У вас завелся ботнет… (или как я начал бояться ФБР)

    Мне нравятся ботнеты. Нет, не делать (это плохо), а изучать! Сделать ботнет, на самом деле не так сложно (сложно сделать, и при этом НЕ сесть за #). Куда более интересная задача — получить контроль над чужим ботнетом и обезвредить его.

    Работая в данном направлении, я обнаружил сервер в составе ботнета, название которого мне пока неизвестно. Данный сервер имел высокие характеристики и принадлежал не очень крупному зарубежному web-хостингу. Игравший у меня в одном месте альтруизм вынудил меня сообщить об угрозе владельцам сервера. Что из этого получилось, я сегодня расскажу. Можно ли из этой истории сделать какие-либо выводы — думайте сами.

    image

    Вся переписка происходила на английском языке. В связи с большой разницей в часовых поясах беседа растянулась на несколько дней. При переводе на русский опустил часть критичной информации, при этом стараясь не потерять основной смысл.
    Зайдя на сервер, и посмотрев hostname, я сразу понял, кому принадлежит данный сервер. Перейдя на главную страницу хостинга я нашел два способа связаться со службой поддержки: форма обратной связи и ссылка на чат в мессенджере. Так как я не хотел регистрироваться, то выбрал второй вариант. Перейдя по ссылке я попал в публичный чат, поэтому не стал сразу раскрывать все детали.

    Я: Добрый день! я нашел узел в вашей инфраструктуре зараженный ботнетом. С кем мне можно связаться, чтобы сообщить подробности?

    RM: Как он был заражен? Какие доказательства вы можете предоставить, что он заражен?
    … пауза…
    RM: Вы можете написать об этом @PT, но я очень сомневаюсь, что какой то из наших узлов является частью бот-сети.

    Я: test1.domen.com ваш узел?

    RM: О, этот узел уже не используется, скорее всего. Все web-клиенты с него были переведены на другой хостинг.

    На этом диалог с @RM приостановился на время, пока я общался с @PT. Но @PT оказался не очень приветлив, на все мои предупреждения отвечал отговорками «этот сервер никем не используется» и утверждал, что помощь им не требуется. Поэтому я продолжил диалог с @RM, но уже в личном чате.

    Я: На Вашем сервере есть пользователь с очень простой парой логин/пароль. Это стало точкой входа для программного обеспечения ботнета. Чтобы убедиться, что сервер действительно заражен, зайдите на него по ssh и посмотрите список запущенных процессов. Среди процессов увидите множество процессов с именем «tsm». Это и есть программное обеспечение ботнета. Чтобы избавиться от него, попробуйте удалить каталоги /tmp/.ts и /tmp/.zx, а затем перезагрузить сервер. При этом не забудьте поменять пароль.

    RM: Здравствуйте, этот сервер уже offline. Так что, если там что-то и было, то уже не представляет никакой проблемы. Я ценю, что вы пытаетесь помочь, но эта машина больше не угроза

    Я: Хм… Что вы скажете на счет этого?
    приложенное фото, где я успешно подключился к серверу


    После моего сообщения последовала пауза в несколько минут, которая придала немного драмматичности моменту.


    RM: Вы ведь знаете, что совершили незаконное деяние? Это несанкционированный доступ, и я обязан уведомить об этом Compliance Department.

    Я: Надеюсь, Вы понимаете что у меня не было никакого злого умысла и я просто пытаюсь вам помочь?

    RM: Я понимаю, но мне все равно необходимо сообщить об этом инциденте. Вы ни в коем случае не должны были так делать. Простого ping было бы достаточно, чтобы доказать, что он онлайн.


    Я: Что такое Compliance Department? Это федеральная служба или отдел вашей компании?

    RM: Отдел компании.
    Compliance Department занимается нарушениями условий обслуживания, жалобами и юридическими вопросами.


    Я: ФБР приедет за мной? =)

    RM: Нет, не думаю. Мы не сотрудничаем с этой службой.

    Я: Я хочу вам немного рассказать о себе, чтобы вы поняли мои мотивы.
    Я исследователь информационной безопасности (white hat). На данный момент я занимаюсь разработкой инструмента для поиска зараженных узлов ботнета и дальнейшего их анализа.
    Моя программа содержит honeypot (ловушка для ботнета). Ваш сервер попал в эту ловушку, когда пытался атаковать меня. Я уже видел образцы такого вредоносного программного обеспечения, поэтому примерно знаю, как с ними бороться. Вы первый, кому я предложил свою помощь.
    Я надеюсь, что этот инцидент закончится хорошо для меня и для вас.


    RM: В любом случае, благодарю Вас за то что сообщили нам об этом сервере. В ближайшее время мы выведем узел из эксплуатации, как должны были сделать ранее

    P. S.
    На момент написания статьи сервер был доступен, но зайти на него уже было нельзя.
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 119

      +27
      С точки зрения закона, какими бы ваши мотивы не являлись, за несанкционированное проникновение на машину можно присесть на достаточно много лет. Более того что подобные инциденты уже случались, когда т.н. white hat сообщали об уязвимости, а на них в качестве вознаграждения заводили уголовные дела. Надеюсь ваша история закончится хорошо, но больше так не делайте, пинга в самом деле было бы достаточно.
        +4
        за несанкционированное проникновение на машину можно присесть на достаточно много лет.

        Это если в %country% лично поехать. Сильно сомневаюсь, что за такие мелочи будет гребля с международным ордером на выдачу.

          +15
          Не обязательно ехать прям в %country%, достаточно поехать в Тайланд/ДругойКурорт и т.п. и уже оттуда вас экстрадируют. Ни на что более не намекаю.
            0

            это называется, как уехать за границу если тебе не дают визу))

          +2
          Присесть за взлом сервера, который взламывал атакующего?
          Ну спорно.
          В чём-то налогичная ситуация была на днях: iz.ru/942724/2019-11-13/vlasti-aiovy-zaplatili-kompanii-za-vzlom-sistemy-bezopasnosti-i-arestovali-ee-sotrudnikov
            +7
            Атака сервером Вас, не даёт Вам права несанкционированного доступа на атакующий сервер.
              +25
              Пора пересматривать право на необходимую оборону с учётом современных реалий!
                +2
                Сраная бюрократия ( Извините за эмоции ). То есть, если ты остановишь атаку контр атакой — ты убийца убийцы и должен сесть как убийца… Кабздец.
                  +2
                  Когда хороший человек убивает убийцу — в мире становится на одного хорошего человека меньше.
                    0
                    тогда соблюдаем баланс
                    image
                      +11

                      поэтому он должен убить не меньше двух убийц

                        –2
                        казалось бы, при чём здесь свидригайлов
                      +5
                      Несанкционированный доступ? Автор онлайн продемонстрировал самоуверенному ленивому индюку, который отказывался продолжать разговор, что в его хозяйстве — дыра. Не проэкплуатировал уязвимость, а просто показал этому недоумку, что его «выключенный» сервер ещё работает.
                      Но индюк не был бы индюком, если бы адекватно воспринял свою неправоту и побежал выключать сервак. Решил задавить законом «умника».
                      Вот и вынесет автор урок из этой ситуации. И следующий олух, у которого он найдёт «выключенный» сервер с ботнетом, может присесть за атаку, которую он проводит на честных людей. Пускай потом доказывает, что он — индюк, а не верблюд.
                        +4
                        Но индюк не был бы индюком, если бы адекватно воспринял свою неправоту и побежал выключать сервак. Решил задавить законом «умника».

                        Имхо, вторая сторона поступила гораздо разумнее, чем может показаться:


                        1) Бежать выключать сервер — довольно сомнительная идея, я могу придумать довольно много причин, почему выключенный сервер оказался включённым, при этом половина из них не подразумевает то, что его выключение сейчас не приведёт к чему-то плохому.


                        2) В предоставленном переводе я не вижу, чтобы автору кто-то угрожал. Ему сказали, что об этом сообщат в особый отдел, что влезать на чужой сервер неправильно, что так делать не нужно. И я вполне с этим согласен. Не было никаких "Ну все, сейчас ты сядешь, хакерок недоделанный, пусть мамка готовит деньги на еду в тюрьму".


                        3) Обращение в специальный отдел, если он существует — максимально правильное действие. Как минимум, для того, чтобы избежать возможных вопросов во время возможного аудита и экспертизы, почему сотруднику стало известно о доступе к серверу, но он не сообщил так, как это требуют правила компании. Вон, лежат логи входа, а рядом с ними — логи того, как кто-то залил скрипты, выкачал все данные с сервера (а кто знает, что там было), плюс попытался с него пролезть во внутреннюю сеть.


                        Поведение "хорошего специалиста", который бы ответил "Ого, спасибо, мы не заметили, сейчас выключу" больше бы понравилось сообществу, но и было бы более опасным для самого сотрудника.

                    +11

                    К счастью, такая практика не абсолютно распространена, иначе бы от вайтхатов ничего не осталось, а среди остальных было бы естественным правило "нашёл дыру — сначала продай, через пару лет, может быть, сообщишь"

                      +4

                      Тем не менее, пока это не будет закреплено на законодательном уровне — лучше так не делать, посколько пока что закреплено обратное. Взломал — должен быть наказан.

                        +4
                        Ничего не будет в России за это деяние, т.к. согласно «УК РФ Статья 272. Неправомерный доступ к компьютерной информации» у автора не было «корыстной заинтересованности», а также «деяние НЕ повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации».
                        Мир вам!
                          +5
                          Вы же понимаете что это вы будете доказывать что вы не верблюд? Точнее, что не имели корысти, а если что вдруг таки удалилось — что это не вы?
                            0
                            формально говоря, для соблюдения презумпции невиновности корыстный мотив требует доказательств со стороны обвинения
                              0

                              Но ведь доказательств не мотива, а доказательств преступления и ущерба, разве нет?

                                +1
                                мотивацию тоже доказывает обвинение
                                вы же понимаете разницу между смертью, причинённой по неосторожности, непредумышленным убийством и предумышленным убийством?
                                а они различаются как раз субъективной стороной, объект один и тот же — жертва в виде трупа

                                проводя аналогию, более приближённую к теме дискуссии: при вводе логина я опечатался и вошёл в чужую учётку, у кого-то тоже оказался пароль 12345 — значит ли это, что я незаконно получил доступ к охраняемой информации?
                                  0

                                  Но вы ведь можете получить доступ умышленно не имея ни мотива, ни выгоды. Как тогда?

                                    0
                                    В вашем варианте «взлом по неосторожности» получается, что не особо реалистично. Исходя из примера данной статьи: мотив есть, но он «не корыстный». И по аналогии: мотив есть почти всегда, просто иногда оно корыстный, иногда альтруистический, иногда исследовательский, иногда еще какой-то
                          +2
                          копирование компьютерной информации

                          С точки зрения банальной эрудиции юриспунденции снятие скриншота таковой является.
                            0
                            А если посмотреть на экран и запомнить информацию?
                            +2
                            «деяние НЕ повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации».

                            Сам вход должен был оставить логи и тд, то есть технически компьютерная информация изменилась.
                              0
                              уничтожение, блокирование, модификацию либо копирование компьютерной информации
                              Данная формулировка бессмысленна, так как она всегда будет правдой
                            +1
                            А как его узаконить, чтобы все подряд не начали себя к вайтхатам причислять? Где грань провести?
                            Чтобы примерно такое не прокатывало
                            -Что делали в квартире потерпевшего?
                            -Ну мы шли просто, видим, квартира открытая стоит. Нехорошо ведь, — шпана увидит, растащит все. Спасать надо. Ну мы и зашли посмотрели, что ценное есть, телевизор забрали, золото, шубу норковую. Но мы то адресок себе записали, чтобы вернуть все потом, как хозяин объявится.
                            -И почему за 3 месяца так и не вернули?
                            -Заняты сильно были.
                            -И чем же?
                            -Другие квартиры спасали
                              0

                              Мне кажется это может выглядеть как-то так (разумеется, это сильно-силньо набросок):


                              • Взломщик обязан связаться с владельцем для уведомления в течении часа.
                              • Взломщик должен поставить в известность стороннюю службу (хз какую) о факте взлома и о том, что владелец был уведомлён.
                              • Если это не несёт ущерб, взломщик должен сменить все пароли и передать новые пароли владельцу (если не смог связаться с ним в оговоренные сроки).
                              • Если несёт, взломщик может самостоятельно вылечить заразу (если нет рисков ущерба, опять же).
                              • Таким образом, если всё описанное выполнено и зафиксировано (то самое обращение в стороннюю службу), взломщик может претендовать на оплату, а так же на +1 white-hat взлом в системе учёта оных.

                              Соотвественно, если что-то было не выполнено, или выполнено не по протоколу (знал об ущербе, но всё-равно сменил пароли), то это уже злоумышленные действия со всеми вытекающими.

                            +7
                            "- Кто людям помога-ает — тот тратит время зря!"©
                              0
                              Именно
                              image
                                0
                                "- Кто людям помога-ает — тот тратит время зря!"©
                                Смотря каким людям.
                              +5
                              А если сервер в строю и работает, но у него запрещён ICMP?
                                +2
                                nmap -PN -p22 hostname
                                  0
                                  Это не совсем пинг, но ок. Так и через 2ip можно было бы проверить.
                                    0
                                    nping --tcp -p 22 hostname
                                      0
                                      Вот теперь — верю. Плюс от меня здесь.
                                –9
                                Если мою машину начнёт атаковать какой-то из серверов с ботнетом, я имею полное право хоть полностью разнести всю их инфраструктуру, и упереть все данные, а в суде представить это самозащиту, мало того ещё подать иск на ущерб.
                                  +10
                                  (Устало потирая глаза) Господи, что за глупости… Нет, не имеете.
                                    0
                                    А если рассмотреть в общем случае?
                                    Допустим зловред сидит в тьмутаракани.
                                    твой сервер в зимбабве.
                                    А ты сам в лимпопо.
                                    По законам какой страны ты должен себя вести при отражении атаки?
                                      0
                                      очевидно тьмутаракани
                                        +1
                                        отлично. 3 ответа на мой вопрос и все разные.
                                          +1
                                          Думаю в любом случае самый правильный с точки зрения закона вариант забанить подсеть, так как вы тем самым себя обезопасите…

                                          А с точки зрения инженегра, я бы выполнил выше указанное и всё же через цепочки и тор зашёл бы к ним отрубил ботнет, поменял бы пароли, потушил бы сервер и оставил записку на сервере что так делать нельзя, что бы при первом же запуске и подключении вывести информацию от аннона… Но это больше моё ИМХО, и ни в коем случае это не руководство к действию… ( Это для наших из отдела К и роском позору, а то любят за подобные вещи с вопросами подходить )
                                            0
                                            Ага, забанишь подсеть, а потом получишь иск т.к. отказал в заключении договора конкретному человеку. 426 ГК РФ.
                                              +1
                                              Какого договора? Я лично Вас не совсем понял, со мной он будет какой то договор заключать? Или с моей компанией?

                                              Судя по вашей логике роскомпозор должен был исков нахвататься столько что обязан был закрыться.
                                                +1
                                                У вас есть сайт. На нём магазин.
                                                Вы блокируете подсеть.
                                                В той подсети живёт вася пупкин и обвиняет вас в нарушении 426гк рф
                                                «Лицо, осуществляющее предпринимательскую или иную приносящую доход деятельность, не вправе оказывать предпочтение одному лицу перед другим лицом в отношении заключения публичного договора»
                                                Вы оказали предпочтение людям с незаблокированными IP адресами.
                                                С роскомпозором интереснее.
                                                Он не блокирует доступ к своим адресам.
                                                Он блокирует доступ к чужим адресам.
                                                Поэтому технически, он никак не оказывает предпочтений по заключению договоров.
                                                И вообще, это не доказательство того, что незаконно блокировать IP.
                                                А доказательство того, что это могут счесть незаконным.
                                                  +1
                                                  Дык ок, я и не собирался отказывать, а то что так вышло и с его подсети меня начали атаковать и в целях самозащиты подсеть была отправлена в баню. С точки зрения законодательства Я ему не отказал, он всё так же имеет право зайти на сайт с другой подсети, либо обратиться по почте к нам с просьбой разрешить доступ с его БЕЛОГО ип… С другой стороны ему так же никто не запрещает включить режим турбо в браузере и спокойно обойти эту блокировку…

                                                  Я конечно понимаю что у нас в законодательстве всё для людей ( а если точнее для власть и деньги имеющих людей )… В любом случае вероятность получить иск от человека, в разы ниже чем вероятность взлома и финансовой потери из-за этого… Поэтому из двух зол нужно выбирать наименьшее =)
                                                    0
                                                    А в законе и не отказ. А предпочтение.
                                                      +1
                                                      Ок, но по моему имхо: Предпочтения никакого не было, я не выбирал из № количества и сказал этим дать договор а этим не дать, я по сути заблокировал 1 из миллионов входов в свой магазин потому что он уже горит от банды которая пытается забраться в магазин и всё бы ничего но там же рядом с ним бочки динамитом которые спокойно всё на воздух отправят…

                                                      Как видно из этого весьма любопытного описания никто не запрещает ему проехать по другому пути и получить что ему хочется… Никто даже не знает что есть какой-то индивид который пытается пройти через этот проход…

                                                      Ну это всё же имхо.
                                        +1
                                        Очевидно — по законам лимпопо. Вы же лично будете предпринимать какие-то действия для защиты, своими физическими руками по физической клавиатуре.
                                          +1
                                          По законам Тьмутаракани и Лимпопо. А также тех стран, через которые идет ваш трафик.
                                        +1
                                        а тут всё просто как капуста — перебор паролей это во первых попытка несанкционированного доступа, во вторых нагрузка на машину, так что своими действиями, вы по сути избавились от ботнета, а владельцу машины ещё придётся доказать, что он не соучастник и попытаться не сесть за решётку.
                                          0
                                          К примеру, в Республике Беларусь, любые умышленные действия, повлекшие сбой в работе машины — п1. ст.349 УК РБ. Т.е., если вы положите удаленную машину, вы, формально, совершите уголовное преступление. Потому что нет такого понятия, как виртуальная самооборона. А есть понятие «Необходимая самооборона». ст25 УК РБ
                                          2. Не является преступлением действие, совершенное в состоянии необходимой обороны, то есть при защите жизни, здоровья, прав обороняющегося или другого лица, интересов общества или государства от общественно опасного посягательства путем причинения посягающему вреда, если при этом не было допущено превышения пределов необходимой обороны.

                                          Т.е., если вы набьете админу ботнета морду лица — это будет самооборона от посягательства на ваши права. А если вы взломаете его сервер — это будет
                                          1. Несанкционированный доступ к информации, хранящейся в компьютерной системе, сети или на машинных носителях, сопровождающийся нарушением системы защиты (несанкционированный доступ к компьютерной информации), повлекший по неосторожности изменение, уничтожение, блокирование информации или вывод из строя компьютерного оборудования либо причинение иного существенного вреда, –

                                          наказывается штрафом или арестом.

                                          Хотя, по ч1.ст.349 возбудить дело можно только по заявлению потерпевшего, что, естественно маловероятно.
                                            0
                                            Даже если вы забаните адрес сервера, он продолжит нагружать канал запросами запросами, и тут формальном просто нет законов которые здесь можно применить, т.к. и небыло достаточно прецендентов, так что в таком случае проще разнести к чертям всю инфраструктуру поражённую ботнетом, т.к. это остаётся в полномочиях ИБ.
                                              0
                                              любые умышленные действия, повлекшие сбой в работе машины
                                              sudo shutdown
                                        0
                                        На фоне этого родился вопрос. Что делать, если сервер онлайн, зайти на него можно, но на нём заблокирован icmp? Получается, что зайти можно, а попинговать чтобы доказать, что он включён — нет. Как доказать, что он включён не нарушив закон? Скан SSH порта? Тоже как бы не очень белое действие.
                                          +1
                                          nping --tcp -c1 1.1.1.1
                                            0
                                            Мне уже ответили на этот вопрос выше.
                                            0
                                            Немного перефразирую фразу из «Код да Винчи»: Законы пишут люди. Люди — несовершенны. Все люди.

                                            Жаль, что в реальной жизни живут не по правде и справедливости, а по закону…
                                              +1

                                              Справедливость она у каждого ведь своя. Гопник Вася считает, что справедливо отобрать у вас телефон, т.к. если ты не смог себя защитить, то и телефона недостоин

                                                0
                                                Гопник Вася считает, что справедливо отобрать у вас телефон, т.к. если ты не смог себя защитить, то и телефона недостоин
                                                А сам он готов расстаться с деньгами, так как не смог их защитить или нет? Он не против трояна, который уведёт деньги с его счёта? У законов всегда есть цель, однако исполняются исключительно законы, без оглядки на цель с которой он принят.
                                                  0
                                                  Неправда. Пример: оштрафовали водителя, который вышел на дорогу без светоотражающего жилета. Хотя согласно определению в ПДД он был пешеходом. Оштрафовали именно как водителя.
                                                  И подобных примеров в ПДД полно.
                                                  Покажите мне хоть 1 штраф за перевозку хозяйственной сумки-тележки по тротуару, хотя согласно букве ПДД это транспортное средство и должно двигаться строго по полосам движения.
                                                    0
                                                    согласно букве ПДД это транспортное средство

                                                    Нет. В правилах чётко указано что такое "механическое транспортное средство". Например, велосипед — нет. Даже мопеды с мотором меньше определённого (по крайней мере раньше).

                                              0
                                              С точки зрения закона, какими бы ваши мотивы не являлись, за несанкционированное проникновение на машину можно присесть на достаточно много лет.
                                              Дыры в безопасности появляются из-за чьей-то невнимательности. А из-за таких идиотских законов ошибки долго остаются неисправленными.
                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                0
                                                Ну по-хорошему обратится к правоохранителям — дальше они [вероятно] привлекут виновных и дальше можно будет даже предъявить виновнику ущерб.
                                                  0
                                                  Заявление в Роскомнадзор чтобы адреса забанили?
                                                  Чисто технически — заявление в полицию или прокуратуру. Приложить доказательства. В идеальном мире к хозяевам сервера постучится Интерпол.
                                                  +4

                                                  То, что вы делаете называется gray hat, а не white hat.

                                                    +7
                                                    Достаточно было сообщить, что у хостера есть проблемный сервер
                                                    Если хостер включает мороз — то у него есть аплинк и абузу надо катать туда
                                                      +5
                                                      Что-то я не понял. Что такое аплинк хостера? И как его найти (для общего развития)?
                                                        +1
                                                        Вышестоящий провайдер. Через whois.
                                                          0

                                                          А если вышестоящий включает мороз?

                                                            0
                                                            Тогда ущипни себя и проснись
                                                        +1

                                                        Есть такое понятие bullet proof hosting. Вы к ним хоть в двери ДЦ стучать будете, они без ордера и без выноса дверей вам не откроют. По этому частенько такие abuse бесполезны.

                                                        +2

                                                        Я один не понял, при чем тут ФБР?..

                                                          0
                                                          Ну обычно в подобных случаях за тобой выезжает пативэн. :)
                                                          image
                                                            0
                                                            В данном случае возможен лишь вариант что пативэн будет ждать пока ты приедешь к нему сам (выедешь за границу РФ), так как в этой стране локализованная версия пативэна не всегда приезжает даже если ты атакуешь сервер расположенный в этой же стране, и уж тем более если сервер заграничный.
                                                          +1
                                                          Вспомнил, как как поймал как-то давно мобильный вирус. Довольно тупой — простейшая прога на Java, которая просто посылала смс по готовому списку номеров с готовым текстом, чтобы подписаться на платный контент.
                                                          Прога рекламировалась на каких-то баннерах как «Новейшая версия Opera» или что-то вроде. Ссылка вела на скачку файла с какого-то сервера. В итоге я написал регистратору домена, он отправил меня к хостеру сайта. Написал хостеру сайта. В итоге, кажется, дело кончилось ничем — никто не хотел с этим разбираться.
                                                          И МТС тоже мне денег не вернул в итоге, хотя я им всё расписал — как чего откуда и куда, но им это нафик было не надо опять же.
                                                          Так что не удивлён.
                                                            +3
                                                            Как то давно давно, попал на деньги по своей глупости, как раз на такой вирус. МТС и МВД ответили, что у нас лапки. МТС — что признали, что это вирус, деньги не вернули, а партнеры куда улетели деньги, это не наши партнеры и вообще. В МВД в принципе не хотели понимать, про что я им говорю, в итоге в ответе было, что сумма ущерба для меня не значительна, даже не вникая в подробности. У всех лапки и ленивые *опы.
                                                              +4
                                                              ленивые *опы.

                                                              Копы?
                                                                +1
                                                                *опы — *опы.
                                                              +1
                                                              Вообще, по-хорошему о таком следует писать в CSIRT/CERT. В России есть, как минимум, CERT-GIB и RU-CERT. Правда, в первом мне ни разу не отвечали, а второй — смехотворный какой-то (сужу по наполнению сайта).

                                                              Если пишете регистратору, пишите максимально простым, нетехническим текстом, потому что читать это будут в первой линии поддержки. Используйте выражения типа «компьютерный вирус» вместо «ботнет», включайте только те подробности, которые бы были понятны вашей маме.
                                                              +8
                                                              Сколько живу, а еще не могу привыкнуть к такому подходу вещей.
                                                              Человек по своей воле вам хочет помочь, а в ответ, мы ничего делать не будем у нас всё хорошо и вообще у нас лапки.
                                                                +3
                                                                О, я сейчас собрание собственников в доме провожу. 15% людей заинтересованы улучшить условия, 85% ничего не хотят знать, при этом старательно игнорируют все попытки до них достучаться. Полагаю это общее правило во многих ситуациях.
                                                                  +2
                                                                  Какое собрание собственников? У нас В многоквартирном доме (Москва) раз в квартал предлагают потравить вредителей. До этого с тараканами и мышами беда была, квартиру держали в круговой обороне. После того как дом массово обработали от вредителей с 5 лет не было слышно ничего, а тут оказывается пара подъездов и не думали делать. Там тараканы спокойно плодились и когда «партизаны» вернулись живые с новых территорий, тут мы поняли, что они никуда не уходили из дома.
                                                                    +8
                                                                    Это еще и не новая проблема. Люди избегают ответственности. «И так тревожно, а тут еще нужно заморочиться, разобраться, договориться. А вдруг обманут? Одни аферисты вокруг. Еще с соседями общаться, фу, возникнут „притирки“, недопонимания, разные проблемы. Зачем это, и так жизнь непростая, пойду как я мимо».
                                                                    +1
                                                                    Собеседник сообщил что доложит о действии, иначе и его могут привлечь за самовольство и сомнительные дела. Видишь что-то противоречащее твоему скрипту — доложи куда нужно, чтобы рапорт был составлен верно, а не надейся на объяснения в дальнейшем, когда внезапно спросят.
                                                                    И они не говорили, что ничего не будут делать. Нужны были доказательства, а доказательства в данном случае, были слишком откровенные.
                                                                      +1
                                                                      Хмм,
                                                                      Помнится когда Ваня с Петей резвились в сетке минздрава Великобритании, служба защиты на заявления о проблеме в безопасности тоже, писали рапорты вышестоящему начальству, а не проводили проверки. О чем позднее с извинениями они рассказывали общественности.
                                                                        0

                                                                        Напомните, что это за история?

                                                                          +2
                                                                          Речь про Petya.A, который порезвился на компах в больницах GB.
                                                                          Но мне это больше напомнило крушение поезда под Эшеде. Когда вместо того что бы просто дёрнуть стоп-кран, пассажиры, согласно правилам, побежали искать проводника что бы тот дёрнул. В результате — больше сотни трупов.
                                                                      +5
                                                                      не могу привыкнуть к такому подходу вещей

                                                                      Умение профессионально лгать и не стыдиться выглядеть умственно неполноценным — это важнейшие критерии отбора двуногих в любую службу техподдержки, в политики и в журнализды.

                                                                        0
                                                                        Ну я по работе тоже брешу много и многое прокатывает, но у меня не прокатывает " ничего не знаем, у нас всё хорошо".
                                                                      +8

                                                                      не совсем понимаю, как можно упрекать человека за несанкционированный доступ к выключенному серверу? ему ведь прямым текстом сказали, что сервер выключен.

                                                                        +1
                                                                        Какая разница, включен сервер или нет, если к нему получили несанкционированный доступ?
                                                                        Залезать в чужую машину нельзя, даже если она открыта и оттуда играет неприятная музыка.
                                                                          +2
                                                                          неверная аналогия же
                                                                          — ваша машина открыта и ключ в замке зажигания
                                                                          — неправда, моя машина стоит в гараже в другом районе
                                                                          — вот, смотрите (фотка машины с открытой дверью и ключами в замке)
                                                                          — ДА ТЫ ВОР!!!
                                                                            +2

                                                                            Вы упускаете тот момент, что автор проник на сервер. Внутрь. Сел в машину, если хотите. Это важно.
                                                                            Для кого-то это не проблема, а кто-то может и в суд подать.

                                                                        +4
                                                                        Ударь меня, ударь меня, у меня броня, и вообще я выключен.
                                                                        А-а-а, а ты знаешь что совершил уголовно наказуемое действие!!!
                                                                          +1
                                                                          мой сервак пытались взломать месяц я всё смотрел и ржал за бесполезными попытками это сделать, в начале было даже интересно смогут ли, а после стало скучно и в лом следить за этим сериалом и я отправил в баню всю подсетку… По мне это лучшая идея, хотя мог так же и хонейпотов расставить и пронаблюдать за поведением, но на это нужно время… а так как все атаки у них шли по ночам где то в 3-4 часа и при всём при том что ssh порт весел на совершенно не свойственном ему номеру ( пробовал менять номера они находили и пытались щемиться перебором )… мне как то больше спать хотелось чем наблюдать.
                                                                            0
                                                                            Та же ситуация вынудила меня разобраться с регулярными выражениями для fail2ban, блин. Так что какая-никакая польза от них есть!
                                                                              0
                                                                              Да, это хорошая вещь, но по мне лучше комбинирования с 2х факторной авторизации ничего нет.
                                                                                0
                                                                                Ну а как это применить к ботам, которые пытаются найти на моем личном вебсервере пхпмудмин? Я замутил 302 на «google.com/search?q=Rick+Roll», по этому признаку их и отлавливаю.
                                                                            +1
                                                                            Угу поставить дырявый хонипот и в нем скрипт, подающий на всех владельцев зашедших машин по ст. 272… Вот интерпол забегается…
                                                                              +1

                                                                              Самое фиговое в этой истории что это далеко не единственный случай. Многие люди не благодарный скот. Если бы ему на сервер залетел по этим же кредам шифровальщик, они бы имели на руках мыло, но не угрожалибы, а плакали ли бы, писали жалобные письма и платили баснословные деньги в битах что бы расшифровать свои данные, если там хоть что то было стоящее.

                                                                                +1
                                                                                как мне это знакомо :D…
                                                                                Тут ещё многое зависит от начальства им нужно ещё доказать что нужно деньги на нормальные системы защиты, на нормальные железки и выделения кучи времени на рефакторинг сети и домена… А после того как это всё случится сразу и деньги и люди находятся и т.д…
                                                                                  0
                                                                                  Ну вообще, он подключился к пользователю test, который хоть и может куда-то там атаковать, но в нормальных условиях такие учетки не имеют доступа к остальной системе, изолированы внутри домашнего каталога, на случай аварии тонны бекапов, ежедневное зеркало и т.п…
                                                                                  У хорошего админа…
                                                                                  А вообще тут тяжело судить, потому что в каждой конторе свои прядки и беспорядки.
                                                                                  0
                                                                                  Не удивлен, недавно отправил сообщение в поддержку mail.ru, что у них в почте в браузере рекламируются наркотики, ясно описал и снял скриншот этого объявления, дал ссылку куда ведет клик с этого объявления — на сайт продажи наркотика. В ответ мне пришло: «Пожалуйста, опишите подробнее Вашу проблему, совершаемые Вами действия и получаемый результат.»
                                                                                  У меня проблем нет, это у mail.ru проблемы. Или это совсем не проблема?
                                                                                    0
                                                                                    «Если вы не отзовётесь, мы напишем в Спортлото» (Высоцкий).
                                                                                    +2
                                                                                    Я бы настоятельно посоветовал бы не заниматься такой «благотворительностью»
                                                                                    Несколько лет назад читал на каком то сайте один случай. Один безопасник нашел на платном мониторинге брешь при помощи которой можно было получить доступ к БД и изменить значения. Доступ был ко всем данным пользователей включая их счета. Деньги вывести было нельзя из за двухфакторного подтверждения, но вот изменить номера кошельков для вывода вполне. Он сообщил админу о данном баге. Через несколько недель его арестовывают по заявлению админа который утверждал что данный безопасник обладая данным секретом подменил кошельки и пользователи выводили деньги с сервиса на подставной счет. Через какое то время выяснилось, что сам админ используя баг провернул эту аферу и имея на руках переписку написал заявление об атаке со стороны безопасника. Безопасника по данному обвинению оправдали, но так как он уже провел несколько месяцев за решеткой то чтобы все было не зря — дали ему 2 года за несанкционированный доступ к информации. Почему дали так мало не знаю, но он также просто хотел помочь.
                                                                                      0
                                                                                      Похоже, лучшая стратегия при существующем несовершенном законодательстве — быть «светло-серой шляпой» и действовать по принципу: «Обнаружил дыру — пройди мимо».
                                                                                      То есть, не извлекать из найденной уязвимости выгоду (продавая ее), но и не привлекать к себе внимания, сообщая хоть куда-то.
                                                                                      0
                                                                                      Рискну высказать мнение, что автор поста выбрал неверный канал связи, поэтому попал на каких-то менеджеров, отдел продаж и т.п. У хостера, регистатора, владельца АС и прочих есть контакты для абуз, вероятность получения обращений непосредственно администраторами там выше.
                                                                                      +1
                                                                                      Интересно, а если бы автор был бы обидчивее и после такого ответа уже начал бы ломать их? Почему в этом мире, когда людям показываешь на их ошибки, они вместо благодарности и исправления, начинают тебя атаковать?
                                                                                        0
                                                                                        Почему в этом мире, когда людям показываешь на их ошибки, они вместо благодарности и исправления, начинают тебя атаковать?
                                                                                        Вариантов два: или они дураки (или болезненно самолюбивые дураки, то есть дураки в квадрате), или они сами используют эту уязвимость (см. выше).
                                                                                        0
                                                                                        Автор, хотелось бы логичной концовки. Типа, прошло столько-то дней/часов/минут, пинг до сервера пропал. Ну или не пропал ) Тогда можно делать выводы.
                                                                                          0
                                                                                          Дельное замечание. Ответ на ваш вопрос добавил в конец статьи.
                                                                                          0

                                                                                          На ум приходит только одно слово "доброход".

                                                                                            +1
                                                                                            Мне нравятся ботнеты. Нет, не делать (это плохо), а изучать! Сделать ботнет, на самом деле не так сложно (сложно сделать, и при этом НЕ сесть за #). Куда более интересная задача — получить контроль над чужим ботнетом и обезвредить его
                                                                                            А про это статья будет? Как функционируют ботнеты, что именно мешает вновь собрать ботнет после обезвреживания? Не думаю, что какой-то хозяин ботнета сможет устранить уязвимость, чтобы к боту больше ни у кого доступа не было.
                                                                                              +1
                                                                                              Вот например статья. А так да, будут еще статьи как соберу достаточно материала.

                                                                                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                                            Самое читаемое