Здравствуйте. Хотел поделиться своей историей "войны" с хакером, взломавшим мой офисный сервак с 1С.
Началось с того, что в один прекрасный момент (примерно месяц назад) утром я обнаружил на своем офисном сервере 1С невесть откуда взявшийся установленный PokerStars от имени нового пользователя root и этого самого пользователя, чей сеанс был отключен.
Подключился к управлению его сеансом, зашел в него, нашел там несколько текстовиков с данными держателей кредиток (ФИО, адрес, данные карты) и запущенный сеанс покера, где кто то вносил данные кредитки, но она не была принята, выдало какую то ошибку.
Я не стал удалять эту учетку и оставил сеанс подключенным и стал дожидаться. Паралельно полез в event viewer и нашел кучу событий по входу/выходу, созданию учетки с какого то питерского IP адреса. Сохранил все эти данные на всякий случай. Сомнений не было, что мой сервер взломали (я его администрировал сам от случая к случаю в силу своих возможностей) через удаленку, по видимому просто подобрали пароль пользователя admin (именно эта учетка давно не использовалась, а тут под ней пошли первые логины на сервак). Конечно эту ситуацию я сразу решил не спускать просто так, а разобраться, кто будет отвечать за содеянное.
Таки дождался! В тот же вечер на сервер залогинился пользователь в учетку root с того же самого адреса. Я решил пообщаться с ним и отправил сообщение через таск менеджер примерно в таком ключе - "здравствуйте "уважаемый" хакер. Знаете ли вы, что вы взломали сервер частного предприятия, что подпадает под такую то статью УК РФ - неправомерный доступ к компьютерной информации, который влечет наказание на такой то срок с конфискацие и т.п. Не желаете ли вы объясниться по существу этой ситуации? С учетом того, что мне известен ваш домашний IP адрес и приехать к вам домой хоть мне, хоть компетентным органам - не составляет ни малейшего труда и наказать вас или официально или "неофициально".
Буквально через 20 секунд хакер "отвалился" от сервера, но через несколько минут вновь зашел. Сижу жду. Парень оказался откровенно "ссыкливым" и разговорчивым. Сказал, что попал на сервер чуть ли не по ошибке, что ему продали доступ к этому серверу за 60 (!!!) рублей и он думал, что это теперь его сервер! Звиздец.
То ли талантливо прикинулся валенком то ли таким и являлся на самом деле.... После того как назвал ему его домашний IP - он и вовсе поплыл и начал сдавать всех подряд.
Оказалось, что доступ к моему дедику он купил у одного хакера ака "akvelon", на сайте dedik.biz, где организована масштабная торговля такими же взломанными серверами как и мой по всему миру! Причем торговля идет в автоматическом режиме за разные валюты. В частности, мой сервер купили за webmoney, в пользу WMID 269210428735.
Поковыряв логи сервера в еще более ранний период, нашел кучу попыток входа с зарубежного IP адреса (видимо взломщик в своей работе использует VPS или что то в таком роде) и один успешный вход под тем самым admin.
Я провел свое небольшое (а может и большое) расследование и выяснил, что этот самый "akvelon" занимается взломом и продажей дедиков яж с 2011 года, имеет большую репутацию на специализированных хакерских ресурсах и кучу отзывов от подобных ему "благодарных хакеров".
При чем в этих темах о продаже он черным по белому пишет, что добывает серверы "брутом", то есть взломом и их можно использовать "под палку" видимо махинации с платежной системой paypal, "под poker" - то что и произошло со мной (хорошо, что не успели забить в покер и использовать левые кредитки), "под брут" - взлом прочих компьютеров и систем.
Ну вот например:
forum.antichat.ru/threads/297588/
forum.zloy.bz/showthread.php?t=129589&page=4
center.bz/forum/threads/akvelon-icq-489452-jabber-489452-jabme-de.17974/ тут на него жалуется покупатель, что мол продали ему какие то "некачественные дедики"
ccc.mn/topic/18456-подмена-ip-на-ip-города-холдера-как/ тут его рекомедуют как проверенного продавца дедиков
https://bhf.su/threads/176555/ здесь его контакты рекоменуются хакерами для приобретения дедиков под "слив neteller"
cardingworld.pro/index.php?/topic/4687-prodazha-dedicated-servers-dediki-vse-strany-usa-uk-ru-de-i-drugie-strany/
darkmarket.bz/threads/prodazha-dedicated-servers-dediki-vse-strany-usa-ru-de-i-drugie-ot-0-3.1572/
darkmoney.cc/dediki-soksy-vpn-106/prodazha-dedicated-servers-dediki-vse-strany-us-ru-de-i-drugie-ot-0-3-a-870/
forum.hackersoft.ru/archive/index.php?t-17592.html
В общем ох и ах, хакинг процветает и никого не смущает, почему такие сайты вообще работают, не мониторятся компететными органами и теми же Webmoney, с помощью которых происходит оплата хак.услуг.
Первым делом что я сделал - это конечно, выкинул этого самого root со своего сервера, написам ему, что мол скоро жди гостей, сменил все доступы и почистился антивирусом (который кстати ничего не нашел, что подтвердило мои соображения насчет взлома удаленки) и обратился в полицию по адресу своего проживания.
Там у меня приняли заявление, но отправили затем в спецотдел по расследованию преступлений в сфере информации или как он там называется, этот департамент. В отличие от полиции - там по крайней мере понимали о чем я говорю и приняли меня подробное (на 3 листах) объяснение ситуации и сказали по итогу общения, что берут в разработку этого "akvelon" и горе-покерщика из Питера. На следующий день у меня изъяли сервер для экспертизы и анализа логов (тьфу тьфу благо у меня там все лицензионное, а то еще сам влетел бы за что нибудь!). Вернули через неделю, сказали, что все что им нужно - сняли, остальное мол есть у моего провайдера интернета.
Со своей стороны я решил немного ускорить процесс "захлопывания" этого мошенника и написал подробное обращение в службу безопасности Webmoney, рассказав о сути противоправной деятельности владельца WMID 269210428735, указав и номер обращения в отдел "К". Буквально на следующий день мне ответили с благодарностью за то, что обратил внимание на противоправное использование их системы и сказали, что снимают этот вмид с обслуживания и берут на контроль все транзакции по нему (то есть кто еще покупал у него дедики и т.п.) и взяли на мониторинг его сайт dedik.biz, на предмет появления возможных новых кошельков.
Такие же обращения полетели его доменному регистратору и хостеру, которые, впрочем сослались на то, что им необходим официальный запрос от правоохранительных органов, чтобы приостановить действие домена и хостинга. Я им пообещал, что такой запрос им вскоре придет.
Тем не менее, как я видел по его темам на форумах - хакер продолжал свою деятельность и я подогреваемый ожиданием его наказания - повторно обратился в отдел "К", чтобы узнать, как обстоит ситуация с моим запросом.
Там мне вкратце рассказали, что подали соответствующие запросы в систему Яндекс деньги (они тоже использовались ранее на сайте в продажах дедиков, но потом исчезли, видимо после такого обращения от компетентных органов) и хостеру stormwall.pro, где размещался до последнего момента его сайт.
Получили необходимые им логи, но в настоящий момент "заковыка" состоит в том, что хакер, видимо, использует прокси или vpn и выйти вот так сразу на его реальный IP адрес нельзя, но работа в данном направлении ведется и они обязательно его найдут (ну это с их слов), на что я очень надеюсь.
На днях сайт перестал открываться (ура!), видимо таки достучались до регистратора домена и приостановили его действие. Потираю руки и жду.
Хотя, справедливости ради, он (akvelon) по прежнему обслуживает своих клиентов в ICQ, jabber и по скайпу, о чем говорят периодически появляющиеся отзывы в его темах на форумах, но надеюсь, что так надо и наверное эти каналы общения уже "под колпаком", для вычисления этого индивидуума вышеупомянутыми органами.
Собственно вопрос, могу ли я еще как то усложнить ему жизнь помимо того, что уже делается или просто "расслабиться и ждать"???
Спасибо за внимание, нужно было наконец поделиться с кем то этой кучей информации и соображений. Заодно, возможно, будет повод и другим владельцам виндовых серверов задуматься о безопасности.
Честно спизженно с procrd.cc