Главная > Бытовая техника > Как поймать хакера в контакте. Моя работа в отделе "к" или как ловят мамкиных хакеров


Как поймать хакера в контакте. Моя работа в отделе "к" или как ловят мамкиных хакеров




Прочитали: 7601 Комментариев: 88 Рейтинг: 98

… Звонок вечером «Товарисча такого то приняли в браслеты, сейчас в СИЗО», ночью не спишь судорожно вспоминаешь что было общего как могут зацепить и тебя, утром звонок на телефон:

а в ответ тишина и положили трубку, через минуты три скрип тормозов, выглядиваю УАЗик с мигалками под окном, кроссовки, куртка, ноут в сумку, прыжок с окна на клумбы, и когда уже убегал, вспомнил, что в постели спит моя девушка, думаю ее то не за что и дальше бегом. Куда бежать, как жить дальше? не ясно…

Ноутбук, судя по всему, по приоритетам оказался куда выше, чем судьба подруги. Что, конечно, показательно. Тема сегодняшнего выпуска: можно ли поймать хакера.

Как ни странно, ответ – да. Несмотря на обилие специализированных ресурсов, подробно рассказывающих о том, как сохранить анонимность, множество злоумышленников (от хулиганов до вымогателей) работает непосредственно со своего компьютера.

В конце апреля на одном из популярных интернет-сообществ появился анонс необычных трансляций – неизвестный подключается к компьютерам ничего не подозревающих людей, следит за ними с помощью их же веб-камер и, в конце концов, захватывает управление. Хакер комментирует происходящее, раскрывает данные почтовых аккаунтов, адреса страниц в соцсетях и логин от аккаунта в Skype. Вслед за этим зрители, а это порядка 500–1000 человек, устраивают настоящую травлю жертвы: заваливают человека звонками, пишут в личные сообщения и на стене персональной страницы «ВКонтакте».

Кроме того, если у человека установлен кошелек Web-money или игровая программа Steam – хакер удаляет купленные игры, а также дает своим зрителям возможность распотрошить их: они переводят средства, забирают серийные ключи, игровые деньги или одежду. Злоумышленник нередко включает непристойные ролики на экранах своих жертв и включает громкую музыку, если у него есть такая возможность. В среднем атака на пользователя длится от 5 до 10 минут, потом либо жертва отключается, либо аудитория теряет интерес, и хакер ищет другой зараженный компьютер.

Если вас настойчиво «достают», то почему бы нам не взять в руки шашку?

С чего начать? Вариантов много, как и утилит для анализа ситуации. Для примера посмотрим на список подключений с нашего компьютера.

Откроем командную строку (Пуск -> Выполнить -> cmd ) и наберем команду netstat -aon .

Для удаленного подключения к компьютерам жертв стример использует программу подключения LuminosityLink, его жертвы не получают уведомления о том, что к ним кто-то пытается подсоединиться – все происходит совершенно незаметно. При этом у большинства людей, подвергшихся атаке, установлена утилита для скачивания torrent-файлов MediaGet.

Команда netstat «вывалит» довольно много информации, но нас интересуют подключения со статусами ESTABLISHED и LISTENING. Статус ESTABLISHED говорит о наличии соединения, а LISTENING означает, что некая программа (возможно, троянец) прослушивает порт, ожидая соединения.

При установленном соединении в столбце «Внешний адрес» вы увидите IP-адрес подключенного компьютера.

Внимание! Мы предполагаем, что вы знаете адреса своего компьютера и компьютеров локальной сети и отличите их от адресов внешних, вам неизвестных. На самом деле вредоносная программа может работать и с соседнего компьютера, но для простоты мы этот случай не рассматриваем.

И вот мы видим в столбце «Внешний адрес» волшебные цифры 185.79.119.139:5222. «Ага!» – сказали суровые сибирские мужики.

В Интернете существует множество специальных инструментов, позволяющих без особого труда определить сети, подконтрольные интересующим нас компаниям, и при этом никак не засветиться перед ними. Для пассивной разведки в рамках сбора статистики по сетевым периметрам финансовых организаций мы использовали:

  1. Поисковые системы (Google, Yandex, Shodan).
  2. Отраслевые сайты для финансового сектора - banki.ru , rbc.ru .
  3. Whois-сервисы 2ip.ru ; nic.ru .
  4. Поисковые системы по базам данных интернет-регистраторов - Hurricane Electric BGP Toolkit, RIPE .
  5. Сервисы визуализации данных по доменному имени сайта - Robtex .
  6. Сервис для анализа доменных зон dnsdumpster , который содержит исторические данные по доменным зонам (изменения IP), чем сильно помогает собирать данные. Похожих сервисов много, один из самых известных аналогов - domaintools.com .

А что у нас использует порт 5222? Воспользуемся поисковиком:

Стандартными портами для подключения Jabber-клиента к серверу являются 5222 и 5223. Порт 5222 применяется для шифрованного соединения с использованием TLS, а также незащищенного соединения, а 5223 - для шифрования с помощью SSL.

Виновник соединения установлен – это работающий на компьютере мессенджер. Но ведь все могло быть и не так.

Возможно, в случае анализа атаки вы получите информацию, что данный сетевой адрес принадлежит к диапазону адресов какого-то провайдера. И это уже будет успех – вы можете сообщить этому провайдеру об атаках с его адресов.

Каждая сетевая карта имеет уникальный код – MAC адрес. Провайдеры некоторое время хранят информацию о соответствии IP-MAC в определенное время. Если вам известен IP, известно время и есть доступ к БД провайдера, вы можете узнать MAC. Потом, когда компьютер будет в сети, можно проследить местонахождение компьютера.

А вот если вам удалось найти IP, принадлежащий конкретному человеку, то это повод обратиться в полицию. Вполне возможно, что его компьютер тоже взломан и используется хакером в качестве промежуточного звена.

Естественно, вычислить злоумышленника, атакующего с чужого компьютера, для обычного пользователя нереально (ведь для этого как минимум придется проникать на этот самый ПК – а это уже статья). Но то, чего не может простой пользователь, доступно полиции, которая имеет право запрашивать соответствующие данные.

Сотрудниками управления по расследованию преступлений против информационной безопасности и интеллектуальной собственности Следственного комитета получены официальные сведения о том, что гражданин Беларуси является одним из участников международного форума киберпреступников и продает вредоносное программное обеспечение. Данный гражданин являлся также администратором форумов, на которых обсуждались вопросы совершения противоправных действий в сфере высоких технологий.

В ходе совместных мероприятий удалось идентифицировать личность данного мужчины. Им оказался житель Гомельской области 1983 года рождения. После этого сотрудники ФБР США осуществили закупку у белоруса вредоносного программного обеспечения. Исходный код данной программы был проверен специалистами в области информационной безопасности, которые дали заключение о его вредоносности.

Началом операции послужило задержание вышеуказанного лица на территории Гомельской области. В ходе осмотра компьютерной техники следователями и сотрудниками Управления «К» Министерства внутренних дел получены прямые доказательства совершения задержанным преступлений и его принадлежности к международной киберпреступной группировке.

Поздравляем белорусских коллег!

Давно хотел рассказать как я работал в отделе "К", как собирал доказательства, как искал и как задерживал преступников. Начну с начала.

Как я попал туда: помог хороший знакомый в полиции (тогдашней милиции), грит мол давай к нам в отдел "К", ну после универа выбора у меня не было и я согласился.

Что я делал в начале: В компьютерах я разбираюсь хорошо, по этому посадили меня составлять запросы провайдерам, хостерам и подобным организациям. На самом деле это пустая формальность, бумажка требуется в качестве доказательства. Пробить IP адрес можно было и без официального запроса, например рос*теле*ком выдавал информацию о владельце по одному телефонному звонку, естественно официально такой процедуры нет, но есть договорённость.

Сбор доказательств: это вторая ступенька моей карьерной лестницы которая добавилась к первой. Собирал доказательства я одной кнопкой prtscr, отправлял их на подпись+печать и подшивал в папочку. В большинстве случаев я просто делал скриншоты сайтов с ЦП (чилд порн) и экстремистскими материалами, но бывали задачи и посложнее, такие как чтение переписки и просмотр видео/фото, но об этом чуть позже. Как только насобирал достаточно доказательств - отправлял запрос провайдеру, провайдер отвечал очень быстро и давал бумагу со следующими данными о владельце IP адреса:

3. Паспортные данные

4. MAC адрес устройства (это важно, ниже расскажу почему)

Небольшая заметка: большинство видео и фото, которые я смотрел вполне себе официально - ЦП.... и это жесть.... их было очень много, я переживал за участников, но потом осознал, что большинство авторов этих роликов/фото найдут и жестоко покарают кожаными дубинками во все щели. Работать стало проще.

Поиски злодеев: злодеи бывают разные, экстремистов ищут в одном месте, педофилов в другом, мошенников в третьем. Самые глупые - педофилы, которые расшаривали диск с ЦП в программах DC++ (раньше были очень популярны), одним этим действием они вешали на себя 242 статью (распространение). К слову сказать, вычислять таких было делом техники, часто рядом на диске я находил личные фотографии по которым можно было с уверенностью сказать, что человек без лица с ЦП видео/фото тот же самый, что и на обычном фото, бывало и документы лежали. Если ничего нет - искал файлы с паролями от популярных браузеров (при условие что расшарен диск с браузером), зачастую там были аккаунты владельца компьютера и это тоже шло в доказательную базу.

Задержание злодеев: всё начинается рано утром, обычно в 6 утра. В начале возле дома преступника паркуется грузовой микроавтобус (как автолайн или маршрутка) с группой захвата. Затем подкатывает машина с оперативниками и все очень тихо поднимаются на этаж. Автомобили тем временем отъезжают на соседнюю улицу. Жильцов квартиры просят открыть дверь под любым предлогом: пожар, соседи с низу, газовая служба и тп. Если повезло и дверь открыли - вламывается группа захвата, укладывает всех на пол, проверяет что бы всё было "чисто" и только после этого заходят оперативники.

Процессуальные действия: в обязательном порядке привлекают понятых, в 6 утра их сложно найти, по этому обычно, в качестве понятых свои люди, которые подпишут любой беспредел и им за это ничего не будет, зачастую это практиканты с универов. Со стола, с мышки и клавиатуры скатывают отпечатки и берут какие то пробы (я в этом не силён). Если компьютер включен - нам очень повезло, если запаролен - нужно попросить владельца его включить... в начале просят вежливо, потом просят дубинками, берцами и разнообразными методами пыток которые не оставляют следов, НО, я очень надеюсь, что такого беспредела как раньше сейчас нет.

Сбор улик: описывают всю технику, самое важное: устройство с MAC адресом который засветился у провайдера, обычно это роутер. Так же изымают компьютер или ноутбук. Если владелец выдержал все попытки узнать пароль - компьютер отправляют на экспертизу.

Заметка про экспертизу: Вы думаете эксперты будут подбирать пароль? Нет. Они вытаскивают хард, подключают его к своему компуктеру и тупо смотрят файлы. Если на HDD найден криптоконтейнер - его никто не будет расшифровывать, у них нет суперкомпьютеров под это дело.

Почему я уволился: не буду рассказывать ванильные истории, всё на много проще - я нашёл другую работу с достойной зарплатой. На моё место пришли хорошие ребята которых я обучил перед уходом. Связи не потерял...

P.S. Если преступник скрывается за VPN или публичным прокси другой страны - можно считать дело висяком, расследовать их будут только если попросят сверху или что то действительно стоящее и важное. На такое может уйти и год и два.

Здравствуйте Надежда! Вы отписались на моем блоге о том, что у Вас имеются все данные на кибер преступника, но Вы не знаете, как ими можно воспользоваться, чтобы наказать злоумышленника. Меня тоже заинтересовал это вопрос, по сему, делюсь информацией, которую по этому поводу мне удалось «выудить» из просторов нынешнего, оскверненного множеством плохих людей, в виде хакеров и мошенников, Интернета:

— Пожаловаться провайдеру Хаккера, осуществляющего атаку на Ваш сайт. Предварительно собрав все имеющиеся доказательства (скрины, логи, данные, переписку и т.д.). Вроде бы, решение провайдера о блокировке Интернета злоумышленнику, выносится через суд. Точно не знаю.

— Обратиться в правоохранительные органы, в частности, в ФСБ. В УК РФ есть соответствующие статьи:

УК РФ глава 28: Преступление в сфере компьютерной информации
Статья 272. Неправомерный доступ к компьютерной информации
1. Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, — наказывается штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.

2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, — наказывается штрафом в размере от пятисот до восьмисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от пяти до восьми месяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.

Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ
1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами — наказываются лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев.
2. Те же деяния, повлекшие по неосторожности тяжкие последствия, —
наказываются лишением свободы на срок от трех до семи лет.

Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети
1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом информации ЭВМ, если это деяние причинило существенный вред, —
наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, либо обязательными работами на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы на срок до двух лет.
2. То же деяние, повлекшее по неосторжности тяжкие последствия, —
наказывается лишением свободы на срок до четырех лет.

Оба метода «отмщения» подразумевают неимоверную волокиту, суды и т.д.

Борьба с киберпреступностью в наши дни - уже далеко не миф, а суровая
реальность. Прошли времена, когда спецслужбы не знали, с какого конца
подступиться к Сети. Эта история представляет собой яркую иллюстрацию того, что
спецслужбы многому научились и порой занимаются действительно полезными вещами.

Операция Trident Breach

В октябре месяце из пресс-релизов ФБР весь мир узнал о масштабной
международной операции Trident Breach (дословно: "удар трезубцем"), в ходе
которой в Великобритании, США и Украине были задержаны более ста человек,
участвовавшие в деятельности крупного ZeuS-ботнета.

О троянце по имени
ты
наверняка уже слышал; мы посвятили этому зловреду не одну статью и заметку. На
всякий случай напомню, что ZeuS, также известный на просторах сети как Zbot, PRG,
Wsnpoem, Gorhax и Kneber - это своего рода последний писк моды и популярнейший
тренд в киберкриминальной среде. Данный инструментарий пользуется на черном
рынке огромным спросом, регулярно обновляется, защищен от нелегального
использования почище лицензионного софта и является настоящей головой болью для
всех IT-безопасников планеты. Авторов этой софтины безуспешно ищут уже довольно
долгое время. А когда не получается найти авторов и вырвать "корень зла",
приходится бороться не с причиной, а со следствиями. Особенно когда следствия
приобретают угрожающий размах.

Расследование, предвосхищавшее массовые аресты, началось около полутора лет
назад, в мае 2009 года. Тогда в ходе работы над делом о краже средств с 46
разных банковских счетов агенты ФБР из города Омаха, штат Небраска, нащупали
"связующее звено" - они обнаружили отчетливые следы деятельности ZeuS-ботнета.
Федеральное бюро расследований быстро сопоставило имеющиеся на руках факты и
пришло к выводу, что масштаб бедствия велик. "Федералы" незамедлительно
связались с местной полицией, своим аналогом Отдела "К" (то есть с парнями,
которые занимаются именно расследованием киберпреступлений), другими
американскими спецслужбами, а затем наладили контакт и со своими зарубежными
коллегами из Украины, Великобритании и Нидерландов. Сразу скажем, что
голландская полиция была привлечена к делу исключительно из-за того, что
злоумышленники использовали некие компьютерные ресурсы Нидерландов.

Вскоре ситуация начала проясняться. Схема, которую использовали сетевые
мошенники, оказалась проста, как три копейки. Основной мишенью этих чуваков
являлись отнюдь не крупные банки и корпорации - они метили в небольшие
организации, муниципальные предприятия, церкви, больницы, а также в редких
частных лиц в основном на территории США. Заражение компьютеров жертв
происходило практически дедовским методом: мошенники использовали целевые
вредоносные e-mail-рассылки (письма несли "на борту" ссылки на ZeuS). Как только
ничего не подозревающие граждане открывали такое письмо и проходили по линку,
вирь вламывался в систему и делал там свое черное дело - собирал номера счетов,
логины, пароли и прочие конфиденциальные данные, связанные с банковскими
аккаунтами. Хозяева ботнета, заполучив эту информацию на руки, сумели добраться
до огромного количества счетов. ФБР сообщает, что таким образом были
осуществлены попытки кражи около $220 млн., но так как не все они были
успешными, реально преступники (по предварительной оценке) сумели заполучить
около $70 млн. Учти, что делалось все весьма аккуратно: ФБР утверждает, что
преступники старались не снимать более нескольких тысяч долларов за раз.

Размах уже впечатляет, правда? Дальше - больше. Как уже было сказано выше,
корни этой преступной группировки вели в Украину и другие страны Восточной
Европы, а сеть так называемых "мулов" (от английского money mule - "денежный
мул") - людей, которые переправляли краденые деньги владельцам ботнета (в
кардерской терминологии - дропов) - как выяснилось позже, насчитывала несколько
сотен человек.

Как это работает

Большинству граждан, арестованных в ходе операции Trident Breach, от 20 до 25
лет, и все они, по сути, являются низшим звеном в структуре работы ботнета.
Когда (и если) кража средств с очередного счета проходит успешно, деньги утекают
отнюдь не прямиком в загребущие руки хозяев зомби-сети. Это было бы слишком
просто, рискованно и примитивно. Здесь в игру и вступают "мулы", они же "дропы".
В случае, о котором мы говорим сегодня, в этой роли в основном выступали...
студенты из Молдавии, Украины, России, Белоруссии и Казахстана, находящиеся в
США по визе J-1, то есть по программе Work&Travel. Для тех, кто не знает: W&T
позволяет молодежи какое-то время с пользой жить на территории США, работая,
общаясь с носителями языка и так далее. Одним словом, учебный и культурный
обмен. Арестованным "студентам" такая программа поездки явно казалась
скучноватой, раз они решили предложить себя кибермошенникам в качестве дропов.

Как это реализовано? Опять же, довольно просто. Вербуют таких "красавцев"
обычно по Сети, например, через социальные сети (в нашем случае ФБР пока
отказывается разглашать название социальной сети, где происходила вербовка). За
работу им предлагают некий процент от обналиченных сумм, обычно в рамках 5-20%
от перевода. Далее возможны варианты. Либо, въехав в США, "мулы" самостоятельно
открывают поддельные банковские счета, на которые и уходят ворованные деньги.
Либо же фэйковые счета дропу предоставляет сам работодатель: например, "мулу"
просто присылают по почте пластиковую карту с PIN-кодом. Зачастую в деле также
замешаны поддельные документы всех мастей. Далее задача "мула" элементарна -
нужно снимать наличность и передавать ее своим "хозяевам".

За примерами этих схем не нужно ходить далеко. В ходе операции Trident Breach
ФБР внедрило одного из своих агентов в мошенническую сеть именно в качестве
дропа. Через российскую социальную сеть (все общение происходило на русском)
агент нашел "работодателя", скрывавшегося под ником Jack Daniels. Jack Daniels,
который впоследствии оказался 26-летним гражданином РФ Антоном Юферицыным,
предложил следующую "работу": требовалось открыть в США несколько банковских
счетов, получать на них переводы и обналичивать деньги. Под пристальным
наблюдением ФБР все было выполнено, да так хорошо, что замаскированный агент
даже сумел лично встретиться с Юферицыным. "Работодатель" вдруг решил воочию
обсудить со "студентом" перспективу открытия бизнес-счета, на которой можно было
бы переводить больше денег. Очевидно, в ходе этой первой встречи Jack Daniels
ничего не заподозрил, так как вскоре на счет подставного "мула" поступил первый
перевод в размере $9983. Через несколько дней Jack Daniels назначил агенту
повторную встречу, на этот раз уже непосредственно для передачи денег. В ходе
этого действа Юферицын и был благополучно арестован.

Ему предъявили обвинение в сговоре с целью мошенничества, свою вину Jack
Daniels признал и даже дал показания против других участников группировки. Но
самое интересное в том, что на данный момент Антону Юферицыну уже вынесен
приговор, и он оказался удивительно мягок: 10 месяцев тюрьмы и $38 314 штрафа.
Дело в том, что обвинение до последнего настаивало на максимальном наказании в
20 лет лишения свободы и штрафе в $500 000. Можно предположить, что Юферицына
либо поймали существенно раньше, чем было объявлено официально, либо же он очень
рьяно сотрудничал после ареста:).

Как уже было сказано выше, большинство арестованных занимали отнюдь не
ключевые посты в преступной группировке. Большинство из тех, кому предъявили
обвинения или арестовали - простые дропы. Только в США было арестовано 39
человек, а в целом обвинения предъявлены 92 людям! В пресс-релизах, выпущенных
по этому поводу Федеральным бюро расследований, подробно рассказано практически
о каждом конкретном случае. К примеру, сообщается, что гражданин РФ Максим
Мирошниченко вербовал дропов, сам открыл как минимум пять поддельных счетов в
банках TD Bank, Chase Bank, Bank of America и Wachovia, а также пользовался
поддельными паспортами и имел контакты с хакерами и лицами, которые могли помочь
оформить поддельные документы другим членам организации. Остальные случаи
похожи, как две капли воды: это или "мулы", или вот такие, в общем-то, мелкие
координаторы. Обвинения им были предъявлены самые разные - от сговора с целью
совершения банковского мошенничества и просто банковского мошенничества до
отмывания денег, подделки документов, использования поддельных документов и
незаконного использования паспортов. Тюремные сроки и штрафы всем грозят крайне
серьезные: от 10 до 30 лет и от $250 000 до $1 млн. соответственно. Впрочем,
неизвестно, удастся ли обвинению настоять на своем, или получится как с
Юферицыным.

Однако, помимо сотни дропов, пойманных американцами, еще 20 человек было
арестовано в Великобритании (также было проведено восемь обысков) и еще пятеро в
Украине. И если в Соединенном Королевстве ситуация почти аналогична
американской, то с украинцами все несколько сложнее. Дело в том, что, согласно
сообщениям ФБР и украинского СБУ, здесь, похоже, поймали самую верхушку
группировки - организаторов всей вышеописанной схемы. Нет, разумеется, авторов
злосчастного ZBot среди арестованных не было (хотя, по мнению многих экспертов и
представителей спецслужб, малварь создан именно в странах Восточной Европы).
Информации об этих пятерых вообще пока крайне мало, однако известно, что у ФБР
есть основания полагать, что руководители ботнета контактировали с
разработчиками ZeuS, которые делали им на заказ особые версии инструментария.

Все вышеизложенное, конечно, далеко не конец истории. В розыске до сих пор
находится не один десяток человек, впереди наверняка не один обыск, арест, а
также куча судебных разбирательств. Но, как бы то ни было, операция Trident
Breach наглядно доказывает, что спецслужбы мира все же могут "найти подход" к
ботнетам и умеют арестовывать не только "мулов", но и людей, стоящих в
преступной иерархии повыше. И пусть мы с тобой понимаем, что эта сотня с
небольшим человек - капля в море, а $70 млн. - жалкие крохи от исчезающих в
неизвестных направлениях миллиардов, для спецслужб это все равно почти
невиданный размах, да и в целом неплохая тенденция.

Сегодня я расскажу немного о том, о чем обычно весьмо непросто найти конкретную и достоверную информацию. Профессионалы, могущие доступно осветить эту тему, обычно предпочитают молчать и зарабатывать деньги, представляя практические аспекты защиты информации слишком сложными для понимания простыми людьми. Как приятно разрушать мифы!

Обычно сайт взламывают либо вирусы в автоматическом режиме, либо не обделенные интеллектом жители стран ближайшего зарубежья. Последние находят неплохие по популярности сайты с дырками в системе безопасности, внедряются тем или иным способом в файловую систему, расставляют "бэкдоры" (от backdoor - задняя дверь) в виде шэл-скриптов (от shell - оболочка, сетевой аналог "Проводника" или Norton Commander), с помощью которых можно впоследствии снова внедриться на сайт и, наконец, скрытно размещают скриптик с Биржи Ссылок. Ссылки они стараются разместить так, чтобы хозяин сайта этого не заметил. После этого заготовленные места для ссылок отправляются на биржу, где продаются seo-шникам, покупающим их для раскрутки по низкочастотным запросам бездарных сайтов-пустышек, например: "термотрансферная печать", "жалюзи и солнцезащитные системы", "монтаж подвесного потолка". Почем продают? Примерно по 5 копеек за одну ссылку в день, "зарабатывая" в сумме около 40-50 руб. в день с большого и хорошо раскрученного сайта.

Как известно, спрос рождает предложение, поэтому я и недолюбливаю "seo-шников". Вместо того, чтобы написать качественную статью про "монтаж подвесного потолка", сделать уникальные фотографии процесса, сверстать красивую и логичную страницу на нормальном домене (а не expert-pаtаlok, о котором, как видимо и о всем бизнесе компании явно думали не больше нескольких минут), эти халявщики скучно скупают ссылки, не принося совершенно никакой пользы человечеству, а напротив лишь провоцируя тем самым юных хакеров заниматься глупостями с продажей ссылок и взламывать кривые сайты.

При таких масштабах заработков, естественно, глупо надеяться, что взломавший ваш сайт юный хакер сидит в соседнем доме в Москве или Питере, и его удастся поймать физически. Скорее всего, заработки подобного уровня интересуют людей из неблагополучных и довольно отдаленных от столиц регионов, где им сложно найти достойную работу. Но можно поймать хакера виртуально, определив его IP-адрес, и - главное - заодно хорошенько напугать.

Первым делом необходимо определить, какие файлы на вашем сайте хакер использует для получения доступа. Об этом в общем-то тоже не очень сложном процессе я расскажу как-нибудь в следующий раз (в этом есть сущность нашей услуги ), но в любом случае скорее всего он использует два скрипта: скрипт для управления ссылками и "бэкдор" или "шэлу". Шэла обычно маскируется под какой-нибудь системный файл, зачастую оставляется несколько ее копий в разных местах движка сайта. Естественно, хакер предполагает, что он очень хитер, и никто не догадается, как именно он проник в систему. Поэтому, как только вы удалите скрипт для управления ссылками, и он заметит это через биржу, он наверняка зайдет на ваш сайт еще хотя бы раз - проверить, нашли ли вы замаскированные им шэлы или нет, и что вообще случилось.

Этим-то и надо воспользоваться. Заменив найденную шэлу специальным php-файликом, мы определим IP-адрес обратившегося к ней клиента. Вот как он выглядит:

    Дорогой друг-хакер!

    Мы следим за тобой!

    В биржу linkfeed.ru отправлен официальный запрос на раскрытие твоей личности. Скриншоты с сайта сняты, исходный код записан, все это наториально заверено для отправки официального запроса в правоохранительные органы и провайдеру.

    Кстати:

    #генерируем уникальный ID для данного захода

    $UNIQUE_ID = md5 ("secret" . $_SERVER [ "REMOTE_ADDR" ] . $_SERVER [ "REMOTE_PORT" ] . time () . "secret" ) ;

    #подключаем сервис decloak.net

    echo "

    "     ;

    $UNIQUE_ID_link = "http://decloak.net/report.html?cid=$UNIQUE_ID &format=text" ;

    #пугаем хакера, показывая его IP (может быть и не настоящим, но все равно - страшно!):

    $ip = $_SERVER [ "REMOTE_ADDR" ] ;

    echo "твой IP: $ip
    "     ;

    # отправляем собранные данные нам по почте

    mail ("[email protected]" , "hacker"s IP" , "$ip , details: $UNIQUE_ID_link " ) ;

    echo "
    успешно отправлен нам на почту. Спасибо!"     ;

Кроме, собственно, простого определения физического IP-адреса из переменной php, в данном скрипте используется сервис www.decloak.net . На случай, если злоумышленник использует прокси-сервер во время своей подрывной деятельноти, этот сервис применяет несколько хитрых приемов, якобы позволяющих узнать истинный физический IP-адрес с помощью JavaScript"ов, флэш-объектов, прямой закачки файлов, QuickTime-мувиков и пр. Экспресс-тестирование показало, что при разумном использовании FireFox и сети прокси-анонимизаторов , decloak.net, вероятнее всего, не сможет узнать реальный IP-адрес. Жаль, но в эффектности сервису не откажешь - при обращении к скрипту начинают открываться дополнительные окна, скачиваться какие-то файлы, что-то приогрывается - в общем, психологический эффект отличный.

Когда хакер попадется в вашу ловушку, к вам по почте придет пиьсмо с IP-адресом и ссылкой на подробные данные от decloak.net