Продолжение, начало здесь.
Зайдя на сервер, я увидел открытую страницу банка в браузере, несколько скомпилированных версий популярного вируса, логи апача, который вел мониторинг атаки и открытую терминальную сессию на какой-то сервер с турецким IP с приглашением ввести логин и пароль. По логам апача было ясно, что турецкий сервер является одной из «голов» червя, т.е. центром координации атаки. Нужно было каким-то образом дать команду прекратить атаку, иначе, «отрубив» голову, мы уже никак не смогли бы остановить DDOS. Понимая, что я и так достаточно превысил свои полномочия, я заархивировал все интересующие меня файлы на сервере, выслал себе на почту, сделал несколько скриншотов и сообщил Сергею Ивановичу, чтобы он вернул доступ на сервер хакеру.
Позже, как Сергей Иванович и обещал, он предоставил мне номер ICQ и мобильника хакера. Хакера звали Александром. Сергей Иванович рассказал, что Александр работает программистом у иностранного заказчика. Заказчик арендовал этот и несколько других серверов на их хостинге для своих нужд. Позже, Сергей Иванович также поинтересовался у заказчика, в курсе ли он, что Александр использует сервер для DDOS атаки. В тот же момент хакер был уволен. Он был в бешенстве, и не пытался ни скрыться, ни замести следы, ни отрицать то, в чем его обвиняли. Он был уверен в своей безнаказанности.
В то время, как сетевики департамента связи вместе со срочно приехавшими сотрудниками CISCO, устанавливали модуль защиты от DDOS (все-таки десятки тысяч одновременно открытых соединений давали сильную нагрузку на фаервол), я попытался выяснить, кто же такой Александр, и не ошибся ли я в своих обвинениях. Сложить интернет-образ по номеру ICQ не составило труда: этот ICQ принадлежал некоторому человеку по нику Flick из Одессы, который успешно нашел работу в Киеве и переехал туда с женой. Дела шли у них хорошо, и он даже на одном из форумов советовался о покупке автомобиля. Также среди его постов находилось несколько связанных с обсуждением организации ботнетов и предложения своих услуг. Эта информация подтвердила правильность моих мыслей, и я решил связаться с хакером по ICQ.
— Здравствуйте, Александр, я сотрудник департамента информационных технологий банка <%bank_name%>
— здравствуйте
— я задам вам вопрос напрямую – мне нужен доступ на сервер, являющийся «головой» червя
— какого червя?
— Александр, я вам предлагаю сделку – вы мне сообщаете логин и пароль на сервер с IP XX.XXX.XXX.XXX, либо сами отключаете DDOS атаку, и мои действия дальше этого диалога не пойдут. Или вы продолжаете противиться, и я передаю всю информацию о вас в службу безопасности банка, и дальше разговор уже будут вести они.
— а если вы ничего не докажете, кто мне возместит моральный ущерб?
— Александр, мы сотрудничаем или нет?
— я не имею понятия, о чем вы говорите
В течении часа после этого диалога, турецкий сервер перестал пинговаться. «Голова»была отрублена. Оставалось единственное – передать всю информацию в службу безопасности банка, что я и сделал.
Служба безопасности подала заявление в милицию и через некоторое время мне позвонили из управления по борьбе с экономическими преступлениями и попросили прийти для консультации. Предварительно, одна из начальниц службы безопасности банка, дала мне несколько полезных советов, как себя вести при разговоре в УБЭП и сообщила, что дело ведет молодой, отличный специалист, парень, в хорошем смысле помешанный на этом деле. Но также она сказала, что мы должны понимать, что для него наибольший приоритет сейчас имеет дело об организации детской порнографии в интернет, которое он ведет, и честно призналась, что, так как ущерб, причиненный банку от атаки, трудно оценить, у нас не много шансов на удачный исход дела. Но, как говорится, наше дело – кукарекать, а там рассветет — не рассветет…
На этом собственно, все и закончилось. То ли в результате передачи дела в милицию, то ли разговора в ICQ, но атака на следующий день прекратилась и история закончилась. После консультации в УБЭП в течении следующего года, мне так никто не сообщил о результатах дела, но по время от времени выходящему в онлайн короткому номеру ICQ было понятно, что все таки хакер остался безнаказанным. Или же наказан? Потерей работы и нервными переживаниями, которых, я думаю, у него было в избытке.
the end
UPD: кажется в коментариях появился тот самый хакер, не буду утверждать точно, но ник похож, и коментарии каверзные. Напишу точно, когда изучу его
Зайдя на сервер, я увидел открытую страницу банка в браузере, несколько скомпилированных версий популярного вируса, логи апача, который вел мониторинг атаки и открытую терминальную сессию на какой-то сервер с турецким IP с приглашением ввести логин и пароль. По логам апача было ясно, что турецкий сервер является одной из «голов» червя, т.е. центром координации атаки. Нужно было каким-то образом дать команду прекратить атаку, иначе, «отрубив» голову, мы уже никак не смогли бы остановить DDOS. Понимая, что я и так достаточно превысил свои полномочия, я заархивировал все интересующие меня файлы на сервере, выслал себе на почту, сделал несколько скриншотов и сообщил Сергею Ивановичу, чтобы он вернул доступ на сервер хакеру.
Позже, как Сергей Иванович и обещал, он предоставил мне номер ICQ и мобильника хакера. Хакера звали Александром. Сергей Иванович рассказал, что Александр работает программистом у иностранного заказчика. Заказчик арендовал этот и несколько других серверов на их хостинге для своих нужд. Позже, Сергей Иванович также поинтересовался у заказчика, в курсе ли он, что Александр использует сервер для DDOS атаки. В тот же момент хакер был уволен. Он был в бешенстве, и не пытался ни скрыться, ни замести следы, ни отрицать то, в чем его обвиняли. Он был уверен в своей безнаказанности.
В то время, как сетевики департамента связи вместе со срочно приехавшими сотрудниками CISCO, устанавливали модуль защиты от DDOS (все-таки десятки тысяч одновременно открытых соединений давали сильную нагрузку на фаервол), я попытался выяснить, кто же такой Александр, и не ошибся ли я в своих обвинениях. Сложить интернет-образ по номеру ICQ не составило труда: этот ICQ принадлежал некоторому человеку по нику Flick из Одессы, который успешно нашел работу в Киеве и переехал туда с женой. Дела шли у них хорошо, и он даже на одном из форумов советовался о покупке автомобиля. Также среди его постов находилось несколько связанных с обсуждением организации ботнетов и предложения своих услуг. Эта информация подтвердила правильность моих мыслей, и я решил связаться с хакером по ICQ.
— Здравствуйте, Александр, я сотрудник департамента информационных технологий банка <%bank_name%>
— здравствуйте
— я задам вам вопрос напрямую – мне нужен доступ на сервер, являющийся «головой» червя
— какого червя?
— Александр, я вам предлагаю сделку – вы мне сообщаете логин и пароль на сервер с IP XX.XXX.XXX.XXX, либо сами отключаете DDOS атаку, и мои действия дальше этого диалога не пойдут. Или вы продолжаете противиться, и я передаю всю информацию о вас в службу безопасности банка, и дальше разговор уже будут вести они.
— а если вы ничего не докажете, кто мне возместит моральный ущерб?
— Александр, мы сотрудничаем или нет?
— я не имею понятия, о чем вы говорите
В течении часа после этого диалога, турецкий сервер перестал пинговаться. «Голова»была отрублена. Оставалось единственное – передать всю информацию в службу безопасности банка, что я и сделал.
Служба безопасности подала заявление в милицию и через некоторое время мне позвонили из управления по борьбе с экономическими преступлениями и попросили прийти для консультации. Предварительно, одна из начальниц службы безопасности банка, дала мне несколько полезных советов, как себя вести при разговоре в УБЭП и сообщила, что дело ведет молодой, отличный специалист, парень, в хорошем смысле помешанный на этом деле. Но также она сказала, что мы должны понимать, что для него наибольший приоритет сейчас имеет дело об организации детской порнографии в интернет, которое он ведет, и честно призналась, что, так как ущерб, причиненный банку от атаки, трудно оценить, у нас не много шансов на удачный исход дела. Но, как говорится, наше дело – кукарекать, а там рассветет — не рассветет…
На этом собственно, все и закончилось. То ли в результате передачи дела в милицию, то ли разговора в ICQ, но атака на следующий день прекратилась и история закончилась. После консультации в УБЭП в течении следующего года, мне так никто не сообщил о результатах дела, но по время от времени выходящему в онлайн короткому номеру ICQ было понятно, что все таки хакер остался безнаказанным. Или же наказан? Потерей работы и нервными переживаниями, которых, я думаю, у него было в избытке.
the end
UPD: кажется в коментариях появился тот самый хакер, не буду утверждать точно, но ник похож, и коментарии каверзные. Напишу точно, когда изучу его