В ноябре у меня произошло интересное событие — я подвергся хакерской атаке, целью которой, как выяснилось позже, было отнять у меня домен моего проекта «Великие слова» — www.greatwords.ru — о котором вы, возможно, и ранее читали на Хабре. В этом топике я хочу рассказать, как это произошло, и кто, помимо меня самого, виноват (хотя об этом можно догадаться из заголовка). Возможно, мой опыт будет полезен и поможет другим людям избежать неприятной ситуации, подобной той, в которой оказался я.
Все началось утром 11-го ноября. Я зашел на свой сайт s-a-p.in, чтобы кое-что обновить и был немало удивлен, когда вместо сайта увидел заглушку ISP manager. Нужно сказать, на моем VDS стоит именно ISP manager, и я бы первым делом полез искать ошибку именно на сервер, если бы не плагин Flagfox, который у меня стоит. Этот плагин отображает флаг страны, в которой находится сервер сайта. Мой VDS, как и я сам, находится в Киеве, а сейчас в адресной строке красовался трехцветный флаг России. Выполнив ping s-a-p.in, я, как и следовало ожидать, увидел отнюдь не свой IP.
Как это могло произойти? Вариантов два — либо проблемы с моими NS-серверами, либо кто-то сменил данные. Пробив домен по whois, я понял, что, увы, второе — NS в данных домена были указаны не мои.
Домен s-a-p.in и некоторые мои остальные домены зарегистрированны у Reggi.ru. При попытке залогиниться в панель управления доменами я получил ошибку, письмо по запросу восстановления пароля не пришло, и я понял, что дело серьезное.
Теперь нужно сделать отступление и рассказать о ситуации с моими e-mail, в которой, конечно, я сам виноват. Дело в том, что я стал клиентом Reggi довольно давно, больше трех лет назад. Тогда меня как-то угораздило пользоваться услугами конторы (компанией это назвать нельзя, и позже я объясню, почему) Online.ua. Именно там находился мой почтовый ящик (ради безопасности я буду называть его my-old-mail@online.ua), на который и был зарегистрирован аккаунт Reggi. Я давным-давно не пользовался этим ящиком, пару лет назад перейдя на GMail, и просто поставил с него пересылку. Сразу же скажу, чтобы более не возвращаться к теме почты, что, помимо своего GMail (назовем его my-general-mail@gmail.com), я пользовался также почтой своих доменов при помощи Google Apps. Тут я допустил еще одну ошибку, но об этом позже.
Как и следовало ожидать, пароль к my-old-mail@online.ua не подошел, и ответ на секретный вопрос тоже. Из предосторожности, я сменил все важные для меня пароли (в том числе и на GMail), хотя в тот момент предполагал, что взломан именно my-old-mail@online.ua и считал возможность того, что мне всадили троян, маловероятной. После этого я написал в саппорт Reggi.ru (пользуюсь случаем, хочу поблагодарить их за оперативность и помощь в этой сложной для меня ситуации) и описал проблему. Саппорт по моей просьбе заблокировал аккаунт и сообщил мне, что для смены контактного e-mail мне необходимо отправить почтой в Москву подписанное заявление с просьбой сменить адрес и копии паспорта, а также, чтобы ускорить процедуру восстановления, отправить сканы этих документов им на e-mail. Что я и сделал, попросив сменить адрес на my-general-mail@gmail.com, и совершив третью, но, надеюсь, последнюю ошибку.
Отправив документы, я занялся своими делами и на пару часов забыл об этом. Через пару часов я решил проверить почту, и был неприятно удивлен, обнаружив, что не могу залогиниться на my-general-mail@gmail.com. При попытке восстановления пароля я увидел, что номер телефона для восстановления пароля сменен на чужой, а к альтернативным e-mail добавлен адрес в зоне .cc, в которой у меня доменов никогда не было. Все стало понятно. Теперь о моей второй ошибке. Я не знаю, таковы ли защитные механизмы Google, или это просто невнимательность взломщика, но в списке альтернативных адресов для восстановления пароля остался и адрес, указанный мной. И все бы хорошо, но… Это был адрес на домене s-a-p.in, а домен был направлен на NS взломщика. Таким образом, на данный момент у меня не было никаких шансов восстановить пароль из-за своей ошибки — я завязал свои ящики по кругу.
Мне немного повезло — я оставался залогиненным в своем тикете, который писал Reggi.ru. Я сразу же зашел туда, чтобы сообщить, что почта, на которую я просил установить доступ, также взломана. Тут меня ждал неприятный сюрприз. В тикете красовалось следующее сообщение:
Нужно ли говорить, что я не писал этого сообщения? Разумеется, я тут же сообщаю о ситуации и прошу не производить разблокировку аккаунта. Спасибо Reggi.ru, они его не разблокировали.
Ситуация патовая. Я регистрирую адрес my-temp-mail@gmail.com и отправляю запрос на восстановление аккаунта Google через соответствующую форму. Ответ придет через сутки. Что еще я могу сделать? Я решаю написать письмо на свой ящик и выйти на связь со вломщиком. Вскоре мне приходит ответ:
В ICQ мы списались на следующий день. Не буду приводить весь лог, так как это займет слишком много места. Суть в следующем: взломщик хотел получить мой домен greatwords.ru. Если я откажусь передать ему его добровольно, он угрожал, воспользовавшись моими сканами, которые, естественно, были на почте my-general-mail@gmail.com, подделать мои документы, поставить фальшивую печать, якобы они заверены у нотариуса, и, отправив их регистратору, таким образом получить контроль над доменом насильственно. В случае добровольной передачи он даже обещал выплатить мне некоторую сумму.
Разумеется, я отказался. На угрозы подделки документов я ответил, что вечерним рейсом вылетаю в Москву и буду у регистратора раньше его дропа. Через 10 минут молчания взломщик сообщил мне, что я могу «не парится», и что я выиграл. Ему нет смысла продолжать, так как в любом случае я свое верну. И пообещал вернуть все, что украдено. Не сообщит ли он мне в таком случае пароль от my-general-mail@gmail.com? Разумеется, но только в понедельник (разговор происходит в субботу), с работы, так как там у него VPN и соксы. Поверить очень хотелось, но с каких пор для того, чтобы сказать пароль, необходим VPN и соксы? Значит, он врет. Я сделал вид, что поверил ему. Пусть думает, что ему удалось меня обмануть, это даст мне преимущество.
Я связался с Reggi.ru. Они посоветовали мне обратиться напрямую к Ру-центру — регистратору доменного имени greatwords.ru. Там посоветовали отправить им обычной почтой письмо с просьбой запретить передачу прав на домен без моего личного присутствия и тем самым обезопасить себя от подделки документов. Я отправил такое письмо в тот же день. Теперь все зависело от скорости работы почты, от Ру-центра и от действий взломщика.
Не буду тянуть резину. Вскоре письмо в Ру-центр пришло и с этого момента передача прав на домен без моего личного присутствия стала невозможна. За эти несколько дней взломщик не успел (или не захотел) совершить перерегистрацию, и домен остался у меня. Также мне удалось восстановить доступ к my-general-mail@gmail.com. С большим трудом — помогло только то, что в то время у меня на руках находился недавно полученный чек Google Adsense. Только с его помощью мне удалось доказать саппорту Гугла, что я — это я. Имея доступ к my-general-mail@gmail.com, я восстановил все украденные у меня аккаунты, а немного позже и контроль над аккаунтом Reggi, и, соответственно, всеми своими доменами.
Перехожу к заключительной части своего рассказа. Наверняка, вам интересно, каким же образом была проведена атака. Я намеренно отделил эту часть от основного повествования. Сначала, как я уже упоминал, я преположил, что был взломан my-old-mail@online.ua. После потери доступа к GMail я уже был уверен, что схватил трояна — другого объяснения я не видел. Но я ошибался — трояна не было. Картину происходящего мне удалось восстановить, только проанализировав содержимое ящика в то время, когда им пользовался взломщик, разговорами с саппортами и, частично, со слов взломщика. Все произошло следующим образом.
Взломщик, заинтересовавшись моим доменом greatwords.ru, проверил его данные по whois. Там был указан e-mail my-old-mail@online.ua, так как именно на него был зарегистрирован аккаунт Reggi. По NS или по IP взломщик определил моего регистратора. Далее, он написал в саппорт шарашкиной конторы online.ua и эти идиоты по его просьбе, без каких-либо доказательств удалили мой аккаунт my-old-mail@online.ua. После чего взломщик его зарегистрировал и получил доступ к панели управления доменами. Направив домен s-a-p.in на свой сервер, он поднял на нем почту и, благодаря моей глупости с альтернативными e-mail, смог получить доступ к my-general-mail@gmail.com. Вот так человеческий фактор в совокупности с полной безответственностью Online.ua сделал возможным эту ситуацию.
Я хочу предупредить всех, кто пользуется услугами Online.ua. Будьте осторожны. Перенесите все важные регистрации на другую почту, так как в один прекрасный день ваш аккаунт могут просто удалить по просьбе неизвестного. Если ваши знакомые пользуются Online.ua, предупредите их. Это абсолютно безответственный провайдер, которому наплевать на конфиденциальность ваших данных и вашу безопасность.
В качестве заключения, приведу текст моей пересылки с ними. Да, я хотел с ними поговорить после всего этого, хотя, конечно, не собирался иметь с ними никаких дел. Их реакция весьма показательна.
Я:
Online.ua:
Я:
Online.ua:
Я:
Online.ua:
Я:
В ответ молчание. Вот и все.
Будьте осторожны. И не пользуйтесь услугами Online.ua.
Все началось утром 11-го ноября. Я зашел на свой сайт s-a-p.in, чтобы кое-что обновить и был немало удивлен, когда вместо сайта увидел заглушку ISP manager. Нужно сказать, на моем VDS стоит именно ISP manager, и я бы первым делом полез искать ошибку именно на сервер, если бы не плагин Flagfox, который у меня стоит. Этот плагин отображает флаг страны, в которой находится сервер сайта. Мой VDS, как и я сам, находится в Киеве, а сейчас в адресной строке красовался трехцветный флаг России. Выполнив ping s-a-p.in, я, как и следовало ожидать, увидел отнюдь не свой IP.
Как это могло произойти? Вариантов два — либо проблемы с моими NS-серверами, либо кто-то сменил данные. Пробив домен по whois, я понял, что, увы, второе — NS в данных домена были указаны не мои.
Домен s-a-p.in и некоторые мои остальные домены зарегистрированны у Reggi.ru. При попытке залогиниться в панель управления доменами я получил ошибку, письмо по запросу восстановления пароля не пришло, и я понял, что дело серьезное.
Теперь нужно сделать отступление и рассказать о ситуации с моими e-mail, в которой, конечно, я сам виноват. Дело в том, что я стал клиентом Reggi довольно давно, больше трех лет назад. Тогда меня как-то угораздило пользоваться услугами конторы (компанией это назвать нельзя, и позже я объясню, почему) Online.ua. Именно там находился мой почтовый ящик (ради безопасности я буду называть его my-old-mail@online.ua), на который и был зарегистрирован аккаунт Reggi. Я давным-давно не пользовался этим ящиком, пару лет назад перейдя на GMail, и просто поставил с него пересылку. Сразу же скажу, чтобы более не возвращаться к теме почты, что, помимо своего GMail (назовем его my-general-mail@gmail.com), я пользовался также почтой своих доменов при помощи Google Apps. Тут я допустил еще одну ошибку, но об этом позже.
Как и следовало ожидать, пароль к my-old-mail@online.ua не подошел, и ответ на секретный вопрос тоже. Из предосторожности, я сменил все важные для меня пароли (в том числе и на GMail), хотя в тот момент предполагал, что взломан именно my-old-mail@online.ua и считал возможность того, что мне всадили троян, маловероятной. После этого я написал в саппорт Reggi.ru (пользуюсь случаем, хочу поблагодарить их за оперативность и помощь в этой сложной для меня ситуации) и описал проблему. Саппорт по моей просьбе заблокировал аккаунт и сообщил мне, что для смены контактного e-mail мне необходимо отправить почтой в Москву подписанное заявление с просьбой сменить адрес и копии паспорта, а также, чтобы ускорить процедуру восстановления, отправить сканы этих документов им на e-mail. Что я и сделал, попросив сменить адрес на my-general-mail@gmail.com, и совершив третью, но, надеюсь, последнюю ошибку.
Отправив документы, я занялся своими делами и на пару часов забыл об этом. Через пару часов я решил проверить почту, и был неприятно удивлен, обнаружив, что не могу залогиниться на my-general-mail@gmail.com. При попытке восстановления пароля я увидел, что номер телефона для восстановления пароля сменен на чужой, а к альтернативным e-mail добавлен адрес в зоне .cc, в которой у меня доменов никогда не было. Все стало понятно. Теперь о моей второй ошибке. Я не знаю, таковы ли защитные механизмы Google, или это просто невнимательность взломщика, но в списке альтернативных адресов для восстановления пароля остался и адрес, указанный мной. И все бы хорошо, но… Это был адрес на домене s-a-p.in, а домен был направлен на NS взломщика. Таким образом, на данный момент у меня не было никаких шансов восстановить пароль из-за своей ошибки — я завязал свои ящики по кругу.
Мне немного повезло — я оставался залогиненным в своем тикете, который писал Reggi.ru. Я сразу же зашел туда, чтобы сообщить, что почта, на которую я просил установить доступ, также взломана. Тут меня ждал неприятный сюрприз. В тикете красовалось следующее сообщение:
Нужно ли говорить, что я не писал этого сообщения? Разумеется, я тут же сообщаю о ситуации и прошу не производить разблокировку аккаунта. Спасибо Reggi.ru, они его не разблокировали.
Ситуация патовая. Я регистрирую адрес my-temp-mail@gmail.com и отправляю запрос на восстановление аккаунта Google через соответствующую форму. Ответ придет через сутки. Что еще я могу сделать? Я решаю написать письмо на свой ящик и выйти на связь со вломщиком. Вскоре мне приходит ответ:
В ICQ мы списались на следующий день. Не буду приводить весь лог, так как это займет слишком много места. Суть в следующем: взломщик хотел получить мой домен greatwords.ru. Если я откажусь передать ему его добровольно, он угрожал, воспользовавшись моими сканами, которые, естественно, были на почте my-general-mail@gmail.com, подделать мои документы, поставить фальшивую печать, якобы они заверены у нотариуса, и, отправив их регистратору, таким образом получить контроль над доменом насильственно. В случае добровольной передачи он даже обещал выплатить мне некоторую сумму.
Разумеется, я отказался. На угрозы подделки документов я ответил, что вечерним рейсом вылетаю в Москву и буду у регистратора раньше его дропа. Через 10 минут молчания взломщик сообщил мне, что я могу «не парится», и что я выиграл. Ему нет смысла продолжать, так как в любом случае я свое верну. И пообещал вернуть все, что украдено. Не сообщит ли он мне в таком случае пароль от my-general-mail@gmail.com? Разумеется, но только в понедельник (разговор происходит в субботу), с работы, так как там у него VPN и соксы. Поверить очень хотелось, но с каких пор для того, чтобы сказать пароль, необходим VPN и соксы? Значит, он врет. Я сделал вид, что поверил ему. Пусть думает, что ему удалось меня обмануть, это даст мне преимущество.
Я связался с Reggi.ru. Они посоветовали мне обратиться напрямую к Ру-центру — регистратору доменного имени greatwords.ru. Там посоветовали отправить им обычной почтой письмо с просьбой запретить передачу прав на домен без моего личного присутствия и тем самым обезопасить себя от подделки документов. Я отправил такое письмо в тот же день. Теперь все зависело от скорости работы почты, от Ру-центра и от действий взломщика.
Не буду тянуть резину. Вскоре письмо в Ру-центр пришло и с этого момента передача прав на домен без моего личного присутствия стала невозможна. За эти несколько дней взломщик не успел (или не захотел) совершить перерегистрацию, и домен остался у меня. Также мне удалось восстановить доступ к my-general-mail@gmail.com. С большим трудом — помогло только то, что в то время у меня на руках находился недавно полученный чек Google Adsense. Только с его помощью мне удалось доказать саппорту Гугла, что я — это я. Имея доступ к my-general-mail@gmail.com, я восстановил все украденные у меня аккаунты, а немного позже и контроль над аккаунтом Reggi, и, соответственно, всеми своими доменами.
Перехожу к заключительной части своего рассказа. Наверняка, вам интересно, каким же образом была проведена атака. Я намеренно отделил эту часть от основного повествования. Сначала, как я уже упоминал, я преположил, что был взломан my-old-mail@online.ua. После потери доступа к GMail я уже был уверен, что схватил трояна — другого объяснения я не видел. Но я ошибался — трояна не было. Картину происходящего мне удалось восстановить, только проанализировав содержимое ящика в то время, когда им пользовался взломщик, разговорами с саппортами и, частично, со слов взломщика. Все произошло следующим образом.
Взломщик, заинтересовавшись моим доменом greatwords.ru, проверил его данные по whois. Там был указан e-mail my-old-mail@online.ua, так как именно на него был зарегистрирован аккаунт Reggi. По NS или по IP взломщик определил моего регистратора. Далее, он написал в саппорт шарашкиной конторы online.ua и эти идиоты по его просьбе, без каких-либо доказательств удалили мой аккаунт my-old-mail@online.ua. После чего взломщик его зарегистрировал и получил доступ к панели управления доменами. Направив домен s-a-p.in на свой сервер, он поднял на нем почту и, благодаря моей глупости с альтернативными e-mail, смог получить доступ к my-general-mail@gmail.com. Вот так человеческий фактор в совокупности с полной безответственностью Online.ua сделал возможным эту ситуацию.
Я хочу предупредить всех, кто пользуется услугами Online.ua. Будьте осторожны. Перенесите все важные регистрации на другую почту, так как в один прекрасный день ваш аккаунт могут просто удалить по просьбе неизвестного. Если ваши знакомые пользуются Online.ua, предупредите их. Это абсолютно безответственный провайдер, которому наплевать на конфиденциальность ваших данных и вашу безопасность.
В качестве заключения, приведу текст моей пересылки с ними. Да, я хотел с ними поговорить после всего этого, хотя, конечно, не собирался иметь с ними никаких дел. Их реакция весьма показательна.
Я:
Здравствуйте.
Прежде всего, огромное вам спасибо, за то что без всяких подтверждений удалили мой аккаунт my-old-mail@online.ua по одной просьбе неизвестного. Благодаря вашему раздолбайству, ему удалось зарегистрировать эту почту, после того, как вы ее удалили, и украсть у меня домены и основную почту. До сих пор мне не удалось все это восстановить.
Я требую немедленно заблокировать зарегистрированный злоумышленником аккаунт и предоставить мне, как изначальному владельцу, доступ к нему.
Без уважения,
Андрей Сабинин.
Online.ua:
Здравствуйте!
Никто Ваш аккаунт не удалял. Как Вы можете доказать что это Ваш почтовый ящик?
Я:
Вот выдержка из разговора со взломщиком. Он меня шантажировал, но ему это не удалось, после чего я сумел получить от него информацию по взлому.
16:01:53 взломщик: Троя на компе у тебя нет, просто online.ua мудаки
16:02:20 sap: я так и думал что ты через онлайн.юа сломал вначале
но тогда я не понимаю, как ты добрался до гмейла
16:02:27 взломщик: Если с ними погворить они могут удалить мыло, а разумеется, могу его зарегистрировать. Все.
16:03:28 взломщик: > sap (17:02:19 13/11/2010)
> я так и думал что ты через онлайнюа сломал вначале
> но тогда я не понимаю, как ты добрался до гмейла
Перенаправил домен на какойто ру вдс, создал там почтовик создал мыло ***@*** ретривнул
Причем я уверен, что трояна у меня действительно не было и других путей взлома я не вижу. Вы будете утверждать, что не производили никаких действий с моим аккаунтом?
Какие необходимы доказательства для восстановления доступа?
Online.ua:
Здравствуйте!
Дайте ответ на контрольный вопрос который Вы указывали регистрируя ящик my-old-mail@online.ua
Я:
Я регистрировал этот ящик три с половиной года назад и более двух лет им не пользовался.
Какой там был вопрос?
Online.ua:
Дата регистрации ящика my-old-mail@online.ua 10.11.2010 21:36:51 а не три с половиной года назад.
Советую Вам больше не писать в службу технической поддержки. Не тратьте наше время и своё.
Я:
Вы вообще читали, что я писал раньше? Естественно, дата новой регистрации 10.11, так как он был зарегистрирован злоумышленником после того, как вы его удалили!
Если вы отказываетесь контактировать со мной по электронной почте, сообщите адрес вашего офиса или юридического отдела, а также вашу фамилию, чтобы я имел возможность подать на вас жалобу.
В ответ молчание. Вот и все.
Будьте осторожны. И не пользуйтесь услугами Online.ua.