Данная статья относиться тут КО ВСЕМ!!! ибо не хер дедики сбрученные покупать или использовать.....
Здравствуйте. Хотел поделиться своей историей "войны" с хакером, взломавшим мой офисный сервак с 1С.
Началось с того, что в один прекрасный момент (примерно месяц назад) утром я обнаружил на своем офисном сервере 1С невесть откуда взявшийся установленный PokerStars от имени нового пользователя root и этого самого пользователя, чей сеанс был отключен.
Подключился к управлению его сеансом, зашел в него, нашел там несколько текстовиков с данными держателей кредиток (ФИО, адрес, данные карты) и запущенный сеанс покера, где кто то вносил данные кредитки, но она не была принята, выдало какую то ошибку.
Я не стал удалять эту учетку и оставил сеанс подключенным и стал дожидаться. Паралельно полез в event viewer и нашел кучу событий по входу/выходу, созданию учетки с какого то питерского IP адреса. Сохранил все эти данные на всякий случай. Сомнений не было, что мой сервер взломали (я его администрировал сам от случая к случаю в силу своих возможностей) через удаленку, по видимому просто подобрали пароль пользователя admin (именно эта учетка давно не использовалась, а тут под ней пошли первые логины на сервак). Конечно эту ситуацию я сразу решил не спускать просто так, а разобраться, кто будет отвечать за содеянное.
Таки дождался! В тот же вечер на сервер залогинился пользователь в учетку root с того же самого адреса. Я решил пообщаться с ним и отправил сообщение через таск менеджер примерно в таком ключе - "здравствуйте "уважаемый" хакер. Знаете ли вы, что вы взломали сервер частного предприятия, что подпадает под такую то статью УК РФ - неправомерный доступ к компьютерной информации, который влечет наказание на такой то срок с конфискацие и т.п. Не желаете ли вы объясниться по существу этой ситуации? С учетом того, что мне известен ваш домашний IP адрес и приехать к вам домой хоть мне, хоть компетентным органам - не составляет ни малейшего труда и наказать вас или официально или "неофициально".
Буквальго через 20 секунд хакер "отвалился" от сервера, но через несколько минут вновь зашел. Сижу жду. Парень оказался откровенно "ссыкливым" и разговорчивым. Сказал, что попал на сервер чуть ли не по ошибке, что ему продали доступ к этому серверу за 60 (!!!) рублей и он думал, что это теперь его сервер! Звиздец.
То ли талантливо прикинулся валенком то ли таким и являлся на самом деле.... После того как назвал ему его домашний IP - он и вовсе поплыл и начал сдавать всех подряд.
Оказалось, что доступ к моему дедику он купил у одного хакера ака "akvelon", на сайте dedik.biz, где организована масштабная торговля такими же взломанными серверами как и мой по всему миру! Причем торговля идет в автоматическом режиме за разные валюты. В частности, мой сервер купили за webmoney, в пользу WMID 269210428735.
Поковыряв логи сервера в еще более ранний период, нашел кучу попыток входа с зарубежного IP адреса (видимо взломщик в своей работе использует VPS или что то в таком роде) и один успешный вход под тем самым admin.
Я провел свое небольшое (а может и большое) расследование и выяснил, что этот самый "akvelon" занимается взломом и продажей дедиков яж с 2011 года, имеет большую репутацию на специализированных хакерских ресурсах и кучу отзывов от подобных ему "благодарных хакеров".
При чем в этих темах о продаже он черным по белому пишет, что добывает серверы "брутом", то есть взломом и их можно использовать "под палку" видимо махинации с платежной системой ******, "под poker" - то что и произошло со мной (хорошо, что не успели забить в покер и использовать левые кредитки), "под брут" - взлом прочих компьютеров и систем.
Ну вот например:
forum.antichat.ru/threads/297588/
forum.zloy.bz/showthread.php?t=129589&page=4
center.bz/forum/threads/akvelon-icq-489452-jabber-489452-jabme-de.17974/ тут на него жалуется покупатель, что мол продали ему какие то "некачественные дедики"
cardingworld.pro/index.php?/topic/4687-prodazha-dedicated-servers-dediki-vse-strany-***-uk-ru-de-i-drugie-strany/
darkmarket.bz/threads/prodazha-dedicated-servers-dediki-vse-strany-***-ru-de-i-drugie-ot-0-3.1572/
darkmoney.cc/dediki-soksy-vpn-106/prodazha-dedicated-servers-dediki-vse-strany-us-ru-de-i-drugie-ot-0-3-a-870/
forum.hackersoft.ru/archive/index.php?t-17592.html
В общем ох и ах, хакинг процветает и никого не смущает, почему такие сайты вообще работают, не мониторятся компететными органами и теми же Webmoney, с помощью которых происходит оплата хак.услуг.
Первым делом что я сделал - это конечно, выкинул этого самого root со своего сервера, написам ему, что мол скоро жди гостей, сменил все доступы и почистился антивирусом (который кстати ничего не нашел, что подтвердило мои соображения насчет взлома удаленки) и обратился в полицию по адресу своего проживания.
Там у меня приняли заявление, но отправили затем в спецотдел по расследованию преступлений в сфере информации или как он там называется, этот департамент. В отличие от полиции - там по крайней мере понимали о чем я говорю и приняли меня подробное (на 3 листах) объяснение ситуации и сказали по итогу общения, что берут в разработку этого "akvelon" и горе-покерщика из Питера. На следующий день у меня изъяли сервер для экспертизы и анализа логов (тьфу тьфу благо у меня там все лицензионное, а то еще сам влетел бы за что нибудь!). Вернули через неделю, сказали, что все что им нужно - сняли, остальное мол есть у моего провайдера интернета.
Со своей стороны я решил немного ускорить процесс "захлопывания" этого мошенника и написал подробное обращение в службу безопасности Webmoney, рассказав о сути противоправной деятельности владельца WMID 269210428735, указав и номер обращения в отдел "К". Буквально на следующий день мне ответили с благодарностью за то, что обратил внимание на противоправное использование их системы и сказали, что снимают этот вмид с обслуживания и берут на контроль все транзакции по нему (то есть кто еще покупал у него дедики и т.п.) и взяли на мониторинг его сайт dedik.biz, на предмет появления возможных новых кошельков.
Такие же обращения полетели его доменному регистратору и хостеру, которые, впрочем сослались на то, что им необходим официальный запрос от правоохранительных органов, чтобы приостановить действие домена и хостинга. Я им пообещал, что такой запрос им вскоре придет.
Тем не менее, как я видел по его темам на форумах - хакер продолжал свою деятельность и я подогреваемый ожиданием его наказания - повторно обратился в отдел "К", чтобы узнать, как обстоит ситуация с моим запросом.
Там мне вкратце рассказали, что подали соответствующие запросы в систему Яндекс деньги (они тоже использовались ранее на сайте в продажах дедиков, но потом исчезли, видимо после такого обращения от компетентных органов) и хостеру stormwall.pro, где размещался до последнего момента его сайт.
Получили необходимые им логи, но в настоящий момент "заковыка" состоит в том, что хакер, видимо, использует прокси или vpn и выйти вот так сразу на его реальный IP адрес нельзя, но работа в данном направлении ведется и они обязательно его найдут (ну это с их слов), на что я очень надеюсь.
На днях сайт перестал открываться (ура!), видимо таки достучались до регистратора домена и приостановили его действие. Потираю руки и жду.
Хотя, справедливости ради, он (akvelon) по прежнему обслуживает своих клиентов в ICQ, jabber и по скайпу, о чем говорят периодически появляющиеся отзывы в его темах на форумах, но надеюсь, что так надо и наверное эти каналы общения уже "под колпаком", для вычисления этого индивидуума вышеупомянутыми органами.
Собственно вопрос, могу ли я еще как то усложнить ему жизнь помимо того, что уже делается или просто "расслабиться и ждать"???
Спасибо за внимание, нужно было наконец поделиться с кем то этой кучей информации и соображений. Заодно, возможно, будет повод и другим владельцам виндовых серверов задуматься о безопасности.
P.S.: Лучше не тратить свои деньги и нервы а покупать дедики и прочее в оффшоре. Менты и другие особи не буду следить за вами и не будут принимать попыток ва задержать(арестовать)и изъять ваш комп. Оффшорные зоны(страны)им просто не дадут и пошлют их на хуй!
Им похер на законы РФ и другие законы...
Здравствуйте. Хотел поделиться своей историей "войны" с хакером, взломавшим мой офисный сервак с 1С.
Началось с того, что в один прекрасный момент (примерно месяц назад) утром я обнаружил на своем офисном сервере 1С невесть откуда взявшийся установленный PokerStars от имени нового пользователя root и этого самого пользователя, чей сеанс был отключен.
Подключился к управлению его сеансом, зашел в него, нашел там несколько текстовиков с данными держателей кредиток (ФИО, адрес, данные карты) и запущенный сеанс покера, где кто то вносил данные кредитки, но она не была принята, выдало какую то ошибку.
Я не стал удалять эту учетку и оставил сеанс подключенным и стал дожидаться. Паралельно полез в event viewer и нашел кучу событий по входу/выходу, созданию учетки с какого то питерского IP адреса. Сохранил все эти данные на всякий случай. Сомнений не было, что мой сервер взломали (я его администрировал сам от случая к случаю в силу своих возможностей) через удаленку, по видимому просто подобрали пароль пользователя admin (именно эта учетка давно не использовалась, а тут под ней пошли первые логины на сервак). Конечно эту ситуацию я сразу решил не спускать просто так, а разобраться, кто будет отвечать за содеянное.
Таки дождался! В тот же вечер на сервер залогинился пользователь в учетку root с того же самого адреса. Я решил пообщаться с ним и отправил сообщение через таск менеджер примерно в таком ключе - "здравствуйте "уважаемый" хакер. Знаете ли вы, что вы взломали сервер частного предприятия, что подпадает под такую то статью УК РФ - неправомерный доступ к компьютерной информации, который влечет наказание на такой то срок с конфискацие и т.п. Не желаете ли вы объясниться по существу этой ситуации? С учетом того, что мне известен ваш домашний IP адрес и приехать к вам домой хоть мне, хоть компетентным органам - не составляет ни малейшего труда и наказать вас или официально или "неофициально".
Буквальго через 20 секунд хакер "отвалился" от сервера, но через несколько минут вновь зашел. Сижу жду. Парень оказался откровенно "ссыкливым" и разговорчивым. Сказал, что попал на сервер чуть ли не по ошибке, что ему продали доступ к этому серверу за 60 (!!!) рублей и он думал, что это теперь его сервер! Звиздец.
То ли талантливо прикинулся валенком то ли таким и являлся на самом деле.... После того как назвал ему его домашний IP - он и вовсе поплыл и начал сдавать всех подряд.
Оказалось, что доступ к моему дедику он купил у одного хакера ака "akvelon", на сайте dedik.biz, где организована масштабная торговля такими же взломанными серверами как и мой по всему миру! Причем торговля идет в автоматическом режиме за разные валюты. В частности, мой сервер купили за webmoney, в пользу WMID 269210428735.
Поковыряв логи сервера в еще более ранний период, нашел кучу попыток входа с зарубежного IP адреса (видимо взломщик в своей работе использует VPS или что то в таком роде) и один успешный вход под тем самым admin.
Я провел свое небольшое (а может и большое) расследование и выяснил, что этот самый "akvelon" занимается взломом и продажей дедиков яж с 2011 года, имеет большую репутацию на специализированных хакерских ресурсах и кучу отзывов от подобных ему "благодарных хакеров".
При чем в этих темах о продаже он черным по белому пишет, что добывает серверы "брутом", то есть взломом и их можно использовать "под палку" видимо махинации с платежной системой ******, "под poker" - то что и произошло со мной (хорошо, что не успели забить в покер и использовать левые кредитки), "под брут" - взлом прочих компьютеров и систем.
Ну вот например:
forum.antichat.ru/threads/297588/
forum.zloy.bz/showthread.php?t=129589&page=4
center.bz/forum/threads/akvelon-icq-489452-jabber-489452-jabme-de.17974/ тут на него жалуется покупатель, что мол продали ему какие то "некачественные дедики"
You must be registered for see links
здесь его контакты рекоменуются хакерами для приобретения дедиков под "слив neteller" cardingworld.pro/index.php?/topic/4687-prodazha-dedicated-servers-dediki-vse-strany-***-uk-ru-de-i-drugie-strany/
darkmarket.bz/threads/prodazha-dedicated-servers-dediki-vse-strany-***-ru-de-i-drugie-ot-0-3.1572/
darkmoney.cc/dediki-soksy-vpn-106/prodazha-dedicated-servers-dediki-vse-strany-us-ru-de-i-drugie-ot-0-3-a-870/
forum.hackersoft.ru/archive/index.php?t-17592.html
В общем ох и ах, хакинг процветает и никого не смущает, почему такие сайты вообще работают, не мониторятся компететными органами и теми же Webmoney, с помощью которых происходит оплата хак.услуг.
Первым делом что я сделал - это конечно, выкинул этого самого root со своего сервера, написам ему, что мол скоро жди гостей, сменил все доступы и почистился антивирусом (который кстати ничего не нашел, что подтвердило мои соображения насчет взлома удаленки) и обратился в полицию по адресу своего проживания.
Там у меня приняли заявление, но отправили затем в спецотдел по расследованию преступлений в сфере информации или как он там называется, этот департамент. В отличие от полиции - там по крайней мере понимали о чем я говорю и приняли меня подробное (на 3 листах) объяснение ситуации и сказали по итогу общения, что берут в разработку этого "akvelon" и горе-покерщика из Питера. На следующий день у меня изъяли сервер для экспертизы и анализа логов (тьфу тьфу благо у меня там все лицензионное, а то еще сам влетел бы за что нибудь!). Вернули через неделю, сказали, что все что им нужно - сняли, остальное мол есть у моего провайдера интернета.
Со своей стороны я решил немного ускорить процесс "захлопывания" этого мошенника и написал подробное обращение в службу безопасности Webmoney, рассказав о сути противоправной деятельности владельца WMID 269210428735, указав и номер обращения в отдел "К". Буквально на следующий день мне ответили с благодарностью за то, что обратил внимание на противоправное использование их системы и сказали, что снимают этот вмид с обслуживания и берут на контроль все транзакции по нему (то есть кто еще покупал у него дедики и т.п.) и взяли на мониторинг его сайт dedik.biz, на предмет появления возможных новых кошельков.
Такие же обращения полетели его доменному регистратору и хостеру, которые, впрочем сослались на то, что им необходим официальный запрос от правоохранительных органов, чтобы приостановить действие домена и хостинга. Я им пообещал, что такой запрос им вскоре придет.
Тем не менее, как я видел по его темам на форумах - хакер продолжал свою деятельность и я подогреваемый ожиданием его наказания - повторно обратился в отдел "К", чтобы узнать, как обстоит ситуация с моим запросом.
Там мне вкратце рассказали, что подали соответствующие запросы в систему Яндекс деньги (они тоже использовались ранее на сайте в продажах дедиков, но потом исчезли, видимо после такого обращения от компетентных органов) и хостеру stormwall.pro, где размещался до последнего момента его сайт.
Получили необходимые им логи, но в настоящий момент "заковыка" состоит в том, что хакер, видимо, использует прокси или vpn и выйти вот так сразу на его реальный IP адрес нельзя, но работа в данном направлении ведется и они обязательно его найдут (ну это с их слов), на что я очень надеюсь.
На днях сайт перестал открываться (ура!), видимо таки достучались до регистратора домена и приостановили его действие. Потираю руки и жду.
Хотя, справедливости ради, он (akvelon) по прежнему обслуживает своих клиентов в ICQ, jabber и по скайпу, о чем говорят периодически появляющиеся отзывы в его темах на форумах, но надеюсь, что так надо и наверное эти каналы общения уже "под колпаком", для вычисления этого индивидуума вышеупомянутыми органами.
Собственно вопрос, могу ли я еще как то усложнить ему жизнь помимо того, что уже делается или просто "расслабиться и ждать"???
Спасибо за внимание, нужно было наконец поделиться с кем то этой кучей информации и соображений. Заодно, возможно, будет повод и другим владельцам виндовых серверов задуматься о безопасности.
P.S.: Лучше не тратить свои деньги и нервы а покупать дедики и прочее в оффшоре. Менты и другие особи не буду следить за вами и не будут принимать попыток ва задержать(арестовать)и изъять ваш комп. Оффшорные зоны(страны)им просто не дадут и пошлют их на хуй!
Им похер на законы РФ и другие законы...
Оффлайн
- Регистрация
- 10.11.17
- Сообщения
- 176
- Реакции
- 28
- Репутация
- 26
Что-то я думаю не поймают этого akvelonа, я думаю он тоже совсем не дурак и уже очень многое понял
Оффлайн
- Регистрация
- 21.08.17
- Сообщения
- 118
- Реакции
- 16
- Репутация
- 10
А ты что тут хочешь услышать какой ты молодец или что ....?Заявление подал молодец....
Оффлайн
- Регистрация
- 22.03.17
- Сообщения
- 45
- Реакции
- 14
- Репутация
- 6
Обнаружил,удалил,припугнул и всё.На этом можно и остановиться.Ан нет...тебе неймется.
Сразу видно,что ты чипушила.
Вот из-за таких терпил как ты и заезжают бошковитые пацаны на нары.Развелось вас как собак не резанных.Одни суки и активисты.
Где админы?Тут статист нарисовался.Кто следующий?
Сразу видно,что ты чипушила.
Вот из-за таких терпил как ты и заезжают бошковитые пацаны на нары.Развелось вас как собак не резанных.Одни суки и активисты.
Где админы?Тут статист нарисовался.Кто следующий?
Последнее редактирование:
Оффлайн
- Регистрация
- 18.05.17
- Сообщения
- 26
- Реакции
- 3
- Репутация
- 0
Статью можно найти на туевой хуче форумов - Google в помощь. Имхо, копипаст просто.
Сначала вообще подумал, что это реклама dedik.biz и бизнеса Аквелона
Сначала вообще подумал, что это реклама dedik.biz и бизнеса Аквелона
Оффлайн
- Регистрация
- 18.05.17
- Сообщения
- 26
- Реакции
- 3
- Репутация
- 0
Реклама его сервиса есть тут на форуме
Оффлайн
Georgian
.
- Регистрация
- 10.08.17
- Сообщения
- 73
- Реакции
- 25
- Репутация
- 17
надо было дедик не рф брать, а то у нас боевых петухов много активистов
Оффлайн
- Регистрация
- 10.11.17
- Сообщения
- 176
- Реакции
- 28
- Репутация
- 26
Кстати вообще четкая реклама, а самое главное на таком форуме где может реально заинтересоватьРеклама его сервиса есть тут на форуме
Статья не моя, чисто в ознакомительных целях, чтобы люд так беспечно не палился
Оффлайн
- Регистрация
- 10.11.17
- Сообщения
- 176
- Реакции
- 28
- Репутация
- 26
С этого и надо было начинать, а тут все всякое начали думать
-
В данный момент Ваши права ограничены!
Авторизуйтесь или зарегистрируйтесь, чтобы стать полноценным участником форума.