Вчера мой сайт подломили. Нет, не сломали совсем, не занесли вредоносный код. Но нашли уязвимость, через которую утащили кое-какие данные. Сделано это было ради забавы, вроде бы спонтанно, но, прошу заметить, глубоко ночью. Человек не поленился написать на коленке робота, отладить и пустить в атаку.

Ну что могу сказать. Да, я облажался. Дыра закрыта, но я очень, очень зол. По-моему, этот человек прям-таки должен ощущать, как над его головой постепенно материализуется жопа. Потому что я знаю его имя и фамилию, я знаю, в каком городе он живет, я знаю, где он работает и откуда он родом. Мне известно, где он учился и кто был у него дипломным руководителем. У меня есть его email, скайп, аська, я знаю адрес его ЖЖ. Я знаю серию и номер его паспорта, знаю, когда и куда он ездил, я даже знаю его в лицо. Паренек состоит в группе "Я умный" на Хабре, но не понимает одной простой вещи. У нас в стране на каждую хитрую жопу найдется хрен с винтом.

А мораль проста. Не так-то просто в наше время остаться анонимом. Если ты ведешь активный образ жизни, нефиг заниматься глупостями и гадить в чужой огород. Ибо вернуться может в десятикратном размере. После праздников я займусь им вплотную.

И развяжешь новый виток противостояния. А потом кто-то из вас выйдет из виртуального пространства и разбирательство уже будет на реальном уровне.
До какого момента в своей "мести" ты готов дойти?

После праздников я займусь им вплотную.
Как вариант он умный..... тогда его можно нанять..... а что хулиган? дык... молод....

Моя задница чувствовала, что мы выросли достаточно, чтобы представлять интерес для спамеров и хакеров. Я планировал сделать полный аудит безопасности сайта в январе. Весь декабрь составлял план действий, фиксируя его в багтрекере, чтобы ничего не забыть. Но вот не успел.

Противостояния я не боюсь, оно только на пользу сайту пойдет. Вариантов мести столько, что я аж теряюсь. Не буду торопиться и продумаю варианты хорошенько. Но просто так этого точно не оставлю.

ждем отчета о боевых (в пределах интернета) действия

Может, отправишь ему весточку с приветом со взломанного сайта? Обеспечь ему веселые праздники и светлые мысли о будущем...

sskorykh

Если используешь бесплатные CMS, то их ломают чисто для тренировки. Находят через поисковики подходящие и ломают, независимо от содержания сайта, самописными хактулами. Так уже много лет происходит. А потому с безопасностью требуется постоянно работать или использовать поддерживаемые коммерческие движки.

Ещё нередко бывает, что уводят с помощью вирусов FTP пароль. И врисовывают перенаправление на нужный злоумышленникам сайт, как правило распространяющий те же вирусы, но так как всё это далается роботами, часто после взлома сайт просто не работает. Так что компьютер, с которого работаешь со своим сайтом должен быть максимально защищённым.

А если FTP для управления сайтом не использую, а тупо загружаю всё через панель управления хостера?

Матмастер

Хостера тоже могут хакнуть. Впрочем так действительно безопасней.

Ты так много о нем знаешь, что я даже стал путаться, кто же кого хакнул.

Сэнкс

Бойся - это полезно!

А насколько безопасны такие зверьки, как ssh & sftp?
Насколько часто для загрузки сайтов используются именно они, а не их устаревшие небезопасные аналоги?

SiberianTiger

Если у тебя уйдёт пароль, то ничего не поможет.

ftp & telnet посылают пароль открытым текстом.
А эти две программы по идее его шифруют.

Где и как может уйти пароль?

ссш позволяет забыть пароль и пользоваться вместо сертификатом. ну или пользоваться деплоями - капистрано например. хуже когда от системы контроля версий ключик увели.

тигр, опупею с массовым уводом асек помнишь? когда файло присылали, посмотри мол. так и секретный ключ уволочь можно, и кейлогер подвесить

тигр, опупею с массовым уводом асек помнишь? когда файло присылали, посмотри мол. так и секретный ключ уволочь можно, и кейлогер подвесить

Приятель, владелец интернет-магазина, получил от клиента файл. Типа, картинку с платёжными реквизитами или что-то типа того. Запустил. Святая простота! Просыпается наутро, на компе новый пароль, и счет Webmoney пустой.

А насколько безопасны такие зверьки, как ssh & sftp? Насколько часто для загрузки сайтов используются именно они, а не их устаревшие небезопасные аналоги?

По-хорошему, FTP на сервере не нужен вообще. SSH достаточно и для удаленного доступа, и для копирования файлов.

К примеру, можно написать скрипт резервного копирования, который подключится к серверу, удаленно сделает резервую копию базы данных, упакует её (опять же удаленно) и скачает на локальную машину. Если сгенерировать сертификат, то подключение по SSH пароль спрашивать не станет и задачу можно выполнять на автомате. Очень удобно и безопасно. FTP - в топку.

А если FTP для управления сайтом не использую, а тупо загружаю всё через панель управления хостера?

Если панель спрятана за HTTPS, то это вполне безопасно, но это ж мазохизм какой-то! =))) Работать с хостом через панель, это как шнурки зубами завязывать, притом не снимая обуви. Я видел панели, которые полностью покрывали все типовые потребности, но бывают ведь и нетиповые! А хостинг с SSH стоит менее 1 т.р. в год.

я пакость скажу. скрипты уже е. капистрано, ага

Сразу скажу, пароль у меня не уводили. Украли информацию с сайта. И для этого потребовалась авторизация от имени зарегистрированного пользователя.

По давней традиции, я использую журналирование событий в приложении. В журнал, прежде всего, записываются уведомления о падениях системы. Ситуации, когда действия посетителей приводят к ошибочным ситуациям не такая уж и редкость и фокус в том, что далеко не всегда я в состоянии воспроизвести ошибку. К примеру, много хлопот доставляли действия поисковых ботов, которые умудрялись выискивать ссылки даже в коде JavaScript. Выяснить, что это боты, удалось только увеличив степень детализации журналируемой информации. После чего в robots.txt выли внесены соответствующие запреты. Это я к тому, что журналирование событий - вещь мегаполезная. Многие веб-программисты не пользуются логгерами, что с моей т.з. означает, что они не контролируют свои приложения. У меня на спиной годы работы с Java и потому Log4J или его аналоги включаются в приложение просто на автомате.

В числе прочего, система регистрировала в системе всяческие подозрительные ситуации, а также информировала о наиболее значимых ситуациях, касающихся финансовой части и о входах в систему пользователей.

Вот эта информация и позволила увидеть, что кто-то усиленно ломился на сайт путем подбора параметров для HTTP-запросов. А сопоставление access-логов HTTP-сервера и журнала приложения позволило вычислить, как все это начиналось. Человек сперва воспользовался сайтом под своим именем. В ходе использования заметил потенциальную уязвимость и опробовал её. Затем была пауза, затем кто-то начал запускать робота. Сперва робот работал криво, затем был попроавлен и начал ломиться уже по всем правилам.

Итак, регистрационное имя человека я получил. Погуглил. Много таких. Поднимаем IP-адрес из логов, узнаем город и интернет-провайдера. Робот написан на Perl, то есть работает явный айтишник, не из ламеров. Сужаем круг поиска. Ну а дальше я потянул ниточку... и просто охренел от количества вывалившейся информации.

Мда. Есть у меня знакомый, который даже в аське под чужим именем сидел. Тяжелый случай, я стебался над ним, конечно. Но бывает и наоборот, когда человек в социалках всю поднаготную оставляет. А даже если и говорит не все, то, сводя данные и разных источников, многое можно попросту просчитать. Думаю, это будет полезная информация к размышлению. =)

О последующих событиях я пока умолчу.

Если панель спрятана за HTTPS, то это вполне безопасно, но это ж мазохизм какой-то! =))) .... А хостинг с SSH стоит менее 1 т.р. в год.Я даже не знаю, что такое HTTPS... Я тут полный чайник. FTP требовался разве что для перенесения файлов форума нашего сайта (http://www.poshliane.ru/) с хоста на хост. В последний раз это делал я, но надо мной сидел опытный человек и говорил что куда жать. Для всего остального обхожусь закачкой файлов вручную, серьёзного объёма работы там нет.
Правда, сказать, что у Зенона панель управления = поиздеваться над Матмастером.

Итак, регистрационное имя человека я получил. Погуглил. Много таких. Поднимаем IP-адрес из логов, узнаем город и интернет-провайдера. Робот написан на Perl, то есть работает явный айтишник, не из ламеров. Сужаем круг поиска. Ну а дальше я потянул ниточку... и просто охренел от количества вывалившейся информации.У меня к тебе просьба. Можешь кинуть пару-тройку ссылок на тему с чего начать, чтобы узнать как всё это делается - то есть а) потянуть за ниточку и узнать всё о человеке по Инету и б) Как обезопасить свой сайт.
Ну вот у меня сайт (http://www.matmaster.ru/) есть - что по нему узнаешь? То же самое, что без него? Нафиг это кому нужно. А вот когда у меня будет в Инете какой-нибудь магазин, тут хотелось бы быть готовым и компетентным в данных вопросах.

А у меня приключилась такая непонятка:

Захожу со своего компа на СиФо, - мне выскакивает сообщение:
"Ваш доступ бессрочно заблокирован."
Я даже на форум войти не могу! У меня реакция сродни этому смайлику - :confused:
"Задать вопросы или уточнить причины вы можете, связавшись с администрацией Форума по е-мэйлу"
А вот и не получается. :eek:

Я с компьютера сына - результат тот же.

Думаю: блин, ну надо же, - даже если бан, то за что???? Хоть бы предупредили тогда как-нибудь, что ли....

Поразмыслила ещё... В голову пришла светлая мысль - я в основном пользуюсь оперой. А если через мазилу???
Пошла через мазилу :) Приготовилась к тому, что увижу рядом со своим ником красные буквы "Баннед"... :yes:
... а всё нормально... - и форум открылся, и под своим ником зашла, и никакого бана нет и в помине...

И у меня вопрос - а чего же тогда у меня опера косячит?
Так и выдаёт мне до сих пор сообщение, что меня заблокировали.

Обычно интернет-адреса начинаются с http:// . Если адрес начинается с https://, то это означает, что в данный момент идет работа по безопасному каналу между браузером и провайдером. Если кто-то перехватит эти данные, расшифровать их будет, мягко говоря, проблематично. А вот при работе по ftp:// и http:// шифрование передаваемых данных не производится.

Увы, я не специалист по безопасности. Это первый опыт такого рода. Первоначальную информацию почерпнул из логов. Просто открыл два файла и сверял их, сопостовляя события по времени, фильтруя по тому или другому признаку. В логи HTTP-сервера пишется IP-адрес, с которого приходят запросы.
По IP можно узнать провайдера и место, откуда отправлялся запрос:

http://speed-tester.info/ip_location.php

В общем-то уже этой информации достаточно, чтобы написать заяву в ФСБ. Далее, если дело принимает серьезный оборот, люди в штатском приходят к провайдеру и трясут с него логи, по которым выяснить, кто именно работал с этого IP в указанный отрезок времени, труда не составляет. Я знаю реальную историю, когда "террориста" поймали таким способом и, кажется, про этот случай здесь рассказывал.

Но если хакер работает по-серьезному, то при работе будет задействована какая-нибудь анонимная зарубежная прокси. Или даже несколько. И тогда вычислить человека на порядки сложнее. В данном случае, увидев что адрес российский, я понял, что имею дело с хакером-любителем и продолжил исследования.

Поскольку сайт делал я сам, то был четкое представление о том, что человек делал на сайте и в какой последовательности. Это была самая кропотливая часть работы, потому что за сутки сайт посещали порядка 1000 уникальных пользователей. В общем, я таки вычислил имя, хотя и была вероятность, что неправильно.

В логи также пишется строка User Agent, в которой можно узнать кое-что о браузере и операционной системе пользователя. Робот долбился со строкой "libwww-perl/5.836". Программеры, использующие Perl - народ весьма специфичный. И их очень мало. Если, к примеру, человек писал или комментировал статьи про Perl, или же этот самый человек упомянул Perl в числе любимых языков - он автоматом попадает в круг подозреваемых.

Что еще можно сказать о человеке, который хакает сайты глубоко ночью? Да то, что он молод и неженат. =)))) Этож сколько народу можно сразу отсечь, положив, что возраст подозреваемого - 17-30 лет.

А все остальное получил через запросы к Google. И весьма быстро. Настолько быстро, что сам обалдел.

Все мы пишем в блоги и форумы, многие не стесняются называть реальные имена. И если уж назвали раз, то потом человека уже и по нику найти можно.
У многих людей есть такая слабость - любят говорить о себе. И я в том числе. =) Там сказал немножко, тут сказал. А гугл все записывает. Ну а если человек ведет блог или ЖЖ, так этож вообще веселуха!

Еще любопытно то, что иногда возможно просчитать даже несказанное. Человек принимал участие в ВУЗовской олимпиаде? Он сам не в курсе, а его имя есть в интернете. И есть имя руководителя. А вот так получилось, что я этого руководителя знаю. И знаю, какими качествами нужно обладать, чтобы иметь себе такого руководителя.

В общем-то мне во многом мне повезло. Но все равно результаты исследований заставили призадуматься. Я поэтому здесь и пишу, что история чертовски поучительная.

так. про ночное время - верно только если речь не идет про робота.
и - оставленная строчка юзерагента - эт такой косяк... скорей всего скрипткидди тя вскрывал. воспользовавшийся готовым скриптом

sskorykh
Спасибо! Хотел только спросить, что такое лог-файлы, но быстро нашёл об этом сам здесь (http://www.on-line-teaching.com/site/lsn022.html) или здесь (http://lurkmore.ru/%CB%EE%E3).

за сутки сайт посещали порядка 1000 уникальных пользователей.Неслабо. Сайт Козлова лет 5 назад посещали 1500 человек в день, сейчас - порядка 5-7 тысяч. Основная масса - по поисковикам. Сайт Пошлян - 50 человек в день. Основная масса - также по поисковикам (по фразам «купить палатку», «самые высокие горы» и, как ни странно, «девушки»). А твой сайт гдеочём?

Что еще можно сказать о человеке, который хакает сайты глубоко ночью? Да то, что он молод и неженат. =))))Прежде всего - что он мудак и хреново относится к своему здоровью. Что он вряд ли пробежит хотя бы 5 илометров и вряд ли отжимается больше 20 раз. И что достаточно скоро это здоровье у него закончится.

потом человека уже и по нику найти можно.Особенно если ник везде один и тот же. Моё имяфамилия ищутся тупо через Яндех. Когда на сайте ТССР размещали отчёт о походе команды «Пошляне», я просил, чтобы не указывали возраст, место работы и прочие данные участников. С трудом удалось уговорить...
А вот как найти данные какого-нибудь олуха с какого-нибудь форума - для меня загадка...

Захожу со своего компа на СиФо, - мне выскакивает сообщение:
"Ваш доступ бессрочно заблокирован."
...Я даже на форум войти не могу!Правильно говорит. Не хрена там делать.

А если через мазилу???
... а всё нормально... - и форум открылся, и под своим ником зашла, и никакого бана нет и в помине...
И у меня вопрос - а чего же тогда у меня опера косячит?Я захожу на сайт СТРИМ через Мочиллу, и жму в правом верхнем углу «оплатить Стрим». Ноль реакции, ссылка не работает, а служба техподдержки на вопрос «какого *уя» делает в ответ большие глаза. Захожу через Эксплорер - та же ссылка работает, всё нормально. Так и оплачиваем Инет...

А у меня приключилась такая непонятка:

Захожу со своего компа на СиФо, - мне выскакивает сообщение:
"Ваш доступ бессрочно заблокирован."
Я даже на форум войти не могу! У меня реакция сродни этому смайлику - :confused:
"Задать вопросы или уточнить причины вы можете, связавшись с администрацией Форума по е-мэйлу"
А вот и не получается. :eek:
...
Думаю: блин, ну надо же, - даже если бан, то за что???? Хоть бы предупредили тогда как-нибудь, что ли....

Поразмыслила ещё... В голову пришла светлая мысль - я в основном пользуюсь оперой. А если через мазилу??? ....
У меня то же самое было на СиФо. Только "бан-за что??" было при входе с файр-фокса, а вошёл как нормальный с эксплорера. Накапал на сaйте nkozlov.ru . В конечном итоге посоветовали "очистить" куки. Что я и сделал. Таким образом уничтожив следы чьего-то пр-рес-ступ-лен-ния!

...
По IP можно узнать провайдера и место, откуда отправлялся запрос:

http://speed-tester.info/ip_location.php

...
Что-то лажовый сайт: по разным IP даёт центр Москвы (Дворец Съездов в Кремле). Место с точностью до региона???

У сайтов matmaster.ru и poshliane.ru показывает одинаковые IP-адреса... Хотя, в общем, так оно и есть. А место - тоже Дворец Съездов. Рыжий Кот, мы там все поместимся в этом дворце-то?...

У сайтов matmaster.ru и poshliane.ru показывает одинаковые IP-адреса... Хотя, в общем, так оно и есть. А место - тоже Дворец Съездов. Рыжий Кот, мы там все поместимся в этом дворце-то?...
Подбрось дровишек IP-шек, я проверю по энтой ссылке (а хочешь - сам проверь). Сильно подозреваю, что - поместимся.

предлагаю пользоваться не геобазой, а whois.

тигр, опупею с массовым уводом асек помнишь? когда файло присылали, посмотри мол. так и секретный ключ уволочь можно, и кейлогер подвесить

Я файлы никогда не смотрю.

Приятель, владелец интернет-магазина, получил от клиента файл. Типа, картинку с платёжными реквизитами или что-то типа того. Запустил. Святая простота! Просыпается наутро, на компе новый пароль, и счет Webmoney пустой.

А файл какого типа/расширения?

Было: у меня лицензионный подписной антивирус - перестал работать. Я обратился за консультацией, мне посоветовали установить программу "Amvyy admin", и консультант, узнав мой ID - сам устранил неисправность.

Теберь беспокоюсь: может ли он, зная мой ID - причинить мне какой - либо ущерб?

Подбрось дровишек IP-шек, я проверю по энтой ссылке (а хочешь - сам проверь). Сильно подозреваю, что - поместимся.А что проверять-то? Где сайты лежат? У Зенона они лежат... Пока. Пока возражений ни у кого нет. Только я ворчу.
У меня интерес как вычислять IP разных людей, а на основании этого узнавать о них всё. И как свой сайт обезопасить.

Что-то лажовый сайт: по разным IP даёт центр Москвы (Дворец Съездов в Кремле). Место с точностью до региона???

Это первый попавшийся сайт. Таких сайтов на самом деле очень много. Я вот этим пользовался

http://ipgeobase.ru

Вообще в инете есть базы IP-адресов с разной степенью точности, но наиболее точные стоят денег. К примеру:

http://www.maxmind.com/app/geolitecity

А что проверять-то? У меня интерес как вычислять IP разных людей, а на основании этого узнавать о них всё. И как свой сайт обезопасить.

Могу порекомендовать книгу "Интернет-разведка: руководство к действию", Евгений Ющук. Москва, издательство деловой литературы "Вершина", 2007г. ISBN 5-9626-0290-0

Остальные книги этого автора можешь сам погуглить или в Вики посмотреть.

У меня интерес как вычислять IP разных людей, а на основании этого узнавать о них всё. И как свой сайт обезопасить.

Я повторно провернул опыт с вычислением злоумышленника. Детали здесь:

http://project.megarulez.ru/forums/showpost.php?p=325613&postcount=44

Вообще уровень подготовки "хакеров" довольно-таки удручающий. На прошлой неделе по мне опять отработал бот. Искали уязвимости в коде путем проверки на типовые ошибки, совершаемые программистами. Также, как я понял, на сайте искались типовые модули с известными уязвимостями. Не прокатило.

По части защиты я остановился на простом и дешевом способе. На фронт HTTP-серверу ставится nginx, который выполняет следующие функции:

1. Отдает статический контент. И делает он это намного быстрее, чем Apache.
2. Заставляет браузеры кэшировать стили, картинки и скрипты
3. Передает контент в сжатом виде
4. Если интенсивность запросов превышает заданную, то сперва принудительно снижает скорость ответа на запросы, а потом начинает рубить запросы. Таким образом, завалить сервер DDOS-атакой становится возможным только полностью забив канал. Если канал к серверу толстый, то затея становится попросту нерентабельной.

Есть и другие способы защиты, но этот самый простой в реализации и вполне себе эффективный.

А вообще начал приходить к мысли, что надо бы поизучать методы взлома и поиска уязвимостей. Просто чтобы знать оружие врага.