Взлом WEB сайта

Персональный раздел для Krec.

Взлом WEB сайта

Сообщение Krec » 03 дек 2011, 14:54

Добеый день.

Сайт одной компании был взломан, а именно изменен весь контент. каким то образом все файлы были шифровны..
сайт хостится на http://www.hts.ru/, обратился, сказали что это взлом типа. откатили все обратно и поменял все пароли. Смотрел дату изменений файлов и это оказался 29.11.2011. Потом поговорил с тех.поддержкой и они мне дали логи. IP адрес таинственного "гения" оказался Румыньский:
Код: Выделить всё
Страна: Romania
Регион: Bucuresti
Город: Bucharest


из этого адреса были заменены все файлы:
Код: Выделить всё
Nov 29 17:39:43 c21 vsftpd[95939]: [srv19550] OK UPLOAD: Client "94.63.240.**", "//htdocs/8d5093974332.html", 2194 bytes, 13.93Kbyte/sec
Nov 29 17:39:47 c21 vsftpd[95939]: [srv19550] OK UPLOAD: Client "94.63.240.**", "//htdocs/classes/hierarchyModel/domain.php", 9606 bytes, 3.91Kbyte/sec
Nov 29 17:39:50 c21 vsftpd[95939]: [srv19550] OK UPLOAD: Client "94.63.240.**", "//htdocs/errors/install_completed.html", 3723 bytes, 25.24Kbyte/sec
Nov 29 17:39:51 c21 vsftpd[95939]: [srv19550] OK UPLOAD: Client "94.63.240.**", "//htdocs/errors/invalid_license.html", 4490 bytes, 30.92Kbyte/sec
Nov 29 17:39:52 c21 vsftpd[95939]: [srv19550] OK UPLOAD: Client "94.63.240.**", "//htdocs/errors/mysql_failed.html", 3918 bytes, 24.49Kbyte/sec
Nov 29 17:39:52 c21 vsftpd[95939]: [srv19550] OK UPLOAD: Client "94.63.240.**", "//htdocs/errors/no_design_template.html", 3626 bytes, 24.58Kbyte/sec
Nov 29 17:39:53 c21 vsftpd[95939]: [srv19550] OK UPLOAD: Client "94.63.240.**", "//htdocs/errors/trial_expired.html", 4162 bytes, 24.26Kbyte/sec
Nov 29 17:39:54 c21 vsftpd[95939]: [srv19550] OK UPLOAD: Client "94.63.240.**", "//htdocs/errors/xslt_failed.html", 3781 bytes, 20.29Kbyte/sec
Nov 29 17:39:55 c21 vsftpd[95939]: [srv19550] OK UPLOAD: Client "94.63.240.**", "//htdocs/index.php", 13942 bytes, 35.02Kbyte/sec
Nov 29 17:39:56 c21 vsftpd[95939]: [srv19550] OK UPLOAD: Client "94.63.240.**", "//htdocs/js/cross-domain.php", 9030 bytes, 41.67Kbyte/sec
Nov 29 17:39:57 c21 vsftpd[95939]: [srv19550] OK UPLOAD: Client "94.63.240.**", "//htdocs/js/testSettingsStore.html", 2425 bytes, 16.69Kbyte/sec
Nov 29 17:39:58 c21 vsftpd[95939]: [srv19550] OK UPLOAD: Client "94.63.240.**", "//htdocs/pwindows/PWC-OS/index.html", 3511 bytes, 22.19Kbyte/sec
Nov 29 17:39:59 c21 vsftpd[95939]: [srv19550] OK UPLOAD: Client "94.63.240.**", "//htdocs/smu/index.php", 8625 bytes, 39.10Kbyte/sec


Хостинг больше не дает никакой информации.
Как бы и более чем ясно, что это proxy/VPN адрес и за нем скрываекся кто то из России (конкуренты). Только вот не знаю сам (или кто то из вас) может выяснить это дело? или без интерпола ничего не сделать ?
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Взлом WEB сайта

Сообщение Igor Mikhaylov » 03 дек 2011, 17:02

Обратитесь в Group IB.
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 149 раз.

Re: Взлом WEB сайта

Сообщение Krec » 03 дек 2011, 17:43

Igor Michailov писал(а):Обратитесь в Group IB.

А смысл? они только содрут денег за то, чтоб мне сказать, что взломали вас по явзвимостям.
Контора частная (Group IB) + находится в России. IP адрес взломщика европейская, по этому частные конторы только могут купить на сторонку. что они могут делать ?
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Взлом WEB сайта

Сообщение Igor Mikhaylov » 03 дек 2011, 18:09

Вы полагаете, что на форуме вам дадут телефон дежурного офицера Интерпола?
Digital Evidences is the international board about digital evidences.

http://cyberforensicator.com/
Аватара пользователя
Igor Mikhaylov
 
Сообщения: 6838
Зарегистрирован: 19 ноя 2006, 10:08
Откуда: Россия
Благодарил (а): 115 раз.
Поблагодарили: 149 раз.

Re: Взлом WEB сайта

Сообщение Krec » 03 дек 2011, 18:17

да нет )))))))) просто спрашиваю может есть другие гос. органы, которые занимаются этими делами? а то обратится в частную контору - смысла нету.
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Взлом WEB сайта

Сообщение FUF » 03 дек 2011, 18:22

В какую сторону копать - сейчас много абузоустойчивых хостеров предлагают серверы с IP-адресами в автономках Румынии. Автономка предоставленного вами диапазона адресов не исключение, судя по некоторым признакам. Зарегистрируйтесь на форумах андерграундных, найдите все контанты популярных хостеров и купите по серваку в Румынии у них, а затем сравните IP-адреса и вычислите хостера вашего злодея :) Ну а затем думайте сами.
FUF
Член клуба
 
Сообщения: 566
Зарегистрирован: 11 дек 2008, 19:25
Откуда: Москва
Благодарил (а): 0 раз.
Поблагодарили: 16 раз.

Re: Взлом WEB сайта

Сообщение Krec » 03 дек 2011, 19:29

FUF писал(а):В какую сторону копать - сейчас много абузоустойчивых хостеров предлагают серверы с IP-адресами в автономках Румынии. Автономка предоставленного вами диапазона адресов не исключение, судя по некоторым признакам. Зарегистрируйтесь на форумах андерграундных, найдите все контанты популярных хостеров и купите по серваку в Румынии у них, а затем сравните IP-адреса и вычислите хостера вашего злодея :) Ну а затем думайте сами.

Спасибо конечно за идею, но а ток какой от этого? даже если нашел - что смогу делать с хостингом? взломать и слить логи? :D

И вот так вот думаю все идут от ответственности.
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Взлом WEB сайта

Сообщение miapress » 03 дек 2011, 20:31

все зависит от того какой вы ждете результат. Поймать за руку и надавать по попе? выяснить кто именно из конкурентов. и что дальше? Или вы хотите привлечь их к уголовной ответственности? В последнем случае во первых не стоило затирать следы происшествия, написать заяву в милицию по месту жительства, вызвать срочно УправлениеК и купить им всем в отдел ну хотябы по флешке чтоб они активней взялись за ваше дело :)...

ну а теперь уж просто поднимите левую руку вверх, резко опустите и скажите "Ну и черт с ним!".
тем более что уязвимости впредь будете оперативней латать ;) безобид?

пока набирал, придумал еще один вариант - ловить на живца - расставляете на сайте ловушки и ждете след. аттаки :)
Аватара пользователя
miapress
Член клуба
 
Сообщения: 237
Зарегистрирован: 12 авг 2011, 17:35
Благодарил (а): 0 раз.
Поблагодарили: 1 раз.

Re: Взлом WEB сайта

Сообщение Krec » 03 дек 2011, 21:33

miapress

вызвать срочно УправлениеК и купить им всем в отдел ну хотябы по флешке чтоб они активней взялись за ваше дело

да они даже за 2 флешки не смогу ничего же делать )) отдел К - оно же под МВД ? Если этот адрес был бы скажем из городов России, то все намного легче было бы. А тут уже заграница, так что МВД отпадает. осатется интерпол, у них ролько руки достанут до нужных мест (хотя много споров и на это)
ну а теперь уж просто поднимите левую руку вверх, резко опустите и скажите "Ну и черт с ним!".

:mrgreen: пожалуй, так и сделаю, а иначе больше и нечего делать.
пока набирал, придумал еще один вариант - ловить на живца - расставляете на сайте ловушки и ждете след. аттаки

HoneyPot называется, но в наши дни он считается часть истории ИБ ))) больше ничего, т.к. все уже умные и используют разные сервисы, чтоб скрыть свой реальный IP адрес..
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Взлом WEB сайта

Сообщение miapress » 04 дек 2011, 11:06

УправлениеК обращается за помощью к Интерполу, Европолу, пишет запросы в румынскую полицию. это все их работа и полномочия. Вы сами не можете обратиться на прямую в Интерпол, в ваших полномочиях лишь написать заяву в РОВД по месту жительства :)
Аватара пользователя
miapress
Член клуба
 
Сообщения: 237
Зарегистрирован: 12 авг 2011, 17:35
Благодарил (а): 0 раз.
Поблагодарили: 1 раз.

Re: Взлом WEB сайта

Сообщение Krec » 04 дек 2011, 16:36

miapress писал(а):УправлениеК обращается за помощью к Интерполу, Европолу, пишет запросы в румынскую полицию. это все их работа и полномочия. Вы сами не можете обратиться на прямую в Интерпол, в ваших полномочиях лишь написать заяву в РОВД по месту жительства :)

Вот оно как )) спасибо. буду иметь ввиду.
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Взлом WEB сайта

Сообщение kfv » 04 дек 2011, 18:00

Вы сначала разберитесь еще как сервер поломали.

В интерпол пошлют запрос - те ответят через несколько месяцев - "дайте больше информации", на этом все и закончится.
Видишь суслика?
- Нет.
А он есть.
Аватара пользователя
kfv
Член клуба
 
Сообщения: 765
Зарегистрирован: 23 янв 2008, 08:59
Откуда: Омск
Благодарил (а): 26 раз.
Поблагодарили: 30 раз.

Re: Взлом WEB сайта

Сообщение miapress » 05 дек 2011, 10:06

kfv писал(а):Вы сначала разберитесь еще как сервер поломали.

В интерпол пошлют запрос - те ответят через несколько месяцев - "дайте больше информации", на этом все и закончится.

ну так чтобы все этим не закончилось я писал ранее про подарочные флешки для УправленияК ?:)
Аватара пользователя
miapress
Член клуба
 
Сообщения: 237
Зарегистрирован: 12 авг 2011, 17:35
Благодарил (а): 0 раз.
Поблагодарили: 1 раз.

Re: Взлом WEB сайта

Сообщение Krec » 05 дек 2011, 18:40

miapress писал(а):
kfv писал(а):Вы сначала разберитесь еще как сервер поломали.

В интерпол пошлют запрос - те ответят через несколько месяцев - "дайте больше информации", на этом все и закончится.

ну так чтобы все этим не закончилось я писал ранее про подарочные флешки для УправленияК ?:)


а если купить флешки от IronKey ( http://www.ironkeystore.ru/ ), могут даже на себя брать полностью весь ответственность, да? :mrgreen:
Krec
 
Сообщения: 338
Зарегистрирован: 01 июн 2011, 16:28
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.

Re: Взлом WEB сайта

Сообщение miapress » 06 дек 2011, 10:13

не знаю как великоросские кибер-опера, но помню пару лет назад когда из Турции хакнули наш белорусский официальный сайт МВД (дело чести было расследовать), наши кибер-опера из УправленияК смогли лишь родить запрос в Турцию, который так ни к чему и не привел, походу они там всем отделом только в контру играть умеют :)
Аватара пользователя
miapress
Член клуба
 
Сообщения: 237
Зарегистрирован: 12 авг 2011, 17:35
Благодарил (а): 0 раз.
Поблагодарили: 1 раз.

След.

Вернуться в KREC

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2

cron