Решил поделиться свежим практикумом.Сейчас наблюдаем за активизировавшимися попытками взлома некоторых наших служебных почтовых ящиков, что расположены на общих Интернет-ресурсах.
Понятно, что не просто так пацаны ломают и лезут, а за деньги (
пример объявлений) — одним воровайкам-конкурентам, не живется честной жизнью, вот и заказали доступ к нашей служебной информации.
Пока что простые средства к нам применяются.
Итак, по конкретным эпизодам:
1. Пришли на Натальин рамблеровский ящик (и еще на ящики наших сотрудников) письма вида:
Отправитель:
support@rambler.ruТема:
«Отказ от предоставления услуг»Содержание, кратко:
«Уважаемый, это служба Рамблера. Полгода Вы к нам не ходили, подтвердите что живы-здоровы, а то мы отключим» и ссылочка для клика очень даже прилично написанная, такая:
http://rambler.ru/cgi-bin/start?back=id906500007601Ни дать ни взять, всё как бы чинно, самого Рамблера
Однадо под надписью находится совсем иная ссылка, вызываемая на клик, копирую:
http://mail.rambler.ru/mail/redirect.cgi?url=http://id.rambler.ru-0172657165400943.ru/index.php?login=ZZZZZZZ, то есть переадресация!
По этой ссылке вам является форма авторизационного входа Рамблера, ну один-в-один, только человек собственными руками вводит свой пароль к ящику вида
ZZZZZZZ@rambler.ru (ну или какой там ваш) для передачи злоумышленникам (
посмотрите здесь, не опасно).
Не опытный, хотя и внимательный, пользователь видит в адресе
«id.rambler.ru» и доверяет, но если присмотреться, то реально имя домена там, где слева от последнего «.ru», это
«ru-0172657165400943.ru». При проверке на любом Хуисе (
например здесь), получаем, что он зарегистрирован на какую-то женщину недавно, в апреле 2011-го (контакт fistakova@mail.ru )
мы не ведемся, не вводим...
2. Через несколько дней приходит иное интересное письмо, побуждающее вводить имя-пароль при всяких случаях.
Как это очередное «послание» работает не понимаю (по старой программистской памяти — может Esc-последовательности какие, может скрипты), но выглядит седующим образом: при открытии этого письма в интерфейсе Рамбер-почты в содержании - абракадабра, через пару секунд сбрасывает текущую сессию пользователя на рамблеровской почте, передергивает страницу на форму активации и просит вводить имя-пароль. Чтобы продолжить работу со своим ящиком по любому надо вводить.
Во внутренностях довольно интересный адрес, откуда письмо начало свой путь, копирую:
Received: from tonystar-sheyman by fe119.hc.ru with local (Exim 4.74 (FreeBSD))(envelope-from tonystar-sheyman@fe119.hc.ru)tonystar-sheyman@fe119.hc.ruВ общем некий Тонистар "Марией" послал.
Какие внешние приметы — отправитель указан с ящиком явно из тех же хакерских дебрей.
“Кретова Мария” kretova_maria@fe119.hc.ru
Еще там внутри следы запуска php-шки вроде с приличного сайта — sheyman.ru:
X-PHP-Script: sheyman.ru/images/C9999996.php for 212.117.160.123Однако при просмотре кодов титульной страницы этого самого сайта «Шейман Марк Михайлович» (sheyman.ru), там во внутренностях совсем нехорошие следы от шарашки взломщиков почтовых ящиков, даже их самореклама с адресом сайта. Сейчас попробовал вызвать sheyman.ru, чтобы скопировать сюда - антивирусник не пустил, сообщает, что страница сайта заражена. Предполагаю, что хозяин сайта сам от взлома паразитов пострадал и теперь его странички-зомби отрабатывают всех посетителей.
3. Вчера поступило письмо следующей модификации
Отправитель типа:
«Команда Rambler.ru» (support@corp.rambler.ru )Тема:
«Вам поступило сообщение, утерянное при пересылке»Содержание кратко:
Траляля, есть тебе, пользоватеь, одно недоставленное нами сообщение, в общем, чтобы прочитать, кликните по ссылке нижеЗвучит по тексту ссылка:
«Прочитать сообщение»Под этой ссылкой на самом деле очередной левацкий адрес, копирую его:
http://mail.rambler.ru/mail/redirect.cgi?url=http://www.rambler.ru.reg0017912014.org/auth.cgi%2Flogins.html%3Fmail%26passive%3Dtrue%26rm%3Dfalse%26continue%2F;href=1по принципу первых писем убеждающее начало
«www.rambler.ru...», только теперь эта фигня на зарубежном домене (
reg0017912014.org), в апреле взятом типа
на приличную компанию (privacyprotect.org), но врут о владельце - очень даже по русски предагают ту же самую форму авторизации Рамбера.
И подобная долбежка на некоторых других ящиках сотрудников.
Также наблюдаем в логах наших сайтовых ресурсов активность в определенных зонах, но там пока просто ковыряются в открытых файлах, скачивают.
В общем жуем попкорн, сидим в первом ряду, смотрим это шоу, ждем продолжения.--------------------------------------
Отдельное моё обращение к заказчику взломов, который, как я не раз слышал, почитывает “Ёжиков”:Может хватит шакалить, а? Ну стащишь в конце концов информацию о наших рабочих объектах, ну поимеешь что-то контрактом-другим, ну получишь какие-то деньги,
но как же жить вором? Всё же потеряешь без чести и совести.
Опомнись!
