Мой блог подвергся атаке «хакера» и был взломан

Мой блог подвергся атаке «хакера» и был взломан
Вот такие вот новости.
Мой блог на протяжении 2-х дней подвергался атаке неизвестного хакера и был взломан!

С ростом посещаемости блога, растёт и его популярность, но как выяснилось буквально вчера, такая тенденция имеет не всегда положительный эффект, а так же привлекает внимание различного рода конкурентов и мошенников.

За последние несколько месяцев мне стало приходить всё больше и больше писем от разных посетителей блога. Одни просят ответить на некоторые вопросы, другие интересуются  размещением рекламы на блоге, а так же среди них уже есть и те, кто выдвигал свои предложения с целью покупки моего блога. Кто его знает, может взлом моего блога, это как раз таки последствия такого отказа?

Не знаю совпадение это или что-то ещё, но, в общем, так или иначе, 21-го марта мой блог подвергся атаке со стороны неизвестного хакера и был взломан.

Причинённый ущерб оказался не существенным, однако, получив доступ к «админке» злоумышленник оттуда запросто мог устроить нехилый погром, и я надеюсь, что его действия не были на это направлены, а носили чисто спортивный интерес.

А вообще, весь процесс взлома оказался весьма интересным. С одной стороны он был автоматическим, с другой стороны, то, что я увидел в логах веб сервера, говорило об обратном.

В общем, я прикинул что да как, и решил поделиться скажем так хронологией взлома моего блога, вдруг эта информация поможет кому-то избежать лишней головной боли, а может даже позволить усовершенствовать свои проекты.

Хронология взлома моего блога


Все действия злоумышленника производились с одного и того же IP адреса:

77.87.207.28

Посетитель:

Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)

Данный посетитель «хацкер» пришёл на мой блог 21 марта 2015 года в 02:04:21 из поисковой системы Google. Страницей входа была статья – «Заработок на кликах», которая в данный момент находится в поиске на 14 позиции.

С этой же секунды на сервер моего блога обрушился поток случайных запросов с параллельным сканированием всех его страниц и попытками выполнения каких-то непонятных мне скриптов.

Одним из самых первых запрошенных файлов, был файл robots.txt – доступ к нему был получен в  02:04:46.
Не знаю что это такое, но в логах веб сервера частенько проскакивал вот такой запрос:

echo -e "Content-Type: text/plain\\n";
echo -e "\\0141\\0143\\0165\\0156\\0145\\0164\\0151\\0170\\0163
\\0150\\0145\\0154\\0154\\0163\\0150\\0157\\0143\\0153"


Сразу после этого запроса началось сканирование всех папок моего блога. Доступ к папкам я ограничил ещё во время создания блога, поэтому тут злоумышленник сразу получил вот такое сообщение:

Directory index forbidden


В 10 минут третьего в адресную строку начали подставляться всевозможные запросы и какие-то непонятные мне функции. Ниже прилагаю скриншот с небольшим кусочком таких запросов (кликабельно).


Буквально через несколько минут автоматические запросы, которые до этого момента проскакивали по несколько штук в секунду, прекратились, и теперь, по логам уже видно, что хакер, атаковавший мой сайт начал подбирать пути вручную.

Одним из его первых запросов с целью получить доступ к моей админке был 10kilogramm.ru/wp-admin. Уверен, те, кто используют WordPress в качестве системы управления сайтом (CMS) уже догадываются, куда ведёт такая страница.

После нескольких (10-20) неудачных попыток на мой сервер снова обрушился шквал запросов, которые теперь уже были направлены на поиск исполняющих файлов админ-панели блога.

Все запросы шли в алфавитном порядке. В списке этих запросов были собраны все самые популярные, логичные и часто используемые адреса страниц.

Например, такие как:

  • access
  • admin
  • administrator
  • author
  • backup
  • cdn
  • cgi
  • cgi-bin
  • data
  • edit
  • control
  • panel
  • themes
  • wp-content
  • и т.д.

Учитывая, что количество запросов было просто огромным, предполагаю, что база этих адресов составлялась не один день и вероятно даже не одним человеком.

Автоматический подбор адресов продлился до 02:28. К этому времени хакер узнал о существовании одной из страниц в моей админ панели, и дальнейший подбор был остановлен на букве E – т.е. практически в самом начале (A-B-C-D-E…).

Страница, о существовании которой он узнал, отдавала на его запросы другой код ответа 401="Unauthorized" - требуется авторизация, в тот момент, когда несуществующие страницы отдавали код – 302.

Подбор пароляПо сути, с помощью своего подбора он узнал о существовании какой-то страницы, и теперь – в промежутке вплоть до 04:20 все действия хакера были направлены на подбор комбинации логина и пароля.

Поразительно, пусть мой пароль на тот момент и не был таким уж сложным, мне все равно очень неприятно, что его удалось взломать всего за 2 часа.

На данный момент все действия со стороны злоумышленника происходили полностью в ручном режиме. Он ответственно подошёл к своему делу – предположительно он посетил мою страничку в социальных сетях (с этого же IP адреса был переход из «ВК»), собрал поверхностную информацию и начал подбирать пароли.

Таким образом, злоумышленнику удалось получить частичный доступ к моему блогу, но что же он будет делать дальше?

Через 8 минут после взлома, в 04:28 на мой блог была добавлена новая, почти пустая статья с заголовком – test и адресом страницы vbvb.php. Сразу после добавления начались проверки на доступность данной страницы и последующим редактированием содержимого.

Не знаю почему, но особое внимание хакер уделял моей цели на 2015 год. Уже после взлома, эта заметка неоднократно открывалась для редактирования из админ панели моего блога.

Пока я спокойно себе спал и ничего не подозревал, хакер ползал по моему сайту аж до 8 часов утра и его последние действия были записаны в 08:05:32, после чего, по всей видимости, он тоже пошёл спать.

Я проснулся в районе 10 часов, сразу заподозрил неладное, «одел белую шапку» и принялся устранять повреждения. В целом, что бы вернуть всё на круги своя, мне достаточно было сделать backup сайта, благо процедура не хитрая и занимает всего несколько минут, после чего я принялся анализировать действия злоумышленника, что бы найти уязвимые места в конструкции "своего детища".

Благодаря атаке хакера я смог понять логику его действий, а проанализировав весь процесс взлома, я сделал некоторые заметки по безопасности в пользу создания своих будущих проектов.

Нет, на этом всё не закончилось.
Когда «ацкий хацкер» выспался, он снова принялся ломать мой блог, но к этому моменту я уже внёс ряд изменений в конфигурацию своего сайта, изменил все пароли и перестраховался на уровне сервера. Попытки повторного взлома продолжались до 00:01:15 22-го марта.

Как говорится, что нас не убивает – делает сильнее, и я надеюсь, что эта не первая атака, которую мне удалось предотвратить. Конечно, я не могу похвастаться совершенной защитой, и уверен, что лазейку всегда можно где-нибудь найти - главное сильно захотеть и постараться.

Уже совсем скоро я планирую поделиться некоторыми соображениями по поводу улучшения безопасности своих сайтов, а что до наказания злоумышленников, так тут совсем другая история.

Обращение в МВД


Обращайтесь в МВД и другие правоохранительные органы!

Обращение в МВД

Такой ответ я получил от представителя компании "UCA Networks" - интернет-провайдера, которому принадлежит IP адрес атакующего меня хакера.

Зная IP адрес злоумышленника, мне без труда удалось вытащить общедоступную информацию по его местоположению.

  • Хост: nat-28.ucanet.ru
  • Город: Москва
  • Страна: Russian Federation
  • IP диапазон: 77.87.200.0 - 77.87.207.255
  • Название провайдера: Fastnet LLC

Далее, в принципе, всё дело в правоохранительных органах.

Зная IP адрес хакера и время его посещения, с помощью элементарного запроса из МВД можно узнать, кому именно из клиентов данного интернет провайдера принадлежит этот адрес, а дальше уже дело техники.

Как говорится, нет ничего невозможного.

При желании взломать можно кого угодно - даже аккаунт Папы Римского. Однако стоит понимать, что при таком же желании, можно найти зачинщика беспорядков и привлечь к его ответственности.

В общем, друзья, мой блог был взломан – последствия уже устранены, теперь я снова в строю и надеюсь, что такое больше не повториться.

Похожие материалы:

23.03.2015
Комментарии
Аноним
2016-08-25 в 05:31
Почему хакеры атаковали самый популярный в России блогосервис? Для тех кто имеет аккаунт на одноклассниках будьте внимательнее сайт подвергся хакерской атаке.
7 to 7 or 999 to 99 hope
06.04.2015 в 03:02
Уважаемый одмин сайта: ты не найдешь этого хокира по двум причинам:
- первая: он ломанул вифи.
- вторая: даже если и МВД согласится взять заявление, то поверь мне в IB GROUP никто не станет нести это дело, поскольку и хокир и твой сайт - школота.
Никита [10kilogramm]
27.03.2015 в 16:26
Андрей, спасибо за совет. С бэкапами у меня всё в порядке - ежедневно, сохраняются все базы данных и все файлы моего аккаунта. Восстановление полностью автоматическое и занимает не более 5 минут, так что никаких серьёзных проблем быть не должно.

Более того, я сам время от времени полностью выкачиваю свой блог и храню его копию на локальном компьютере.
Андрей
27.03.2015 в 12:24
Никита, делайте бекап сайта каждый день! У меня был хостер, который автоматически каждую неделю делал бекап, не знаю как у вас, но делайте Бекап и всё будет хорошо, а то кто-нибудь взломает и удалит всё к чертям и уже не до шуток будет.
Никита [10kilogramm]
23.03.2015 в 21:06
Злой мега хакер, как я уже написал в письме - никакого резонанса нет, просто неприятно. Ну и вдруг, ситуация в которой я побывал, будет для кого-то интересной и может быть даже полезной.

Понятие хакер куда более распространённое, нежели пентестер, поэтому я именно его и использовал.

Вышел на связь. Давай пообщаемся.
Злой мега хакер
23.03.2015 в 19:57
И так: всем привет. Честно говоря не думал что такой резонанс будет. Ах, да. Простите , я не представился , я тот кого вы называйте злобных хакером, ацером итд. Дмитрий, сразу по поводу возроста, я поясню всё дальше , однако могу сказать возрост не играет ни какой роли в жизьни человека.Развитие , вот что важно.
И так , Никита сразу к делу. Я тот кто получил доступ к твоей админ панели. По поводу безопасности , хм.. У нас будет долгий разговор, поэтому предлагаю перейти в ПМ. И сразу отвечу на популярные вопросы, почему не юзал тор, прокси, соксы, дедики , да потому что то что я сделал не приследуется по закону. Об этом тоже В личке обсудем, не общий показ. так что жду ********@inbox.ru. Почему тебе не плохо выйти на связь тет-на-тет . Потому что ты хочешь бог, свой блог. Ибо если кто-то может исполнить свой код на твойм сайте - это уже не твой сайт. Мне, ну мне тут очевидно , и даже в век вай вая и его доступности всё таки велек доля вычесления, а это единственный провайдер в моём районе. Как видешь Оба останемся довольны. И ещё, после порочтение данного сообщение удали его , не хочу флуд разводить.
п.с Хакер, это громко сказанно , я бы предпочёл пентестер, эбо этика.
Никита [10kilogramm]
23.03.2015 в 18:49
Дмитрий, пока работаю над улучшением блога, но если этот человек не остановится, написать заявление не составит большого труда.
Дмитрий
23.03.2015 в 17:17
На самом деле странный хакер, работал через свой ip, а не через дедик. Сам спалился (rofl) . Мне кажется этому "хацкеру" не много лет)
А наказывать этого человека собираетесь или просто улучшите блог?
Оставить комментарий





Автор блога
Алексеенко Никита - автор блога
Алексеенко Никита
Возраст: 29 лет Деятельность: Блогер, программист, повар, фотограф, трейдер Интересы: Спорт, музыка, путешествия
Читать подробное досье
Обмен денег в Интернете Обмены по самому выгодному курсу с минимальной комиссией. bestchange.ru
Хостинг для сайта Надёжный и недорогой хостинг, для Вашего сайта или блога. hostland.ru
Чеки от Google AdSense Рекомендую обналичивать именно здесь. Быстро и удобно. epayservices.com
Форум трейдеров MT5 Здесь платят за каждое сообщение до 30 рублей. mt5.com
Надёжный форекс брокер Торгую и зарабатываю на InstaForex уже более 5 лет. instaforex.com
Заработок на кликах Самый лёгкий способ. Заработай свои первые деньги в интернете. seosprint.net
Яндекс.Метрика