Comments 117
Детектив со стрельбой и погонями.
«Ограбление по.....».
И сейчас все дружно пойдут смотреть предмет тяжб.
Сайт не упадёт?
«Ограбление по.....».
И сейчас все дружно пойдут смотреть предмет тяжб.
Сайт не упадёт?
Судя по логам Mail.ru, вор контролировал почту, периодически читал письма в папке «Спам», затем их удалял. Подключения осуществлялись с IP-адресов польского мобильного оператора.
Великолепно. Забыл как-то отключить VPN и потом неделю мудохался с поддержкой, доказывая, что почту не взломали и её нужно разблокировать. А тут заходи с польского IP (параллельно с реальным владельцем), делай что хочешь…
Что-то не то у mail.ru с подходом к защите.
У меня постоянно мэйл почту ломают, я не имею понятия как и откуда. Стоит Eset SS. Все правила просматриваю перед добавлением.
Пользуюсь мэйлом только для одноразовых регистраций и тестов, так что не парюсь.
Но просто как-то заходят, даже если меняю пароль через неделю входы.
Только 2-х факторная авторизация помогла, просто надоело.
Пользуюсь мэйлом только для одноразовых регистраций и тестов, так что не парюсь.
Но просто как-то заходят, даже если меняю пароль через неделю входы.
Только 2-х факторная авторизация помогла, просто надоело.
С рамблер почтой тоже самое. У меня стим аккаунт пытались украсть. Сменил пароль одновременно на рамблере и стиме после инцидента, буквально через три дня опять вход в стим.
Есть подозрение, что у хакерствующих подлецов есть доступ к базе, что они имеют хэш и пароль соответственно могут в оффлайне подбирать.
Почти одновременно с этим вход в микрософт live account, который к этой рамблер почте привязан, но я пользуюсь другим, тот создавал давно, не помню зачем, поэтому пох.
Поменял еще раз, сделал разные пароли на рамблер и стим, пока какое то время ничего нет.
Нет у меня памяти чтоб помнить тучу разных паролей, поэтому многие мои аккаунты имеют одни и те же пароли. Всего несколько разных у меня.
Есть подозрение, что у хакерствующих подлецов есть доступ к базе, что они имеют хэш и пароль соответственно могут в оффлайне подбирать.
Почти одновременно с этим вход в микрософт live account, который к этой рамблер почте привязан, но я пользуюсь другим, тот создавал давно, не помню зачем, поэтому пох.
Поменял еще раз, сделал разные пароли на рамблер и стим, пока какое то время ничего нет.
Нет у меня памяти чтоб помнить тучу разных паролей, поэтому многие мои аккаунты имеют одни и те же пароли. Всего несколько разных у меня.
UFO just landed and posted this here
Пароль от админки регистратора хранился в браузере FF под защитой мастер пароля (6 символов), а пароль от почты можно было взять в почтовом клиенте Thunderbird.
При наличии данной защиты не сильно помогло.
Хотя если имеете ввиду иные менеджеры, то… в общем индивидуально это все и пароли лучше все таки запоминать. Лет 10 назад тоже было сложно помнить 4-5 паролей, сейчас помню около десятка паролей + парочку ключей на Виндовую лицензию ))) Неактуальные ключи весьма не плохи в качестве пароля.
UFO just landed and posted this here
Коллеги, а вы случаем не на винде без обновлений сидите?
Вы всё еще кушаете кактус?) У меня mail.ru стал просить телефон как-то после поездки в другой город с ноутбуком, залогиненным в почту, якобы для пущей безопасности, 2FA, ага. В почту не давал войти. На том и распрощались.
Ради терабайта в облаке.
Да они так-то правильно делают. Судя по тому, сколько у них орущих везде в комментариях людей, потерявших доступ к почте. В таких ситуациях нужен второй фактор. Для одной не очень нужной почты я просто добавил резервный адрес почты и никаких проблем :)
Ага, я включил двухфакторную авторизацию и Gmail не мог собрать почту (mail.ru требовал вход через браузер). Отключил — сразу научился.
В итоге плюнул — все самое важное уже давно перенес на gmail. mail.ru как история того, чего делать не надо)
В итоге плюнул — все самое важное уже давно перенес на gmail. mail.ru как история того, чего делать не надо)
Точкой взлома в домашней сети стал роутер, его прошивка содержала критическую уязвимость, позволяющую выполнять любые команды извне, в том числе включить telnet, что и было сделано.
Специалистом в области ИБ не являюсь и вероятно потому возникает вопрос, как такое вообще возможно, нет ли вины провайдера?
Нет, это вина производителя роутера. Вот схожая уязвимость в устройствах Netgear:
А вот D-Link:
Обнаруженная уязвимость допускает удалённое выполнение команды на маршрутизаторе, если пользователь откроет в браузере веб-страницу с вредоносного сайта или с нормального сайта, вместе с которой загрузится вредоносный рекламный баннер через AdSense или любую другую рекламную сеть. По локальной сети можно инициировать удалённое выполнение команды простым запросом к маршрутизатору.
А вот D-Link:
В прошивке беспроводных маршрутизаторов D-Link обнаружена критическая уязвимость, позволяющая инициировать выполнение на устройстве произвольной shell-команды через отправку специально оформленного HTTP-запроса, без прохождения аутентификации.
А я всё равно не понимаю, как даже получение полного контроля над роутером может помочь в краже пароля от почты. Подскажите, пожалуйста.
В статье же написано. К роутеру были подключены несколько ПК. Злоумышленник получил возможность взломать один из них. Настроил проброс портов. Тем самым, если очень упрощенно, компьтер стал «светить» портами в Интернет. Видимо, не были установлены обновления безопасности и удалось его «взломать» (например, был открыт нужный порт и не установлена заплатка).
То есть, роутер выступил в качестве точки проникновения в локальную сеть.
То есть, роутер выступил в качестве точки проникновения в локальную сеть.
UFO just landed and posted this here
Например, можно переназначить адреса почтового сервера на свои.
А и не надо, если везде один акк файрфокса (он через своё облако синхронизирует сохранённые пароли между компами)
Мы не знаем, что было на взломанном компьютере. Возможно, с него автор тоже работал, там остались логины-пароли.
Гадать через интернеты трудновато.
Гадать через интернеты трудновато.
Вины провайдера нет, т.к. он предоставляет доступ к ресурсам интернета и не несёт ответственности за сохранность данных на ваших устройствах.
А если бы роутер был от провайдера?
Если вы хотите углубиться в данную тему. То конечно же в идеализированном мире все определяется договорными отношениями. Если вы при заключении договора с провайдером пропишите соответствующую строчку по типу «Провайдер возмещает в полной мере ущерб причиненный от взлома устройств подключенных по каналу связи провайдера и/или при использовании оборудования и провайдер его со своей стороны подпишет. То при возникновении подобной ситуации вы сможете на что-то рассчитывать. Останется только доказать что взлом произошел именно по этому каналу. По факту ни один провайдер не пойдет на подписание такого договора
Интереснее что за роутер такой?
D-Link DIR-615
Руководства к действию не нашел
Ну, теперь есть и очень даже подробное. Спасибо за статью!
Думал, такое только в кино бывает. Спасибо за отличную статью.
Вопрос: если не секрет, сколько всего по финансам вышел возврат домена? Включая все "комиссии" и вознаграждения.
Интересная история, особенно про метод взлома интересно. Однако же замечание: Роскомнадзор вполне имеет право блокировать сайты без судебного решения.
Вспомнил такую же остросюжетную статью на Хабре, как человек онлайн приобрёл за границей 3D принтер и открыл для себя дивный мир Российской таможни.
а можно ссылочку?
Скорее всего, речь идет об этой статье
geektimes.ru/post/205038 видимо статья была раньше на хабре.
А как вы доказывали факт первоначальной регистрации домена? Чисто теоретически, что было бы, если бы воришка удалил все входящие в ящике?
UFO just landed and posted this here
UFO just landed and posted this here
Мне вот непонятно, что делать когда виноват в том что данные украли совсем не ты?
habrahabr.ru/post/210718
Для подобных случаев лично мне бы хотелось специальных договоров с провайдерами и хостерами, чтобы в них оговаривались все варианты при которых мне могут восстановить «утерянный» доступ.
И желательно логин не по паролю а по pgp ключу.
habrahabr.ru/post/210718
Для подобных случаев лично мне бы хотелось специальных договоров с провайдерами и хостерами, чтобы в них оговаривались все варианты при которых мне могут восстановить «утерянный» доступ.
И желательно логин не по паролю а по pgp ключу.
«Как обезопаситься от кражи домена»
забыли добавить, иметь дома роутер без дыр и хорошей репутацией. Все вроде с него и началось.
забыли добавить, иметь дома роутер без дыр и хорошей репутацией. Все вроде с него и началось.
Зачем у вас разрешён входящий порт 80 на роутере из внешнего мира?
Известно ли, как был взломан комп с Win 7?
Известно ли, как был взломан комп с Win 7?
Я не специалист в области ИБ. 80 порт не был включен. Как был взломан компьютер не знаю, следов взлома не обнаружил, лишь исключения для этого ПК в настройках роутера.
Извиняюсь, неправильно понял — увидел выше в комментах ссылку на уязвимость D-Link-ов при обработке входящих HTTP запросов, подумал что роутер через неё взломали.
Тогда я бы не был так уверен, что сначала взломали роутер, а потом win7. Взлом мог начаться с компа с win7, после этого доступ к роутеру дело техники. Для взлома роутера должно сойтись много условий: у вас должен быть внешний IP, злоумышленник должен его узнать (не очень тривиальная задача, если ваш IP неизвестен широкой общественности), на роутере должен быть вами ДО взлома открыт хоть какой-то порт во внешний мир, а в протоколе, ходящем по этому порту, у роутера должна быть уязвимость. В общем я бы не сбрасывал со счетов банальное хватание вируса на семёрке.
Тогда я бы не был так уверен, что сначала взломали роутер, а потом win7. Взлом мог начаться с компа с win7, после этого доступ к роутеру дело техники. Для взлома роутера должно сойтись много условий: у вас должен быть внешний IP, злоумышленник должен его узнать (не очень тривиальная задача, если ваш IP неизвестен широкой общественности), на роутере должен быть вами ДО взлома открыт хоть какой-то порт во внешний мир, а в протоколе, ходящем по этому порту, у роутера должна быть уязвимость. В общем я бы не сбрасывал со счетов банальное хватание вируса на семёрке.
UFO just landed and posted this here
Через нее и взломали. Есть такой вид уязвимостей — CSRF. Вам присылают ссылку, или подсовывают картинку в рекламном баннере, или как написано выше размещают картинку на форуме — а там редирект на уязвимую страницу в роутере. В итоге ваш браузер делает от вашего имени запрос к роутеру.
Порт во внешний мир не нужен, достаточно смотрящего внутрь.
Порт во внешний мир не нужен, достаточно смотрящего внутрь.
Класс! спасибо за материал. Пошел менять пароли и включать двухфакторку.
Сергей, отличная статья, с вами приятно было работать.
Я и не знал, что такие мытарства проходят люди, прежде чем обратиться за помощью в WIPO.
Буду ее показывать колеблющимся )
Я и не знал, что такие мытарства проходят люди, прежде чем обратиться за помощью в WIPO.
Буду ее показывать колеблющимся )
Я так понимаю, вы тот самый Евгений из статьи, верно?
Не думали написать статью какую-то о том, как все эти процедуры проходят с вашей стороны?
Ну или хотя бы в комментарии рассказать?
Меня не пропускают через песочницу. Пишут, что реклама ) Думаете сюда статью вставить? )
Попробуйте без рекламы)
Но, думаю, тема очень интересная.
Можно кому-то показать, чтобы сказали где реклама? ) А то вырезал все, что мог, но все равно не вышло ))
послал приглашение, пишите пожалуйста. очень интересно почитать про процедуры WIPO
Спасибо! Текст готов, завтра размещу
Опубликовали habrahabr.ru/post/346906
Про WIPO как-то мало расказано. Из чего состоял иск? Какие приводились доказательства? И вообще что это за штука, которая имеет такие полномочия?
Как Вы думаете, в чём состоял интерес взломщика? Заражать компьютеры посетителей Вашего сайта? Или Вы на этом сайте что-то продавали и были финансовые потоки?
Я конечно не автор, но, как я понял, трафик на сайте был — соответственно, можно и рекламу размещать (он пробовал), и сайт продать попробовать (тоже пробовал). Ну и гадостью заразить тоже, если предыдущие варианты не дадут существенного дохода.
UPD: а еще мог дорвеев там нагенерировать — сайт возрастной, явно имеет «вес» в глазах поисковиков, могло что-то выгореть и с этого.
UPD: а еще мог дорвеев там нагенерировать — сайт возрастной, явно имеет «вес» в глазах поисковиков, могло что-то выгореть и с этого.
Пардон. Мой вопрос не на тот уровень попал. Мой вопрос был к автору. Может он тоже выскажется?
Про Ваши соображения. Первые два мне представляются сомнительными. Мне кажется так много денег не заработаешь. Хотя я и не имею точных цифр.
Знает кто-нибудь, сколько может подобный сайт заработать на рекламе?
Вариант с рекламой также потому сомнительный, что вредитель засветится в контракте с рекламодателем.
Про Ваши соображения. Первые два мне представляются сомнительными. Мне кажется так много денег не заработаешь. Хотя я и не имею точных цифр.
Знает кто-нибудь, сколько может подобный сайт заработать на рекламе?
Вариант с рекламой также потому сомнительный, что вредитель засветится в контракте с рекламодателем.
Может зарабатывать и зарабатывает не всегда одно и тоже. Вор получил сайт с посещаемостью более 10000 человек в сутки, обвешал его рекламой Adsense и Я.Директ. Аппетиты увеличивались постепенно, в итоге баннеров было столько, что они занимали весь первый экран, и не только. С прямой рекламой вор дел не имел, хотя долгое время не снимал размещенные мной баннеры от прямых рекламодателей, тем самым показывая потенциальным покупателям сайта, что ресурс интересен не только рекламным сетям.
Во первых, спасибо за интересную статью.
А во вторых, если не трудно, поясните, как можно получать за показываемые баннеры деньги не раскрыв свой идентитет? Иногда рассказывают о цепочках фиктивных фирм, про поиск добровольцев получать деньги через Western Union.
Но это уже всё серьёзные масштабы.
Возможно вор надеялся Вас пошантажировать и вернуть своё за деньги?
А во вторых, если не трудно, поясните, как можно получать за показываемые баннеры деньги не раскрыв свой идентитет? Иногда рассказывают о цепочках фиктивных фирм, про поиск добровольцев получать деньги через Western Union.
Но это уже всё серьёзные масштабы.
Возможно вор надеялся Вас пошантажировать и вернуть своё за деньги?
Ничего себе история. Прочитал полностью! Серьезный жизненный опыт получен.
Я вибрировал от чтива, спасибо автору.
internet.bs — один из самых абузостойких регистраторов. Это известный факт.
PS: не являюсь веб-мастером, но мои клиенты, сеошники бывало попадали с ним.
Этот регистратор занимается самоуправством в отношении доменов своих клиентов.
PS: не являюсь веб-мастером, но мои клиенты, сеошники бывало попадали с ним.
Этот регистратор занимается самоуправством в отношении доменов своих клиентов.
Дорогое удовольствие заявку написать в WIPO, видимо, только если домен очень нужен.
Именно поэтому я никогда не пользовался r01 и подобными и никому не рекомендовал, а все домены которые были там зарегистрированы знакомыми или клиентами всегда переводил на другого регистратора.
Мой основной регистратор это nic.ru, там так домен не украсть, даже имея доступ к почте владельца домена или даже к аккаунту nic.ru владельца, домен не украсть… :)
Мой основной регистратор это nic.ru, там так домен не украсть, даже имея доступ к почте владельца домена или даже к аккаунту nic.ru владельца, домен не украсть… :)
Претензий к R01 у меня нет, они делали все возможное чтобы помочь мне. На момент регистрации домена R01 работал как реселлер PublicDomainRegistry, после сам получил аккредитацию. Кстати, R01 входит в одну группу компаний с Nic.ru. Огорчает, что в R01 нет двухфакторной авторизации, впрочем как и у большинства регистраторов.
Спасибо за статью! Удачи автору!
Кастрировать сразу, а потом долго пытать людей, которые занимаются такими мерзкими делами! Жалко что не поймали его. Очень часто такого рода люди остаются безнаказанными
А Вы не пробовали сложить все затраченные деньги и предъявить это всё в hts.ru? Насколько я понял в случившемся как минимум половина вины лежит на них, ведь по их вине у злоумышленника оказалась БД и код, т.е. фактически копия проекта.
Скажите, если бы у Вас украли только домен и Вы бы запустили проект на новом, стали бы вы судиться и тратить столько денег, для возврата старого домена?
Скажите, если бы у Вас украли только домен и Вы бы запустили проект на новом, стали бы вы судиться и тратить столько денег, для возврата старого домена?
После явной халатности хостера удивляет, что вы всё ещё у них.
Также сбросьте всем пользователям пароль — копия базы могла у злоумышленника ещё остаться и кто знает как там эти пароли хранятся.
Также сбросьте всем пользователям пароль — копия базы могла у злоумышленника ещё остаться и кто знает как там эти пароли хранятся.
Ооо да у вас тут группа лиц работала. Вор украл, мошенник перевел. Ужас какой.
По некоторым следам можно найти контакты злоумышленника. А на популярном сео-форуме есть тема, где отписалось несколько человек, пострадавших от его аналогичных действий.
Я тоже провел свое расследование. Нашел информацию в истории whois одного из доменов с таким же ящиком как у вора и украинским тел. номером.
В декабре со мной связался еще один бывший владелец домена, на страницах украденного у него сайта вор установил Adsense с тем же идентификатором, что и на моем сайте. Дмитрий, так зовут пострадавшего недавно писал о своей истории на Хабре, в его случае вор передал домен на другой аккаунт reg.ru. Под давлением регистратора Дмитрий снял статью с публикации.
В декабре со мной связался еще один бывший владелец домена, на страницах украденного у него сайта вор установил Adsense с тем же идентификатором, что и на моем сайте. Дмитрий, так зовут пострадавшего недавно писал о своей истории на Хабре, в его случае вор передал домен на другой аккаунт reg.ru. Под давлением регистратора Дмитрий снял статью с публикации.
UFO just landed and posted this here
Было бы интересно почитать про давление от регистратора. Статью все еще можно увидеть тут: https://sohabr.net/habr/post/343786/
Хотел подзабить в этом году на WhoisGuard. После прочтения одумался. Спасибо!
Обиднее всего, что вор остался ненаказанным.
Ну а как же, все шумят и недовольны, когда правоохранительные органы обращают внимание на интернет, говорят — сами разберёмся лучше. Вот они и не обращают по возможности. Если бы было полноценное регулирование и заметная практика ведения дел по причинам нарушений в интернете, думаю автора бы так не отослали из полиции.
Все шумят и недовольны не тогда, когда государство обращает внимание на интернет, а когда оно туда лезет гремя шваброй и ломом, не понимая как все работает.
В данном виде действительно сами разобрались лучше, ибо правоохранительные органы по сути в этой статье даже в терминологии не особо разбирались.
В данном виде действительно сами разобрались лучше, ибо правоохранительные органы по сути в этой статье даже в терминологии не особо разбирались.
Я вот удивляюсь насколько иногда в людях деструктивное преобладает над конструктивным. Это же сколько сил потратил вор! Получить доступ через сетевую уязвимость к ноуту, вытащить нужные пароли, подделать паспорт, перенести хостинг, домен, изображать из себя админа, модерировать форум, настраивать спам-фильтры и ежедневно банить, прикидываться росокомнадзором, создать фишинговые сайты, почты и в конце тайно продавать проект. И для чего?! Чтобы в итоге всё равно привести форум к запустению! Сомневаюсь что полученная прибыль окупила такие старания. Его бы мучения да в нужное русло! Профит был бы в разы больше.
P.S. Отдельно повеселило как вы прозвали злоумышленника — «воришка». Снисходительно, по-детски мило! Я бы думаю дал ему кличку из тех, что здесь писать не принято. Есть чему у вас поучиться. Спасибо за статью.
P.S. Отдельно повеселило как вы прозвали злоумышленника — «воришка». Снисходительно, по-детски мило! Я бы думаю дал ему кличку из тех, что здесь писать не принято. Есть чему у вас поучиться. Спасибо за статью.
Чувак, ты же наверняка это читаешь. Будь добр, выйди из тени — расскажи нам так же обстоятельно, как и твоя жертва, о том, как ты всё это провернул, сколько с этого в итоге поимел, кто ещё пострадал так же, как и автор, и, что самое главное, почему у нас такое до сих пор продолжается и будет продолжаться впредь, несмотря на все способы защиты, которые нам рекламируют и продают как панацею.
Можешь без имён, явок и паролей. Один хрен ты останешься абсолютным анонимом, а мы хотя бы одну подобную историю, наконец, непосредственно из первых уст двух противоборствующих сторон послушаем.
Можешь без имён, явок и паролей. Один хрен ты останешься абсолютным анонимом, а мы хотя бы одну подобную историю, наконец, непосредственно из первых уст двух противоборствующих сторон послушаем.
И это столько суеты со стороны вора ради сайта? Зачем?
интересно сколько стоит такой сайт 10к в сутки, сколько пассивно приносит, сколько расходы и какие они.
UFO just landed and posted this here
Наша полиция в плане киберпреступности крайне бесполезна. Если что-то украли, то можно забить — пошевелят бумажками, почешут задницы, и напишут «сорян, не могём» или «не интересно, сам виноват дурак». Хорошо ещё если не обсмеют или не скажут в дурку обратиться, хамло совковое…
Даже если дашь им IP, место, имя — они просто ЛЕНЯТСЯ что-то предпринимать.
Даже если дашь им IP, место, имя — они просто ЛЕНЯТСЯ что-то предпринимать.
Спасибо за статью. Сменил пароль на reg.ru и добавил авторизацию через sms.
Ребята Всем Добрый день! Первый раз здесь! Но решил написать у меня хакер украл домен .com вот думаю может Вы чем нибудь сможете помочь! скорей всего взлом был через mail.ru ах да домен на хостинге reg.ru
Как по мне, вся божественная феерия с паролями начинается с «мне трудно запомнить». Будучи всю жизнь параноиком, один раз на всю жизнь придумал себе 64-значный пароль с разнообразными вариациями. Больше 10 лет использую его под разнообразные учётки, и ни разу не подвергался взлому. Правда, один раз в стиме не была подтверждена почта, и какой-то умелец пытался зайти, с тех пор везде, где можно — двухфакторная аутентификация. Да, неудобно, и всё такое, но факт говорит за себя. Правда, один раз узнав его, прощай всё, что я так ценю и люблю, но, как говорили великие — «электрик ошибается один раз».
Sign up to leave a comment.
Как я возвращал украденный домен популярного сайта