Безопасность при работе с дедиками

  • На форуме работает ручное одобрение пользователей. Это значит, что, если Ваша причина регистрации не соответствует тематике форума, а также Вы используете временную почту, Ваша учётная запись будет отклонена без возможности повторной регистрации. В дальнейшем - пожизненная блокировка обоих аккаунтов за создание мультиаккаунта.
  • Мы обновили Tor зеркало до v3!
    Для входа используйте следующий url: darkv3nw2...bzad.onion/
  • Мы вновь вернули telegram чат форуму, вступайте, общайтесь, задавайте любые вопросы как администрации, так и пользователям!
    Ссылка: https://t.me/chat_dark_time

AWM

Участник

AWM

Участник
7 Июл 2016
355
94
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Всем привет. наткнулся на статью. Не забывайте заходить на дед под проксями. Иначе может попасть такой владелец деда, и будут последствия. Просто сломали жизнь малолетнему школьницу, который пытался ***** в покер и отмотает ходку, и подпортили продавцу дедов. Будьте осторожны.
Вот инфа:
Здравствуйте. Хотел поделиться своей историей "войны" с хакером, взломавшим мой офисный сервак с 1С.
Началось с того, что в один прекрасный момент (примерно месяц назад) утром я обнаружил на своем офисном сервере 1С невесть откуда взявшийся установленный PokerStars от имени нового пользователя root и этого самого пользователя, чей сеанс был отключен.

Подключился к управлению его сеансом, зашел в него, нашел там несколько текстовиков с данными держателей кредиток (ФИО, адрес, данные карты) и запущенный сеанс покера, где кто то вносил данные кредитки, но она не была принята, выдало какую то ошибку.

Я не стал удалять эту учетку и оставил сеанс подключенным и стал дожидаться. Паралельно полез в event viewer и нашел кучу событий по входу/выходу, созданию учетки с какого то питерского IP адреса. Сохранил все эти данные на всякий случай. Сомнений не было, что мой сервер взломали (я его администрировал сам от случая к случаю в силу своих возможностей) через удаленку, по видимому просто подобрали пароль пользователя admin (именно эта учетка давно не использовалась, а тут под ней пошли первые логины на сервак). Конечно эту ситуацию я сразу решил не спускать просто так, а разобраться, кто будет отвечать за содеянное.

Таки дождался! В тот же вечер на сервер залогинился пользователь в учетку root с того же самого адреса. Я решил пообщаться с ним и отправил сообщение через таск менеджер примерно в таком ключе - "здравствуйте "уважаемый" хакер. Знаете ли вы, что вы взломали сервер частного предприятия, что подпадает под такую то статью УК РФ - неправомерный доступ к компьютерной информации, который влечет наказание на такой то срок с конфискацие и т.п. Не желаете ли вы объясниться по существу этой ситуации? С учетом того, что мне известен ваш домашний IP адрес и приехать к вам домой хоть мне, хоть компетентным органам - не составляет ни малейшего труда и наказать вас или официально или "неофициально".

Буквально через 20 секунд хакер "отвалился" от сервера, но через несколько минут вновь зашел. Сижу жду. Парень оказался откровенно "ссыкливым" и разговорчивым. Сказал, что попал на сервер чуть ли не по ошибке, что ему продали доступ к этому серверу за 60 (!!!) рублей и он думал, что это теперь его сервер! Звиздец.
То ли талантливо прикинулся валенком то ли таким и являлся на самом деле.... После того как назвал ему его домашний IP - он и вовсе поплыл и начал сдавать всех подряд.

Оказалось, что доступ к моему дедику он купил у одного хакера ака "akvelon", на сайте dedik.biz, где организована масштабная торговля такими же взломанными серверами как и мой по всему миру! Причем торговля идет в автоматическом режиме за разные валюты. В частности, мой сервер купили за webmoney, в пользу WMID 269210428735.
Поковыряв логи сервера в еще более ранний период, нашел кучу попыток входа с зарубежного IP адреса (видимо взломщик в своей работе использует VPS или что то в таком роде) и один успешный вход под тем самым admin.

Я провел свое небольшое (а может и большое) расследование и выяснил, что этот самый "akvelon" занимается взломом и продажей дедиков яж с 2011 года, имеет большую репутацию на специализированных хакерских ресурсах и кучу отзывов от подобных ему "благодарных хакеров".
При чем в этих темах о продаже он черным по белому пишет, что добывает серверы "брутом", то есть взломом и их можно использовать "под палку" видимо махинации с платежной системой ******, "под poker" - то что и произошло со мной (хорошо, что не успели забить в покер и использовать левые кредитки), "под брут" - взлом прочих компьютеров и систем.
Ну вот например:
forum.antichat.ru/threads/297588/
forum.zloy.bz/showthread.php?t=129589&page=4

center.bz/forum/threads/akvelon-icq-489452-jabber-489452-jabme-de.17974/ тут на него жалуется покупатель, что мол продали ему какие то "некачественные дедики"
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
здесь его контакты рекоменуются хакерами для приобретения дедиков под "слив neteller"
*******world.pro/index.php?/topic/4687-prodazha-dedicated-servers-dediki-vse-strany-***-uk-ru-de-i-drugie-strany/
darkmarket.bz/threads/prodazha-dedicated-servers-dediki-vse-strany-***-ru-de-i-drugie-ot-0-3.1572/
darkmoney.cc/dediki-soksy-vpn-106/prodazha-dedicated-servers-dediki-vse-strany-us-ru-de-i-drugie-ot-0-3-a-870/
forum.hackersoft.ru/archive/index.php?t-17592.html

В общем ох и ах, хакинг процветает и никого не смущает, почему такие сайты вообще работают, не мониторятся компететными органами и теми же Webmoney, с помощью которых происходит оплата хак.услуг.

Первым делом что я сделал - это конечно, выкинул этого самого root со своего сервера, написам ему, что мол скоро жди гостей, сменил все доступы и почистился антивирусом (который кстати ничего не нашел, что подтвердило мои соображения насчет взлома удаленки) и обратился в полицию по адресу своего проживания.
Там у меня приняли заявление, но отправили затем в спецотдел по расследованию преступлений в сфере информации или как он там называется, этот департамент. В отличие от полиции - там по крайней мере понимали о чем я говорю и приняли меня подробное (на 3 листах) объяснение ситуации и сказали по итогу общения, что берут в разработку этого "akvelon" и горе-покерщика из Питера. На следующий день у меня изъяли сервер для экспертизы и анализа логов (тьфу тьфу благо у меня там все лицензионное, а то еще сам влетел бы за что нибудь!). Вернули через неделю, сказали, что все что им нужно - сняли, остальное мол есть у моего провайдера интернета.

Со своей стороны я решил немного ускорить процесс "захлопывания" этого мошенника и написал подробное обращение в службу безопасности Webmoney, рассказав о сути противоправной деятельности владельца WMID 269210428735, указав и номер обращения в отдел "К". Буквально на следующий день мне ответили с благодарностью за то, что обратил внимание на противоправное использование их системы и сказали, что снимают этот вмид с обслуживания и берут на контроль все транзакции по нему (то есть кто еще покупал у него дедики и т.п.) и взяли на мониторинг его сайт dedik.biz, на предмет появления возможных новых кошельков.

Такие же обращения полетели его доменному регистратору и хостеру, которые, впрочем сослались на то, что им необходим официальный запрос от правоохранительных органов, чтобы приостановить действие домена и хостинга. Я им пообещал, что такой запрос им вскоре придет.
Тем не менее, как я видел по его темам на форумах - хакер продолжал свою деятельность и я подогреваемый ожиданием его наказания - повторно обратился в отдел "К", чтобы узнать, как обстоит ситуация с моим запросом.
Там мне вкратце рассказали, что подали соответствующие запросы в систему Яндекс деньги (они тоже использовались ранее на сайте в продажах дедиков, но потом исчезли, видимо после такого обращения от компетентных органов) и хостеру stormwall.pro, где размещался до последнего момента его сайт.

Получили необходимые им логи, но в настоящий момент "заковыка" состоит в том, что хакер, видимо, использует прокси или vpn и выйти вот так сразу на его реальный IP адрес нельзя, но работа в данном направлении ведется и они обязательно его найдут (ну это с их слов), на что я очень надеюсь.
На днях сайт перестал открываться (ура!), видимо таки достучались до регистратора домена и приостановили его действие. Потираю руки и жду.

Хотя, справедливости ради, он (akvelon) по прежнему обслуживает своих клиентов в ICQ, jabber и по скайпу, о чем говорят периодически появляющиеся отзывы в его темах на форумах, но надеюсь, что так надо и наверное эти каналы общения уже "под колпаком", для вычисления этого индивидуума вышеупомянутыми органами.
Собственно вопрос, могу ли я еще как то усложнить ему жизнь помимо того, что уже делается или просто "расслабиться и ждать"???
Спасибо за внимание, нужно было наконец поделиться с кем то этой кучей информации и соображений. Заодно, возможно, будет повод и другим владельцам виндовых серверов задуматься о безопасности.

Автор Влад Никоноров.
 

AWM

Участник

AWM

Участник
7 Июл 2016
355
94
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Дополняю статью по дедикам. т.к. не все знают и были вопросы по данной теме. Некоторые люди забывали чистить куки и тп.
1) Не забывайте чистить куки и удалять историю.
2) настройка дедика:
заходим на сайт whoer.net
смотрим вашу анонимность. Оптимальная для работы 90-100%
Если нет, ищем ошибки и устраняем их. (также добавлю для многих случаев не канают дедики амазон! может всплывать 403 ошибка)
часовой пояс должен совпадать с часовым поясом деда!
Ну и при желании чтоб добится 100% анонимности можно вырубить флеш.
Вот собственно и все.
Дальше уже тестируем, пробуем.
Иногда айпи деда может попасть в бан (при многократном его использовании на одном ресурсе). Собственно в этом случае меняем дед (если у вас не админка). Если админка юзаем впн, тунель, носок.
 

О нас

  • Наше сообщество существует уже много лет и гордится тем, что предлагает непредвзятое, критическое обсуждение различных тем среди людей разных слоев общества. Мы работаем каждый день, чтобы убедиться, что наше сообщество является одним из лучших.

    Dark-Time 2015 - 2024

    При поддержке: XenForo.Info

Быстрая навигация

Меню пользователя