Tobishua
@Tobishua
Founder of Improvy

Взломали сервер и вымогали деньги, куда обращаться?

Сегодня около 02:00 по Хабаровскому времени мне в WebMoney Keeper написал некто barbados. Приводить всю переписку я не буду, т.к. она довольно объёмна.

Если говорить в нескольких предложениях, мне сообщили, что на одном из моих сайтов имеется дыра, продемонстрировали, что могут загрузить на сервер любой файл и потребовали 200 WMZ, иначе они и дальше будут ковырять это всё. В итоге, пока я тянул время, им удалось доковыряться до уровня user (установлена ISPManager, благодаря которой они получили доступ ко всем доменным именам и сайтам. После того, как я сказал, что таких денег у меня нет и в ближайшее время не будет, мне быстро ответили, что тогда я могу сказать своему серверу «До свидания», по крайней мере данным на нём и что восстанавливать из бэкапов бесполезно, т.к. они опять расковыряют эту дырку в одном из сайтов. Причём сказали, что если бы я заплатил, сообщили бы все инструкции как исправить такую уязвимость. После этого я выключил сервер и получил от них сообщение наподобие: «Тогда вам придётся всегда держать его выключенным, как только включится, мы исполним то, что обещали».
После того, как я написал, что завтра пойду с заявлением в полицию, мне написали моё ФИО, место жительства и адрес прописки и сказали, что найти меня будет довольно просто (т.е. поступили уже физические угрозы).
Всё это время я держал связь в скайпе с человеком, с которым работаю и нашу переписку они успешно смотрели (как выяснилось позже, они знали мой пароль).
Далее они написали, что могут не трогать сервер, если я выплачу им все имеющееся у меня средства (около 850 рублей).
И тут я совершил, пожалуй, самую большую ошибку. Я заплатил.
После чего мне указали типичные проблемы в безопасности серверов (большей части из которых у меня не было) и после этого ничего не писали.
Быстрая проверка по сайтам выявила несколько iframe и фрагменты обфусцированного кода. Также в логах ISPManager остался IP с которого заходили.

В связи с этим вопрос: Что мне делать? Куда можно обратиться в таком случае? Хостер явно напишет: «Ваши проблемы, разгребайте сами». Всё, что имеется, так это IP-адрес (который может быть и прокси), WMID которому около 1-го года и два кошелька принадлежащих этому WMID.
  • Вопрос задан
  • 9998 просмотров
Пригласить эксперта
Ответы на вопрос 13
@nifus
Очевидно что в милицию. Почти также очевидно, что результата не будет, поэтому самый лучший вариант это закрыть дыры. Лучше бы вы потратили отданные деньги на повышение безопасности, хотя 800р дела сильно не поправят.

Что касается фио, то их скорее всего взяли из вашего аккаунта у регистратора доменных имён, дабы навести на вас страху.
Ответ написан
@Busla
Вполне доступная сумма — при более вменяемом подходе многие бы и без угроз заплатили (проставились на) 800 рублей за консультации по безопасности.
Ответ написан
@bulletproofcupid
Физическое воздействие к вам бы навряд-ли применялось — юные хакеры с битами по квартирам не ходят, а для «крыши» сумма слишком мала.
Ответ написан
foxmuldercp
@foxmuldercp
Системный администратор, программист, фотограф
А вообще на будущее пару советов:
1. бекапы, бекапы, еще раз бекапы. в почту, на левый сервер, который нигде не светится, куда угодно к чертовой матери подальше от сервера.
2. обновление всего и вся, регулярное, раз в день.
3. сложные пароли на всё что можно — keepassx в качестве паролехранилки/генератора паролей, у меня на всё, кроме двух аккаунтов — пароли по 25 символов со спецсимволами.
4. запрет на доступ кому попало откуда попало — авторизация в ssh — только с доверенного айпишника или диапазона Вашего провайдера, если у вас нет бабла на статический айпишник (при смене не забудьте добавить новый либо держите резернвый, допустим с работы
5. авторизация по ключам. сгенерировали — отправили открытый ключ на сервер.
6. никакого лишнего софта на личной-рабочей машине — все непонятное и левое — в песочнице, виртуалке, на второй тестовой машине.
7 все эксперименты — там же, с минимальным выставлением сервисов в мир.
8 отсылка критичных сообщений в логи на другой хост.
9. 3-5 попыток авторизации куда-либо, дальше бан с писмом-алертом.
10 нормальные настройки рнр и других скриптов
Ответ написан
ValdikSS
@ValdikSS
Разнесите все сайты на разных пользователей (чтобы нельзя было добраться до другого сайта, сломав один), поставьте следилку за логами какую-нибудь, так вы узнаете, как именно ломают (дырка в скриптах, в фтп сервере, просто знают чей-то пароль, и т.д.), смените все ваши пароли на все, раз говорите, что они даже переписку читают, если есть другой компьютер, запустите с него дистрибутив линукса и пока пользуйтесь им (чтобы систему на основном не переставлять, если у вас вдруг троян). В общем, устройте тотальную слежку на вашем сервере.
Ответ написан
13oz
@13oz
Надо было забить на все и идти в полицию. Никто вас трогать не стал бы, потому что 800 р — не те деньги, за которые «хаккеры» смогут найти кого-то, кто будет вас бить. Тем более, что, с учетом реалий нашего региона (сам до недавнего времени жил в Хабаровске), попытки найти бойца самостоятельно окончатся тем, что «хаккер» сам получит по голове и лишится всего, что имеет.
Идти в полицию — бесполезно, но сходить надо.
Паспортные данные — если вы указали в whois свои реальные контакты, то они выпасаются на раз — начиная от сотовых операторов, заканчивая базами типа почившего в бозе Radarix. То, что они знали вашу переписку может говорить о том, что человек, с которым вы работаете, в доле. Так же в пользу этого говорят и ваши паспортные данные, и то, что они сыграли на вашем страхе физической расправы — напарник наверняка более-менее знает вас, что бы мочь прокрутить такую схему.
Ответ написан
izmalk
@izmalk
Поменьше пишите о принятых мерах (в том числе написанных заявлениях или просто смененных методах авторизации). НУ серьезно — Хабр ресурс популярный, особенно у этого контингента, кем бы он ни был — школотой или… хотя имхо суммы не располагают считать что это кто-то кроме школоты
Ответ написан
Antelle
@Antelle
Ух. Я-то думал, когда читал, что будут требовать 200 000 WMZ, аж загрустил, когда дочитал до 850 рублей.
А так да, пароли везде поменяйте, а то они ещё и на Хабр зайти под вами могут, и в полицию. Может, от webmoney им удастся что-нибудь интересное получить. Что за ip-то, какая хотя бы страна?
Ответ написан
cronfy
@cronfy
Раз уж эти товарищи знали пароль от скайпа, значит у вас на компьютере кейлоггер или какой-нибудь еще троян. Так что перед тем как работать с сервером, проверьтесь хорошенько на вирусы или работайте с заведомо чистой системы.

Скорее всего, доступ к ISPManager они получили тоже через кражу пароля, а не через взлом сервера. Поменяйте пароли доступа, восстановите все из бэкапа, чтобы удалить залитые шеллы/вирусы на сайты.
Ответ написан
@egorinsk
У вас на компьютере троян, судя по всему. Взламывать сервер через какие-то хитрые уязвимости — слишком ложно для школоты, а вот сделать веб-страничку с трояном (или заразить программу и выложить в интернет) и через рекламу/взлом сайта заманить на нее посетителей, и потом лазать по их ПК — самое то.

Личные данные легко вытащить из профиля скайпа, почты и вконтактиков.

Вспомните, не лазали ли вы в последнее время по сомнительным сайтам, не устанавливали ли программы с левых источников. Лучше всего переустановаить Windows и программы, удалить Adobe PDF reader (он уязвим) и отключить Java dj всех браузерах (советовать удалять яву не буду, так как многие программы ее используют).

Ну и пароли простые нигде не ставьте и на комьютере не храните. Как не странно, но хранить пароли, например, в записаной книжке гораздо безопаснее, чем в любой компьютерной программе.

Насчет заявления, если его напишете не только вы, а взломщики из вашего города, вполне возможно, их и поймают. Судя по тому, что им не лень было потратить полдня ради 800 рублей, это отнюдь не профессионалы.
Ответ написан
shanker
@shanker
1. Писать заявление в Полицию. Вот почитайте случай для примера. Человек-таки написал заявление. Добивайтесь принятия заявления. Если полицейские будут крутить носом и будут находить какие-то отмазки почему они не принимают заявление (электронной коммерцией они не занимаются или ещё что-то) — попросите их написать отказ с указанием причины. Там гонора их поубавится.
2. Совет на будущее: после того, как они продемонстрировали залитие файла на севрер, Вам нужно подключиться к серверу и скопировать все логи Ваших сервисов, изучать что было незадолго до залития файла.
Ответ написан
shanker
@shanker
А вот тут вопрос: вводится ли пароль от Скайпа вручную, или Скайп запоминает пароль и при запуске его не требует? Как бы это странно не звучало, но в случае со Скайпом безопаснее последний вариант. Даже копирование всех файлов Скайпа на другую машину не приводит к возможности злоумышленнику им воспользоваться. Там что-то хитро с безопасностью на сей счёт. Как это работает — сказать не могу. Но опыты я такие проводил и не раз.

В случае, если Скайп запоминает пароль — нужно искать проблему в другом месте. Возможно, Скайп угнан не у Вас, а у Вашего работника, с которым Вы общались
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы