением

воскресенье, 12 июня 2011 г.

Не беспокойтесь — Вас заказали.

Решил поделиться свежим практикумом.
Сейчас наблюдаем за активизировавшимися попытками взлома некоторых наших служебных почтовых ящиков, что расположены на общих Интернет-ресурсах.
Понятно, что не просто так пацаны ломают и лезут, а за деньги (пример объявлений) — одним воровайкам-конкурентам, не живется честной жизнью, вот и заказали доступ к нашей служебной информации.
Пока что простые средства к нам применяются.
Итак, по конкретным эпизодам:
1. Пришли на Натальин рамблеровский ящик (и еще на ящики наших сотрудников) письма вида:
Отправитель: support@rambler.ru
Тема: «Отказ от предоставления услуг»
Содержание, кратко:
«Уважаемый, это служба Рамблера. Полгода Вы к нам не ходили, подтвердите что живы-здоровы, а то мы отключим» и ссылочка для клика очень даже прилично написанная, такая:
http://rambler.ru/cgi-bin/start?back=id906500007601
Ни дать ни взять, всё как бы чинно, самого Рамблера
Однадо под надписью находится совсем иная ссылка, вызываемая на клик, копирую:
http://mail.rambler.ru/mail/redirect.cgi?url=http://id.rambler.ru-0172657165400943.ru/index.php?login=ZZZZZZZ, то есть переадресация!
По этой ссылке вам является форма авторизационного входа Рамблера, ну один-в-один, только человек собственными руками вводит свой пароль к ящику вида ZZZZZZZ@rambler.ru (ну или какой там ваш) для передачи злоумышленникам (посмотрите здесь, не опасно).
Не опытный, хотя и внимательный, пользователь видит в адресе «id.rambler.ru» и доверяет, но если присмотреться, то реально имя домена там, где слева от последнего «.ru», это «ru-0172657165400943.ru». При проверке на любом Хуисе (например здесь), получаем, что он зарегистрирован на какую-то женщину недавно, в апреле 2011-го (контакт fistakova@mail.ru )
мы не ведемся, не вводим...
2. Через несколько дней приходит иное интересное письмо, побуждающее вводить имя-пароль при всяких случаях.
Как это очередное «послание» работает не понимаю (по старой программистской памяти — может Esc-последовательности какие, может скрипты), но выглядит седующим образом: при открытии этого письма в интерфейсе Рамбер-почты в содержании - абракадабра, через пару секунд сбрасывает текущую сессию пользователя на рамблеровской почте, передергивает страницу на форму активации и просит вводить имя-пароль. Чтобы продолжить работу со своим ящиком по любому надо вводить.
Во внутренностях довольно интересный адрес, откуда письмо начало свой путь, копирую:
Received: from tonystar-sheyman by fe119.hc.ru with local (Exim 4.74 (FreeBSD))(envelope-from tonystar-sheyman@fe119.hc.ru)tonystar-sheyman@fe119.hc.ru
В общем некий Тонистар "Марией" послал.
Какие внешние приметы — отправитель указан с ящиком явно из тех же хакерских дебрей.
“Кретова Мария” kretova_maria@fe119.hc.ru
Еще там внутри следы запуска php-шки вроде с приличного сайта — sheyman.ru:
X-PHP-Script: sheyman.ru/images/C9999996.php for 212.117.160.123
Однако при просмотре кодов титульной страницы этого самого сайта «Шейман Марк Михайлович» (sheyman.ru), там во внутренностях совсем нехорошие следы от шарашки взломщиков почтовых ящиков, даже их самореклама с адресом сайта. Сейчас попробовал вызвать sheyman.ru, чтобы скопировать сюда - антивирусник не пустил, сообщает, что страница сайта заражена. Предполагаю, что хозяин сайта сам от взлома паразитов пострадал и теперь его странички-зомби отрабатывают всех посетителей.

3. Вчера поступило письмо следующей модификации

Отправитель типа: «Команда Rambler.ru» (support@corp.rambler.ru )
Тема: «Вам поступило сообщение, утерянное при пересылке»
Содержание кратко: Траляля, есть тебе, пользоватеь, одно недоставленное нами сообщение, в общем, чтобы прочитать, кликните по ссылке ниже
Звучит по тексту ссылка: «Прочитать сообщение»
Под этой ссылкой на самом деле очередной левацкий адрес, копирую его:
http://mail.rambler.ru/mail/redirect.cgi?url=http://www.rambler.ru.reg0017912014.org/auth.cgi%2Flogins.html%3Fmail%26passive%3Dtrue%26rm%3Dfalse%26continue%2F;href=1

по принципу первых писем убеждающее начало «www.rambler.ru...», только теперь эта фигня на зарубежном домене (reg0017912014.org), в апреле взятом типа на приличную компанию (privacyprotect.org), но врут о владельце - очень даже по русски предагают ту же самую форму авторизации Рамбера.

И подобная долбежка на некоторых других ящиках сотрудников.
Также наблюдаем в логах наших сайтовых ресурсов активность в определенных зонах, но там пока просто ковыряются в открытых файлах, скачивают.

В общем жуем попкорн, сидим в первом ряду, смотрим это шоу, ждем продолжения.

--------------------------------------
Отдельное моё обращение к заказчику взломов, который, как я не раз слышал, почитывает “Ёжиков”:
Может хватит шакалить, а? Ну стащишь в конце концов информацию о наших рабочих объектах, ну поимеешь что-то контрактом-другим, ну получишь какие-то деньги, но как же жить вором? Всё же потеряешь без чести и совести. Опомнись!