 |
 |
 |
|
Да! Представьте себе, меня попросили вернуться и что нибудь написать. Предполагаю даже - по мне соскучились ;)
Конечно, мое исчезновение было связано с мкомом. Мое появление было связано напрямую с тем же мкомом.
Да их взломали. Теперь я с уверенностью и даже с гордостью могу сказать. Все то, чем гордился Константин Утенков – его сплошная блажь. Ничего он не сделал для узла, кроме написания пары програмок для WWW. Да и те сдуты на 50% с примеров поставлявшихся с _чужой биллинговой программой_.
А теперь по порядку.
Далее следует пересказ одного из участников «работы»:
---------------------------------------
После некоторых нападок в сторону Dr. Pepper’a со стороны Утенкова К. я
задался мыслью просто поучить маленького и бестолкового сисадмина компании
мком (или как угоднно – мкан :)
Т.к. параноидально-замученный администратор был изнеможден постоянными
попытками взлома.
Он сделал все возможное для усложнения той задачи. А именно были
закрыты все «интимные» демоны на его >Линуксе от внешних запросов. Но,
Константин понадеялся на то, что основные демоны у него свежие и
безошибочные.
На этом он и погорел :)
Я не помню число когда мы сломали его сервер(а я был не один).
Несколько дней мы последили за работой узла. Точнее узелка, потому что их
pIII работал с общей суточной нагрузкой меньше процента :) Исследовав
биллинговую систему узелка, мы пришли к общему мнению, что Константин
п%;#!бол. И что его роль в компании заключалась только в том, что бы
перезапускать сервер. А так же объяснять Кате как пользоваться Интернетом
:)
Из-за того что все интересные данные были зашифрованы(пароли и карточки)
мы просто скачивали из интернета mp3, а гостем качали их к себе на винты
:-) После определенного периода, mp3 надоели. Точнее надоедало по часу
ждать загрузки этих mp3. Мы ушли.
Далее наши заходы на узелок были "чистаа" профилактическими. Для того, что бы посмотреть «… а не изменилось ли ничего на узелке?». Примерно в начале осени мы заметили, что на сервере живет еще кто-то. Немного просследив за его действиями, мы поняли - завелся новый h4x0r :) Дмитров видимо прямо рассадник h4x0r’ов. Я сделал пару звонков для выяснения номера телефона, с которого заходил некто X(назовем его так, ибо давать в прямой эфир его имя мне не хочется). Дальше - лучше. По Дмитровской телефонной базе я выяснил дом, в котором стоит тот телефон. А последние 2 звонка – дали мне имя и фамилию.
Отступление к X: три логи, или тебя постигнет суровая и печальная судьба. Даже не вредоносный взлом, может обернуться двумя годами красивой жизни за государственный счет.
Вернемся к нашим баранам.
За время нашего наблюдения кого мы только не повстречали в их системе
8-) По следам последних событий видимо, последний из взломавший был гражданин
XX из города Яхрома. Видимо там наркобизнес расцвел до неимоверных размеров,
а он под воздействием наркотических веществ сделал для прикола deface загаженному
форуму.
После пары дней работы в состоянии реконструкции, узелок лишился всего
– что нажил непосильным трудом. Форум, доска, чат и кое-чего еще. Пользователям
нассали в уши и наплакали, что произошел выход сервера статистики из строя.
Когда каждый желающий видел, что 3 дня был «сломан» форум. Какими надо
быть пи»№;%олами, что бы врать так открыто?
Смена паролей была из-за дискредитации системы. так правильно и
почти по научному. Ничего не было выведено из строя кроме форума.
А теперь небольшой анализ произошедшего.
Некто XX, по каким то причинам. И каким-то необычным образом запустил
программу, которая должна была добавить к форуму новогоднее поздравление
так называемым “педерастам” (я догадываюсь, кого он поздравлял ;)
Но из-за ошибки в программе индексная страничка форума была уничтожена
и полностью заменена приветствием. С этого момента, администратор мкома
стал напрягаться. И дошел до кондиции убить все чужое на сервере. Последний
раз когда я заходил к нему в систему, состоянии системы было как будто
он все достал с резервного накопителя и восстановил систему после краха.
Либо опять в конфигурацию системы вмешался Утенков К. потому что система
выглядит имеено так, как было при нем.
Отступление к Админу:
Я да и видимо Dr. Pepper ничего не имеем против администраторов. Пока
они ведут себя не по свински.
(да да, Костик, нам всем известно какой ты пи»№;%ол)
Брассет, у тебя было и есть всего 2 ошибки. Первая - ты молод и неопытен,
вторая же – неправильно сконфигурированная система. Все ошибки которые
были фатальны (сорри, почти все) были – ошибками конфигурации. Судя по твоим
хомам, ты старательно изучаешь Линукс, или делаешь вид перед Зотовым ;)
Будь мужиком и ты никогда не получишь из Дмитрова команды типа
root# format c: ;)
За время нашего изучения системы и наблюдения за животными которые там
пасутся мы сделали.
a) замену некоторым демонам – что бы они не писали логи.
b) сняли бэк ап версию системы – если что случиться, просто попросите
;)
c) кое-что настроили – для собственного комфортного время препровождения
d) я написал собственную систему статистики, которая превосходит существующую в "мкан"! Я потратил на нее 2 дня - вопрос что делал целый год Константин как сисадмин? :-)
И наконец-то новость н 1 которую мы узнали 2 недели назад.
В Дмитрове есть человек который иследовал систему извне 3 месяца. Нашел
новую дырку в системе (до этого никому не извесную).
Написал програмное обеспечение для использования этой дырки. И…. просто
остался доволен. По линии DmLUG я видел эти
программы и они мне понравились. Даже была утилита для автоматической
работы. Можно было сделать очередь заданий,
ложиться спать, а утилита за ночь сделает сама ВСЕ.
Вот так, то не читайте журнал "Хакер". Все равно там фуфло гонят. Учитесь
сами.
С Новым Годом.
-----------------------------------
Далее я просил через IRC Mamy проверить пару логинов на stat.mcomm.ru
Вот ответ(нецензурные выражения были заменены *).
------------------------------
hi!
них** твои логины не работают. Или ты пытаешься мне***ню впарить, либо
уже все поменяли.
Придется вам снова ломать, какзоры б**! Кто же так ломает? Вас что
м***и учить надо?
Во! Видимо пароли сменили, даже мой не подходит. Б** я же просил мой
пароль не менять! Остолопы..
[далее идут одни звездочки, и цитировать больше нечего :)]
------------------------------------------
за ним поступило второе сообщение
------------------------------------------
позавчера это вы **** через мой вингейт на мком ходили?
если узнаю что вы, урою....
[далее идут одни звездочки, и цитировать больше нечего :)]
------------------------------------------
По правде говоря, для соединения с мкомом мы использовали самую простую схему, о которой слышали именно от Мамы еще в 99.
А именно dialup -> socks -> trojan -> shellredirector -> hackedhost
Я подозревал, что вингейт на диске с которго
c:\a
c:\aa
c:\aaa
c:\aaaa
c:\aaaaa
c:\aaaaaa
c:\aaaaaaa
есть такие каталоги - это Мама, но до последнего не верил что у Мамы 98%
информации, мягко говоря картинки непристояного содержания + mp3 + mp4 8)))
Мне нравиться ситилайн и его абоненты, самое халявное место на плохо настроенные вингейты ;)
Чтобы не случилось, все к лучшему. Может быть станут более стойкими
их пароли.
Подводить итоги пока рано. Но просто под новый год, некоторым любопытным
такая информация:
1) компания «мкан» распространила интернет карточек на сумму около
$1800
2) сейчас в базе около 100 пользователей
3) в базе карточек – более 300 записей
4) в системе существует более 10 мест, о которых сисадмин может пожалеть.
5) никакая информация с сервера не будет распространена, ни при каких
условиях
6) примерная сумма потерь компании(интернет) за 2000 год < $500
(без учета репутации, которой у нее нет)
7) примерная сумма потерь компании(интернет) за 2001 год >$2000 (без
учета репутации, которой у нее и не будет)
Еще раз напоминаю, “друзьям” в компании – не напрягайтесь. И не таких опускали.
Я благодарен за помощь в подготовке статьи
«неизвесный хакер» aka A, который в общем все и провернул и даже согласился
описать
«Второй неизвесный хакер» aka X, за что то он есть в Дмитрове
«Третий неизвесный хакер» aka XX, за дефейс. Правда с осложнениями
«Четвертый извесный хакер» aka XXX, за организацию DmLUG и за все остальное
;-)
Mama - за проверку
Papa - за публикацию, и стойкое НЕТ Зотову которому не нравится что
я пишу.
Интересно
увидеть твою моську, когда ты увидел форум ? :)))
Может
фотку подкинешь?
С Новым Годом.
PS. Все имена даты были специально изменены
Любые сходствас настоящими персонажами – случайны.
Текст A был изложен Пеппером, дабы при лексическом анализе ничего не
прояснилось :)
Под редакцией Dr. Peppera
Dmitrov
29.12.2000
Меня всегда можно найти на http://dmitrov.narod.ru/
Если возник вопрос - просто спросите на форуме у Папы.
Эти материалы можно увидеть в Интернет по адресу http://dmitrov.narod.ru, а также в в дмитровских ФИДОшных эхах, доступ к которым можно получить дозвонившись до ББС города:
| |
|
|
|
