Бесплатно Разоблачение школьного хацкера

Тема в разделе "Сборник статей по безопасности и анонимности", создана пользователем Musa, 10 ноя 2017.

  1. Данная статья относиться тут КО ВСЕМ!!! ибо не хер дедики сбрученные покупать или использовать.....

    Здравствуйте. Хотел поделиться своей историей "войны" с хакером, взломавшим мой офисный сервак с 1С.

    Началось с того, что в один прекрасный момент (примерно месяц назад) утром я обнаружил на своем офисном сервере 1С невесть откуда взявшийся установленный PokerStars от имени нового пользователя root и этого самого пользователя, чей сеанс был отключен.

    Подключился к управлению его сеансом, зашел в него, нашел там несколько текстовиков с данными держателей кредиток (ФИО, адрес, данные карты) и запущенный сеанс покера, где кто то вносил данные кредитки, но она не была принята, выдало какую то ошибку.

    Я не стал удалять эту учетку и оставил сеанс подключенным и стал дожидаться. Паралельно полез в event viewer и нашел кучу событий по входу/выходу, созданию учетки с какого то питерского IP адреса. Сохранил все эти данные на всякий случай. Сомнений не было, что мой сервер взломали (я его администрировал сам от случая к случаю в силу своих возможностей) через удаленку, по видимому просто подобрали пароль пользователя admin (именно эта учетка давно не использовалась, а тут под ней пошли первые логины на сервак). Конечно эту ситуацию я сразу решил не спускать просто так, а разобраться, кто будет отвечать за содеянное.

    Таки дождался! В тот же вечер на сервер залогинился пользователь в учетку root с того же самого адреса. Я решил пообщаться с ним и отправил сообщение через таск менеджер примерно в таком ключе - "здравствуйте "уважаемый" хакер. Знаете ли вы, что вы взломали сервер частного предприятия, что подпадает под такую то статью УК РФ - неправомерный доступ к компьютерной информации, который влечет наказание на такой то срок с конфискацие и т.п. Не желаете ли вы объясниться по существу этой ситуации? С учетом того, что мне известен ваш домашний IP адрес и приехать к вам домой хоть мне, хоть компетентным органам - не составляет ни малейшего труда и наказать вас или официально или "неофициально".

    Буквальго через 20 секунд хакер "отвалился" от сервера, но через несколько минут вновь зашел. Сижу жду. Парень оказался откровенно "ссыкливым" и разговорчивым. Сказал, что попал на сервер чуть ли не по ошибке, что ему продали доступ к этому серверу за 60 (!!!) рублей и он думал, что это теперь его сервер! Звиздец.

    То ли талантливо прикинулся валенком то ли таким и являлся на самом деле.... После того как назвал ему его домашний IP - он и вовсе поплыл и начал сдавать всех подряд.

    Оказалось, что доступ к моему дедику он купил у одного хакера ака "akvelon", на сайте dedik.biz, где организована масштабная торговля такими же взломанными серверами как и мой по всему миру! Причем торговля идет в автоматическом режиме за разные валюты. В частности, мой сервер купили за webmoney, в пользу WMID 269210428735.

    Поковыряв логи сервера в еще более ранний период, нашел кучу попыток входа с зарубежного IP адреса (видимо взломщик в своей работе использует VPS или что то в таком роде) и один успешный вход под тем самым admin.

    Я провел свое небольшое (а может и большое) расследование и выяснил, что этот самый "akvelon" занимается взломом и продажей дедиков яж с 2011 года, имеет большую репутацию на специализированных хакерских ресурсах и кучу отзывов от подобных ему "благодарных хакеров".

    При чем в этих темах о продаже он черным по белому пишет, что добывает серверы "брутом", то есть взломом и их можно использовать "под палку" видимо махинации с платежной системой ******, "под poker" - то что и произошло со мной (хорошо, что не успели забить в покер и использовать левые кредитки), "под брут" - взлом прочих компьютеров и систем.

    Ну вот например:

    forum.antichat.ru/threads/297588/

    [​IMG]
    forum.zloy.bz/showthread.php?t=129589&page=4



    center.bz/forum/threads/akvelon-icq-489452-jabber-489452-jabme-de.17974/ тут на него жалуется покупатель, что мол продали ему какие то "некачественные дедики"

    здесь его контакты рекоменуются хакерами для приобретения дедиков под "слив neteller"

    cardingworld.pro/index.php?/topic/4687-prodazha-dedicated-servers-dediki-vse-strany-***-uk-ru-de-i-drugie-strany/

    darkmarket.bz/threads/prodazha-dedicated-servers-dediki-vse-strany-***-ru-de-i-drugie-ot-0-3.1572/

    darkmoney.cc/dediki-soksy-vpn-106/prodazha-dedicated-servers-dediki-vse-strany-us-ru-de-i-drugie-ot-0-3-a-870/

    forum.hackersoft.ru/archive/index.php?t-17592.html



    В общем ох и ах, хакинг процветает и никого не смущает, почему такие сайты вообще работают, не мониторятся компететными органами и теми же Webmoney, с помощью которых происходит оплата хак.услуг.



    Первым делом что я сделал - это конечно, выкинул этого самого root со своего сервера, написам ему, что мол скоро жди гостей, сменил все доступы и почистился антивирусом (который кстати ничего не нашел, что подтвердило мои соображения насчет взлома удаленки) и обратился в полицию по адресу своего проживания.

    Там у меня приняли заявление, но отправили затем в спецотдел по расследованию преступлений в сфере информации или как он там называется, этот департамент. В отличие от полиции - там по крайней мере понимали о чем я говорю и приняли меня подробное (на 3 листах) объяснение ситуации и сказали по итогу общения, что берут в разработку этого "akvelon" и горе-покерщика из Питера. На следующий день у меня изъяли сервер для экспертизы и анализа логов (тьфу тьфу благо у меня там все лицензионное, а то еще сам влетел бы за что нибудь!). Вернули через неделю, сказали, что все что им нужно - сняли, остальное мол есть у моего провайдера интернета.



    Со своей стороны я решил немного ускорить процесс "захлопывания" этого мошенника и написал подробное обращение в службу безопасности Webmoney, рассказав о сути противоправной деятельности владельца WMID 269210428735, указав и номер обращения в отдел "К". Буквально на следующий день мне ответили с благодарностью за то, что обратил внимание на противоправное использование их системы и сказали, что снимают этот вмид с обслуживания и берут на контроль все транзакции по нему (то есть кто еще покупал у него дедики и т.п.) и взяли на мониторинг его сайт dedik.biz, на предмет появления возможных новых кошельков.



    Такие же обращения полетели его доменному регистратору и хостеру, которые, впрочем сослались на то, что им необходим официальный запрос от правоохранительных органов, чтобы приостановить действие домена и хостинга. Я им пообещал, что такой запрос им вскоре придет.

    Тем не менее, как я видел по его темам на форумах - хакер продолжал свою деятельность и я подогреваемый ожиданием его наказания - повторно обратился в отдел "К", чтобы узнать, как обстоит ситуация с моим запросом.

    Там мне вкратце рассказали, что подали соответствующие запросы в систему Яндекс деньги (они тоже использовались ранее на сайте в продажах дедиков, но потом исчезли, видимо после такого обращения от компетентных органов) и хостеру stormwall.pro, где размещался до последнего момента его сайт.



    Получили необходимые им логи, но в настоящий момент "заковыка" состоит в том, что хакер, видимо, использует прокси или vpn и выйти вот так сразу на его реальный IP адрес нельзя, но работа в данном направлении ведется и они обязательно его найдут (ну это с их слов), на что я очень надеюсь.

    На днях сайт перестал открываться (ура!), видимо таки достучались до регистратора домена и приостановили его действие. Потираю руки и жду.



    Хотя, справедливости ради, он (akvelon) по прежнему обслуживает своих клиентов в ICQ, jabber и по скайпу, о чем говорят периодически появляющиеся отзывы в его темах на форумах, но надеюсь, что так надо и наверное эти каналы общения уже "под колпаком", для вычисления этого индивидуума вышеупомянутыми органами.

    Собственно вопрос, могу ли я еще как то усложнить ему жизнь помимо того, что уже делается или просто "расслабиться и ждать"???

    Спасибо за внимание, нужно было наконец поделиться с кем то этой кучей информации и соображений. Заодно, возможно, будет повод и другим владельцам виндовых серверов задуматься о безопасности.





    P.S.: Лучше не тратить свои деньги и нервы а покупать дедики и прочее в оффшоре. Менты и другие особи не буду следить за вами и не будут принимать попыток ва задержать(арестовать)и изъять ваш комп. Оффшорные зоны(страны)им просто не дадут и пошлют их на хуй!

    Им похер на законы РФ и другие законы...
     
  2. Что-то я думаю не поймают этого akvelonа, я думаю он тоже совсем не дурак и уже очень многое понял
     
  3. А ты что тут хочешь услышать какой ты молодец или что ....?Заявление подал молодец....
    BDF - BEST ! ! !
     
  4. Обнаружил,удалил,припугнул и всё.На этом можно и остановиться.Ан нет...тебе неймется.
    Сразу видно,что ты чипушила.
    Вот из-за таких терпил как ты и заезжают бошковитые пацаны на нары.Развелось вас как собак не резанных.Одни суки и активисты.
    Где админы?Тут статист нарисовался.Кто следующий?
    Последнее редактирование: 10 ноя 2017
     
  5. Статью можно найти на туевой хуче форумов - Google в помощь. Имхо, копипаст просто.
    Сначала вообще подумал, что это реклама dedik.biz и бизнеса Аквелона :e17t:
     
  6. kkhmer сказал(а):
    Что-то я думаю не поймают этого akvelonа...
    Нажмите, чтобы раскрыть...​
    Реклама его сервиса есть тут на форуме :e6e:
     
  7. надо было дедик не рф брать, а то у нас боевых петухов много активистов
    Рекурсия
     
  8. Kislorod сказал(а):
    Реклама его сервиса есть тут на форуме :e6e:
    Нажмите, чтобы раскрыть...​
    Кстати вообще четкая реклама, а самое главное на таком форуме где может реально заинтересовать
     
  9. Vinc888 сказал(а):
    Обнаружил,удалил,припугнул и всё.На этом можно и остановиться.Ан нет...тебе неймется.
    Сразу видно,что ты чипушила.
    Вот из-за таких терпил как ты и заезжают бошковитые пацаны на нары.Развелось вас как собак не резанных.Одни суки и активисты.
    Где админы?Тут статист нарисовался.Кто следующий?
    Нажмите, чтобы раскрыть...​
    Статья не моя, чисто в ознакомительных целях, чтобы люд так беспечно не палился
     
  10. Musa сказал(а):
    Статья не моя, чисто в ознакомительных целях, чтобы люд так беспечно не палился
    Нажмите, чтобы раскрыть...​
    С этого и надо было начинать, а тут все всякое начали думать
     

Поделиться этой страницей