Погром сервера www.ratclub.ru

[Portos]

Погром сервера www.ratclub.ru


Сначала хронология событий.
----ЧАСТЬ ПЕРВАЯ
Хроника событий такова 25 марта (вторник) вечером было обнаружено что сайт клуба Дом крысы был достаточно сильно покорежен и не мог нормально функционировать за исключением что приходила только первая страница сайта. Надо сказать что сайт представляет собой достаточно сложную систему которая сочетает основной модуль написанный PHP-движок NUKE с MySQL-ной базой плюс различные скрипты, выполненные на Perl-e. Вечером 25-го все это представляло достаточно жалкое зрелище, но я отнес это скорее к неполадкам на сервере чем к умышленному деянию. Видимого взлома не было видно на первый взгляд - дефейса не было (deface это замена первой страницы взломщиком на свою), почтовый релей функционировал нормально. В тоже время удачно вышел на связь Portos (Алексей Истомин), который и взялся глянуть, в чем собственно дело. Оказалось, что на лицо было проникновение - конфигурационные файлы системы имели среды вмешательства. Первым делом было проанализированы логи Апача. Была определена машина с которой шел слом. Была известная сеть, был известен регион, человек не был известен. Письмо админам сети из которой работали было направлено вместе с подтверждающими фрагментами логов. Также была поставлена в известность служба саппорта хостера, которая также подтвердила факт проникновения. И уже на официальном уровне запросила данные у админов, к который принадлежал IP злоумышленника.
Это было сделано, для того чтобы по их локальным логам можно было определить непосредственно машину взломщика. Покалеченный сервер был затушен от греха. Так как на ночь глядя найти дырку через которую подломили, не было возможности.

----ЧАСТЬ ВТОРАЯ
26 марта.
За день состояние сайта было восстановлено. Предполагаемые дырки забиты. Еще в первый день обнаружения проблем с сайтом было похоже, что взломщик решил сделать перерыв, с намерением вернуться позже. Т.к. все было поломано, но не более. Самое интересное - человек этот таки вернулся и довел дело до конца учинив легкий дефейс. Наглость и цинизм в достаточной степени удивили.
Сервер был снова затушен. В первый раз постановки особых мер не применять и не раздувать бучу, в надежде что все закончилось, но теперь взломщик похоже почуял свою безнаказанность (о чем думал мне трудно представить) и продолжил свою деятельность. Причем, свою личность он особо не скрывал. Путем потраченной часа в интернете удалось выяснить о нем массу информации. В известность были поставлены члены правления клуба.  Предлагались различные способы воздействия, по-разному неприятные для индивидуума порушившего  сайт.  
Саппорт хостера оповещен о факте взлома.

---ЧАСТЬ ТРЕТЬЯ
27 марта
Первую часть дня заняло восстановление поломанного. Сайт снова пущен. Почтовый сервер работает, скрипты бегают. Все заняты своей текущей работой на основной работе. Надо сказать что этот день выдался очень неприятным - сегодня утром в 10.30 умер крыс Кука. Умер тяжело и очень плохо. Как последствие тяжелой пневмонии развившаяся сердечная недостаточность. Вчера было куплен мешок лекарств, начиная от Валокардина, заканчивая Гидрокортизоном. Все было проколото вечером 26 марта. Вроде улучшение наметилось. А утро стало началом конца. В связи с этим событием все отошло как то на второй план.  
Решено снова не принимать никаких карательных мер и оставить человеку шанс исправиться. (Как окажется позже такая мягкотелость выйдет боком)
Сегодня вечером сайт снова был понасилован.
И в дополнение еще вот что: самое смешное что мы долго и занудно искали место через которое пролез нехороший человек. Но в явном виде так и не обнаружили его. В связи с чем возникло  и окрепло (причем в достаточной степени) уверенность, что взлом форума домика голубой крыс и эти события связанны. В силу человеческой глупости я допустил одну ошибку - пароль на форуме домика и  
пароль админского уровня (выданный мне Портосом) на сайт клуба совпадали. Не повторяйте моей  
ошибки.  
Поскольку файл в котором YABB (форум домика голубой крысы) хранит файлы криптован достаточно слабо или вообще не защищен (сейчас не могу сказать точно, хотя в свое время на сайте клуба стоял этот форум), то возможно, тот кто уложил форум домика сумел добраться до него. Это всего лишь предположения. Даже скорее всего эти вещи и не связаны, но как то все легло одно на другое. Не знаю…
Получается в то время когда мы латали дыры и поднимали сайт (уже в который) этот человек  
просто заходил с админскими правами. Хорошо, что права эти все же ограничены. Иначе, я боюсь, представить что за пепелище осталось на месте сайта.
Надо сказать что любые системы в достаточной степени уязвимы. Взять тот же YABB или систему  
управления сайтов NUKE. Но тут приходится всегда искать компромисс между возможностями и  
безопасностью. Любой скрипт потенциально опасен, тем более такой развесистый как форум.
Я не думаю что это мотивированный акт, например, людей которые не любят крыс, скорее что-то другое. Если клуб Дом крысы отделался лишь потраченным временем доблестного администратора и веб-программиста Портоса (не премину выразить ему свое восхищение за профессионализм и проявленную стойкость), то домик пострадал значительно сильнее - 2 месяца (насколько я знаю) коту под хвост.  
2Lana - в принципе можно Леху попросить делать бекап форума домика, если размеры не превышают разумные. Потому что как показывает опыт все может повторится. И переход на новую версию YABB  
Abother Bulluten Board это тоже не панацея. И надо сказать, что в случае с форумом домика была налицо прямая атака, с целью похоронить форум или сайт. Когда с клубом Дом крысы лишь поломали местами и надписей понарисовали нехороших. Хотя если бы не было бекапа (который около 200 метров уже), то можно было локти ой как кусать. В связи с этим хотелось бы услышать мнения людей как все-таки поступить с человеком, который совершил это деяние. Силовые методы я думаю не стоит рассматривать. Интересует конструктив. О человеке есть все данные, есть доказательства. В принципе такими разбирательствами занимает  хостер, но мы пока попросили притормозить это дело. Хотелось бы услышать ваши мнения.
Тем более когда нападению подверглось крысиное сообщество. Ему и решать как быть.
Фактами, которыми указывают на причастность "нашего" взломщика к слому форуму домика мы не обладаем, но я думаю, была бы неплохо, если Светлана отыскала логи за тот день когда произошло падение и направила Портосу. Может быть IP или хотя бы сетка та же самая. Ну это пусть они как админы обоих сайтов сами решают.

С уважением,
Спиридонов Алексей,  Истомин Алексей и Славинкис Игорь.
Москва - Новосибирск - Калининград 2003, 27 марта, 22-00 по Москве, 01-00 по Новосибирску, 21-00 по Калининграду.

P.S. До вечера 28 марта мы не собираемся предпринимать никаких действий. И будем благодарны за ваши комментарии.

[rio]

Да....
Супер!
Ну, не то, что произошло, конечно. Здорово всё отслежено   и проанализировано.
Когда на Домике авария случилась, я несколько часов потом сидел, копался в сети в поисках ответа на один вопрос - "почему?".
Увы, информации о крахе подобных форумов нашлось море. Это случалось на вполне приличных сайтах. И даже на всяких продвинутых геймерских и программерских. И админы в большинстве своём разводили руками и говорили народу "форум убит. Да здравствует новый форум". В одном месте только в обсуждении проскочила информация, что это могла быть атака. "Один из пользователей запустил скрипт. Пользователям - ничего, а у админа он сработал". Всё.
Кстати, я писал уже , что у меня осталась html-версия форума до 1 марта включительно. Я на ночь ставил закачку teleportом "для себя". Так что если кто-то хочет восстановить сообщения из какой-либо конкретной темы - напишите мне и я вставлю. Просто если всё за 2 месяца восстанавливать - мне и на работу некогда будет ходить  :-/

И ещё у меня маленькая просьба-предложение к вам. Нельзя ли выслать айпишник этого товарища мне, да и ко всем, у кого сайты есть? Мы ж тоже иногда в статистику заглядываем. Вот у питерцев тоже недавно проблемы какие-то были. Посмотрю, был ли друг у меня и скажу, когда и где лазил.

[compact]

Поступить со взломщиком надо так нехорошо как только позволяют возможности. Он хоть совершеннолетний? Если да, то нанять адвоката и в суд подать с гражданским иском о моральном ущербе (если доказательная база хоть какая-нибудь имеется), а на адвоката сообща скинуться. Взломщика, конечно же, не осудят, но крови попортит такая процедура достаточно много. Тогда и неповадно будет.

[Portos]

На счет суда мы думали, но... это достаточно сложно и не очень реально при нынешней законадательной базе. Но, при этом, надо сказать - существует достаточно много способов наказать человека вполне законным путем не прибегая к суду.
С другой стороны, с теми свидетельствами, которые у нас есть, мы вполне можем подать в суд или заявить в милицию. Так что если все повториться - будем принимать действенные меры.

[Larisa]

Какой ужас! Но самое непонятное, ЗАЧЕМ нужно вредить хорошим и добрым сайтам. Кому они могут мешать? Что же это за извращенное такое развлечение.

[PluSh_KiLLeR]

Я вроде все сказал по этому поводу на ratclub.ru


Знаешь, если человек дурак, то тут бесполезно что либо делать
Если он в Москве, то можешь дать его телефон я ему все обьясню популярно, а вот ламать, да еще и оставлять после себя мусор --- это не профессионально
Не надо быть гением, чтобы скачать шел на срыв стека у апача  с получением рута и затем все снести
Это говорит о его детстве в одном месте
Так что если он любитель крысок, то его надо наказать и наказать хорошо. А если он так просто со стороны, оставте дитё  и фильтруйте трафик.
Если он из Сочи, Краснодара, можете тоже сказать я ему и там смогу все подробно обьяснить.
А движок у Вас хороший - мне очень нравиться - я уже смотрел его  % )

[Spiridonov Aleksey]

-=Часть N=-

Спасибо Вам за ваши мнения. Спасибо за предложенную помощь. Но лучше бы такой помощи вообще не нужно было Мир – он как-то лучше войны

Человек, совершивший взлом, после публикации на форумах данного сообщения написал письмо нашему администратору, в котором сообщил о своей причастности к этому делу и указал способ взлома.
Причины подтолкнувшие его на это как мне показалось были высосаны из пальца (оговорюсь, что это было якобы сделано по "идейным" соображениям). Письмо изобиловало массой противоречий и нестыковок. В принципе все обстоятельства еще не выяснены до конца и один вопросик очень важен, но пока ответа на него нет.
Нам бы не хотелось пока называть имя этого человека, но если он сам захочет публично извинится, то это, наверное, будет правильно.
Другой неприятный момент в том, что хоть и виновный вроде признал свою неправоту, но остановить массу, которую он привел в движение своим неосмотрительным и глупым поступком нам, возможно, будет уже не под силу.

Но как ни грустно признавать - в нынешнее время любая умеренность воспринимается скорее как слабость. Если тебя плюнули в лицо и ты стерпел, то это будет воспринято как слабость. Печально.

Что касаемо оперативности и пр. это скорее не наша заслуга, а глупость вредителя (хотя Алекс Истомин диагностировал все со второй минуты). Я умышленно не привожу подробностей, чтобы не провоцировать на повторение и уж тем более не хочу давать советы взломщикам, как помешать их отследить. Анонимность, конечно нужна, но в некоторых случаях она помогает скрыться плохому человеку. В то же время без анонимности невозможно защитить свою privacy (на русский это можно перевести как личная жизнь).

[Ratsy]

Я согласен с Алексеем, отсутствие действий с нашей стороны было бы расценено как неспособность на оные, поэтому наш ответ был адекватен атаке.

С другой стороны, человек должен быть ответствен за свои поступки, если они выходят за рамки действующего законодательства и правил приличия.

И, самое неприятное, - действия хакера носили явно выраженный личностный характер, я могу понять, когда человек заступается за ближнего и бъет морду наглому хулигану, но незачем размахивать кулаками без разбору, да и вообще, силовые методы решения проблем, наверное, самые спорные...

[Alexandr]

а намекните - это тот, про кого я думаю?

[Lana]

Интересно, Alchi, о ком ты подумал?

[Nail]

Я подозреваю, что у вас у всех мысли сходятся...

[an2an]

Тот кто ломает чужой сайт должен быть морально готов получить за это в любой принятой в данной стране форме. В нашей стране применяются не очень законные, но очень действенные методы воздействия (часто физического), но ведь это ни для кого не новость...

Пару лет назад взломали сайт одной дружественой нам конторы. Взломщиком оказался какой-то 15-летний болван и его быстро вычислили. Потом попросили свою "крышу" съездить и разобраться, но не бить т.к. совсем молодой еще, а только забрать аппаратуру (что бы не баловался больше).

В результате эти тупые уроды завалились в квартиру взломщика и собрали все (даже телевизор и кухонный комбайн), что посчитали "аппаратурой". И набили лицо папе который пытался защитить собственность... Все это добро так и валяется в конторском подвале.

С одной - стороны неувязочка, а с другой - надо знать где живешь и думать заранее. Всегда возможны "перегибы на местах".

[Marusja]

Один мой знакомый, очень сведущий в компьюторах человек, рассказывал об аналогичной ситуации, вот только месть выглядела иначе: злоумышленник, находившийся на другом конце страны, был наказан сожжением процессора (или жесткого диска?), причем сделано это было на расстоянии, через интернет.  Вопрос к специалистам - неужели такое возможно?  

[Oxy]

Возможно:)) еще и не такое, хотя думаю, что скорее всего он был отформатирован или убит, потому как програмно винты вроде не горят... это неисправности в железе должны быть...хотя..... кто знает, что хакеры уже понапридумывали

[Oxy]

Я думаю, мысли у Всех сошлись.. и очччень сомневаюсь, что он будет извинятся, да еще публично...

[Vladimir]

Я думаю, мысли у Всех сошлись.. и очччень сомневаюсь, что он будет извинятся, да еще публично...

Да что там "мысли сошлись", негодяй идентифицирован, назван по имени и вины своей не отрицает. Давить таких "хакеров" нещадно. Если бы к нему были применены "неформальные методы воздействия", я бы это только приветствовал.

[an2an]

злоумышленник, находившийся на другом конце страны, был наказан сожжением процессора (или жесткого диска?), причем сделано это было на расстоянии, через интернет.  Вопрос к специалистам - неужели такое возможно?  

Да, это возможно. Только нужны специалисты по черной магии. Они делают маленькую куклу компутера и тыкают иголками в процессор и жесткий диск.

P.S.
Кстати, почему Вы стесняетесь придать огласке личность этого умельца?

[Spiridonov Aleksey]

Да, а еще можно такой вирус запустить который накидывает провод мышки на шею и начинает душить, душить... А еще который сводит лучи в одну точку и электронная пушка прожигает насквозь люминофор на экране монитора. Ужас... А еще слышал о вирусе который вводит в резонанс головку диска и она разрушается.
В общем, баек хватает. Сейчас вроде только winChih умеет биос запарывать и то это лечится перепрошивкой или заменой биоса..
Ну ладно, хватит об этом... К делу.

Я понимаю, что узнать имя взломщика многим было бы интересно. Мы умышленно не придавали его огласке. Поверьте, мы имели на это причины. В принципе кому интересно - на форуме клуба есть постинг от этого человека в соответствующем разделе.

Разговор о стеснении вряд ли идет - мы же не газета "Московский комсомолец" , чтобы радовать людей жареными фактами. Я так прям и вижу название публикации в МК.

Проблема то изначально была не в осуществлении наказания или воздействия, а о его выборе. Поверьте, возможностей хватает (люди, которые состоят в клубе принадлежат к разным социальным слоям и профессиям). Причем, криминальная "крыша" не используется.

Что касается наказаний, то по опыту той конторы, где я сейчас работаю - там человек за взлом был просто посажен, хотя на дворе был лохматый 1996 год и он находился в городе владике!!! А сейчас все изменилось гораздо в более худшую сторону для взломщиков.

Тем более - зачем кого-то наказывать ответным взломом, пусть и его компа. Если за взлом человека вполне легально можно отключить от сети пожизненно. Совсем плохо если человек подключен через какую-нибудь домашнюю сеть, а не диал-ап. Админы сетей очень оперативно реагируют на такие случае - потому что они понимают что завтра они могут оказаться в подобной ситуации.

В принципе на нынешний момент вопрос закрыт. Всем, поучаствовавшим в обсуждении - большое спасибо.
Жизнь продолжается.

[an2an]

Мне совсем не интересны поспортные данные взломщика. Под фразой "личность этого умельца" я имел ввиду словесный портрет типа: "Школьник 13 лет, рукосуй и т.д." и конечно хотелось услышать причины по которым он это сделал.

Это, как оказалось опубликовано на сайте РДК http://www.ratclub.ru/cgi/ikon/ikonboard.cgi?s=3e8d4764586effff;act=ST;f=3;t=19;
st=0

Не ясно одно, если дела РДК тут ни кому не интересны, то зачем было заводить это тему? А если интересны, то почему не донести всю информацию до народа? Очень странно читать фразы типа: "а намекните - это тот, про кого я думаю?" или: "Я думаю, мысли у Всех сошлись..."

[Alexandr]

>Сейчас вроде только winChih умеет биос запарывать

неверно.
современное оборудование испортить сравнительно несложно. Те же винты, например - достаточно стереть сервоинформацию, содержащуюся во флеше или тем паче на блинах в служебной области и винт зачастую восстановлению не подлежит. Такое характерно было для некоторых моделей винтов Фуджитсу.