Вот такие вот новости.
Мой блог на протяжении 2-х дней подвергался атаке неизвестного хакера и был взломан!
С ростом посещаемости блога, растёт и его популярность, но как выяснилось буквально вчера, такая тенденция имеет не всегда положительный эффект, а так же привлекает внимание различного рода конкурентов и мошенников.
За последние несколько месяцев мне стало приходить всё больше и больше писем от разных посетителей блога. Одни просят ответить на некоторые вопросы, другие интересуются размещением рекламы на блоге, а так же среди них уже есть и те, кто выдвигал свои предложения с целью покупки моего блога. Кто его знает, может взлом моего блога, это как раз таки последствия такого отказа?
Не знаю совпадение это или что-то ещё, но, в общем, так или иначе,
21-го марта мой блог подвергся атаке со стороны неизвестного хакера и был взломан.
Причинённый ущерб оказался не существенным, однако, получив доступ к «админке» злоумышленник оттуда запросто мог устроить нехилый погром, и я надеюсь, что его действия не были на это направлены, а носили чисто спортивный интерес.
А вообще, весь процесс взлома оказался весьма интересным. С одной стороны он был автоматическим, с другой стороны, то, что я увидел в логах веб сервера, говорило об обратном.
В общем, я прикинул что да как, и решил поделиться скажем так хронологией взлома моего блога, вдруг эта информация поможет кому-то избежать лишней головной боли, а может даже позволить усовершенствовать свои проекты.
Хронология взлома моего блога
Все действия злоумышленника производились с одного и того же IP адреса:
77.87.207.28
Посетитель:
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
Данный
посетитель «хацкер» пришёл на мой блог
21 марта 2015 года в 02:04:21 из поисковой системы Google. Страницей входа была статья – «
Заработок на кликах», которая в данный момент находится в поиске на 14 позиции.
С этой же секунды на сервер моего блога обрушился поток случайных запросов с параллельным сканированием всех его страниц и попытками выполнения каких-то непонятных мне скриптов.
Одним из самых первых запрошенных файлов, был
файл robots.txt – доступ к нему был получен в 02:04:46.
Не знаю что это такое, но в логах веб сервера частенько проскакивал вот такой запрос:
echo -e "Content-Type: text/plain\\n";
echo -e "\\0141\\0143\\0165\\0156\\0145\\0164\\0151\\0170\\0163
\\0150\\0145\\0154\\0154\\0163\\0150\\0157\\0143\\0153"
Сразу после этого запроса началось сканирование всех папок моего блога. Доступ к папкам я ограничил ещё во время создания блога, поэтому тут злоумышленник сразу получил вот такое сообщение:
Directory index forbidden
В 10 минут третьего в адресную строку начали подставляться всевозможные запросы и какие-то непонятные мне функции. Ниже прилагаю скриншот с небольшим кусочком таких запросов (кликабельно).
Буквально через несколько минут автоматические запросы, которые до этого момента проскакивали по несколько штук в секунду, прекратились, и теперь, по логам уже видно, что хакер, атаковавший мой сайт начал подбирать пути вручную.
Одним из его первых запросов с целью получить доступ к моей админке был
10kilogramm.ru/wp-admin. Уверен, те, кто используют
WordPress в качестве системы управления сайтом (CMS) уже догадываются, куда ведёт такая страница.
После нескольких (10-20) неудачных попыток на мой сервер снова обрушился шквал запросов, которые теперь уже были направлены на поиск исполняющих файлов админ-панели блога.
Все запросы шли в алфавитном порядке. В списке этих запросов были собраны все самые популярные, логичные и часто используемые адреса страниц.
Например, такие как:
- access
- admin
- administrator
- author
- backup
- cdn
- cgi
- cgi-bin
- data
- edit
- control
- panel
- themes
- wp-content
- и т.д.
Учитывая, что количество запросов было просто огромным, предполагаю, что база этих адресов составлялась не один день и вероятно даже не одним человеком.
Автоматический подбор адресов продлился до 02:28. К этому времени хакер узнал о существовании одной из страниц в моей админ панели, и дальнейший подбор был остановлен на букве E – т.е. практически в самом начале (A-B-C-D-E…).
Страница, о существовании которой он узнал, отдавала на его запросы другой
код ответа 401="Unauthorized" - требуется авторизация, в тот момент, когда несуществующие страницы отдавали код – 302.

По сути, с помощью своего подбора он узнал о существовании какой-то страницы, и теперь – в промежутке вплоть до 04:20 все действия хакера были направлены на подбор комбинации логина и пароля.
Поразительно, пусть мой пароль на тот момент и не был таким уж сложным, мне все равно очень неприятно, что его удалось взломать всего за 2 часа.
На данный момент все действия со стороны злоумышленника происходили полностью в ручном режиме. Он ответственно подошёл к своему делу – предположительно он посетил мою страничку в социальных сетях (с этого же IP адреса был переход из «ВК»), собрал поверхностную информацию и начал подбирать пароли.
Таким образом, злоумышленнику удалось получить частичный доступ к моему блогу, но что же он будет делать дальше?
Через 8 минут после взлома, в 04:28 на мой блог была добавлена новая, почти пустая статья с заголовком –
test и адресом страницы
vbvb.php. Сразу после добавления начались проверки на доступность данной страницы и последующим редактированием содержимого.
Не знаю почему, но особое внимание хакер уделял
моей цели на 2015 год. Уже после взлома, эта заметка неоднократно открывалась для редактирования из админ панели моего блога.
Пока я спокойно себе спал и ничего не подозревал, хакер ползал по моему сайту аж до 8 часов утра и его последние действия были записаны в 08:05:32, после чего, по всей видимости, он тоже пошёл спать.
Я проснулся в районе 10 часов, сразу заподозрил неладное, «одел белую шапку» и принялся устранять повреждения. В целом, что бы вернуть всё на круги своя, мне достаточно было сделать
backup сайта, благо процедура не хитрая и занимает всего несколько минут, после чего я принялся анализировать действия злоумышленника, что бы найти уязвимые места в конструкции "своего детища".
Благодаря атаке хакера я смог понять логику его действий, а проанализировав весь процесс взлома, я сделал некоторые заметки по безопасности в пользу создания своих будущих проектов.
Нет, на этом всё не закончилось.
Когда «ацкий хацкер» выспался, он снова принялся ломать мой блог, но к этому моменту я уже внёс ряд изменений в конфигурацию своего сайта, изменил все пароли и перестраховался на уровне сервера. Попытки повторного взлома продолжались до 00:01:15 22-го марта.
Как говорится, что нас не убивает – делает сильнее, и я надеюсь, что эта не первая атака, которую мне удалось предотвратить. Конечно, я не могу похвастаться совершенной защитой, и уверен, что лазейку всегда можно где-нибудь найти - главное сильно захотеть и постараться.
Уже совсем скоро я планирую поделиться некоторыми соображениями по поводу улучшения безопасности своих сайтов, а что до наказания злоумышленников, так тут совсем другая история.
Обращение в МВД
Обращайтесь в МВД и другие правоохранительные органы!
Такой ответ я получил от представителя компании "UCA Networks" - интернет-провайдера, которому принадлежит IP адрес атакующего меня хакера.
Зная IP адрес злоумышленника, мне без труда удалось вытащить общедоступную информацию по его местоположению.
- Хост: nat-28.ucanet.ru
- Город: Москва
- Страна: Russian Federation
- IP диапазон: 77.87.200.0 - 77.87.207.255
- Название провайдера: Fastnet LLC
Далее, в принципе, всё дело в правоохранительных органах.
Зная IP адрес хакера и время его посещения, с помощью элементарного запроса из МВД можно узнать, кому именно из клиентов данного интернет провайдера принадлежит этот адрес, а дальше уже дело техники.
Как говорится, нет ничего невозможного.
При желании взломать можно кого угодно - даже аккаунт Папы Римского. Однако стоит понимать, что при таком же желании, можно найти зачинщика беспорядков и привлечь к его ответственности.
В общем, друзья, мой блог был взломан – последствия уже устранены, теперь я снова в строю и надеюсь, что такое больше не повториться.
Похожие материалы:
- первая: он ломанул вифи.
- вторая: даже если и МВД согласится взять заявление, то поверь мне в IB GROUP никто не станет нести это дело, поскольку и хокир и твой сайт - школота.
Более того, я сам время от времени полностью выкачиваю свой блог и храню его копию на локальном компьютере.
Понятие хакер куда более распространённое, нежели пентестер, поэтому я именно его и использовал.
Вышел на связь. Давай пообщаемся.
И так , Никита сразу к делу. Я тот кто получил доступ к твоей админ панели. По поводу безопасности , хм.. У нас будет долгий разговор, поэтому предлагаю перейти в ПМ. И сразу отвечу на популярные вопросы, почему не юзал тор, прокси, соксы, дедики , да потому что то что я сделал не приследуется по закону. Об этом тоже В личке обсудем, не общий показ. так что жду ********@inbox.ru. Почему тебе не плохо выйти на связь тет-на-тет . Потому что ты хочешь бог, свой блог. Ибо если кто-то может исполнить свой код на твойм сайте - это уже не твой сайт. Мне, ну мне тут очевидно , и даже в век вай вая и его доступности всё таки велек доля вычесления, а это единственный провайдер в моём районе. Как видешь Оба останемся довольны. И ещё, после порочтение данного сообщение удали его , не хочу флуд разводить.
п.с Хакер, это громко сказанно , я бы предпочёл пентестер, эбо этика.
А наказывать этого человека собираетесь или просто улучшите блог?