Подкинуть наверх
Стол регистраций, быстро и безболезненно Присоединиться Идентификация
Ищем по постам, комментариям и картинкам
Nibler.ru >> Текст >> Как я ловил хакера

Как я ловил хакера



Хабрахабр.ру


Произошло это в начале 2008 года, когда я еще работал в одном крупном украинском банке инженером в IT-департаменте. Только спала новогодняя праздничная суета, и нагрузка на подразделения техподдержки немного поубавилась, как один из подотчетных мне web-серверов сообщил о заканчивающемся на диске месте. Беглый анализ показал, что стремительно росли логи IIS сервера, на котором крутится один из публичных платежных комплексов банка. Мои опасения оправдались – на сервер началась DDOS атака.
Формат атаки был следующим: со скоростью 150-200 запросов в секунду, методом GET, шло обращение к одному и тому же URL с большого количества IP адресов. Т.е. работал небольшой международный ботнет. Сам сервер и фаервол банка с атакой вполне справлялись, поэтому у меня было достаточно времени, чтобы изучить атаку и выработать план мероприятий по ее устранению.

Первым делом я проанализировал географию атакующих IP-адресов. Интенсивность была равномерно размазана по странам, и заблокировать какие-либо регионы было невозможно – банковским web-сервисом пользовались клиенты со всего мира, и блокировка какого-либо сегмента, означала бы для банка финансовые потери. Далее, предполагая возможный рост интенсивности атаки, я оптимизировал размер атакуемой страницы к минимуму. Нагрузка на сервер и фаервол упала, что не заставило себя ждать. Хакер, управлявший ботнетом, сменил адрес атакуемого URL, и атака перестроилась на картинку GIF – один из самых объемных элементов сайта. Эти действия дали мне хорошую зацепку, и я основательно подготовился к контрдействиям. Я написал ряд скриптов с использованием LogParser, обрабатывающие логи web-сервера и выявляющие «аномальное» поведение клиента. «Аномальным» считалось обращение к страницам в последовательности, не присущей ни клиентам банка, ни ботнету. LogParser удачно справлялся с гигабайтными логами, что давало мне хорошие шансы на оперативное реагирование.

На этот момент атака достигла 500 запросов в секунду. Таким образом, я подготовился, и бросил приманку – переименовал атакуемую картинку, сделал возвращаемую страницу с 404-й ошибкой минимальной, и стал ждать. Через какое-то время атака на мгновение остановилась. Так как ее эффективность свелась к нулю, хакер начал вручную, через браузер, «прощупывать» сайт на наличие объемных элеменов – LogParser быстро выявил такое «аномальное» поведение. Этого мне было достаточно – IP-адрес хакера был у меня в руках и он, на удивление, принадлежал не анонимному прокси-серверу, а одному из украинских хостеров, а по совместительству, и хорошему клиенту этого самого web-сервиса банка.

— Алло, Сергей Иванович, добрый день, Вас беспокоят из , c вашего сервера идет координация DDOS атаки на наш сайт
— Здравствуйте. Скажите мне IP
— XXX.XXX.XXX.XXX
— Да, клиент сейчас работает в терминальной сессии на этом сервере, я его отключу, и передам вам доступ к серверу. С этими уродами нужно бороться. Кстати у меня есть его контактные данные.
— Спасибо, я сообщу службе безопасности банка, они с Вами свяжутся.

Зайдя на сервер, я увидел открытую страницу банка в браузере, несколько скомпилированных версий популярного вируса, логи апача, который вел мониторинг атаки и открытую терминальную сессию на какой-то сервер с турецким IP с приглашением ввести логин и пароль. По логам апача было ясно, что турецкий сервер является одной из «голов» червя, т.е. центром координации атаки. Нужно было каким-то образом дать команду прекратить атаку, иначе, «отрубив» голову, мы уже никак не смогли бы остановить DDOS. Понимая, что я и так достаточно превысил свои полномочия, я заархивировал все интересующие меня файлы на сервере, выслал себе на почту, сделал несколько скриншотов и сообщил Сергею Ивановичу, чтобы он вернул доступ на сервер хакеру.

Позже, как Сергей Иванович и обещал, он предоставил мне номер ICQ и мобильника хакера. Хакера звали Александром. Сергей Иванович рассказал, что Александр работает программистом у иностранного заказчика. Заказчик арендовал этот и несколько других серверов на их хостинге для своих нужд. Позже, Сергей Иванович также поинтересовался у заказчика, в курсе ли он, что Александр использует сервер для DDOS атаки. В тот же момент хакер был уволен. Он был в бешенстве, и не пытался ни скрыться, ни замести следы, ни отрицать то, в чем его обвиняли. Он был уверен в своей безнаказанности.

В то время, как сетевики департамента связи вместе со срочно приехавшими сотрудниками CISCO, устанавливали модуль защиты от DDOS (все-таки десятки тысяч одновременно открытых соединений давали сильную нагрузку на фаервол), я попытался выяснить, кто же такой Александр, и не ошибся ли я в своих обвинениях. Сложить интернет-образ по номеру ICQ не составило труда: этот ICQ принадлежал некоторому человеку по нику Flick из Одессы, который успешно нашел работу в Киеве и переехал туда с женой. Дела шли у них хорошо, и он даже на одном из форумов советовался о покупке автомобиля. Также среди его постов находилось несколько связанных с обсуждением организации ботнетов и предложения своих услуг. Эта информация подтвердила правильность моих мыслей, и я решил связаться с хакером по ICQ.

— Здравствуйте, Александр, я сотрудник департамента информационных технологий банка
— здравствуйте
— я задам вам вопрос напрямую – мне нужен доступ на сервер, являющийся «головой» червя
— какого червя?
— Александр, я вам предлагаю сделку – вы мне сообщаете логин и пароль на сервер с IP XX.XXX.XXX.XXX, либо сами отключаете DDOS атаку, и мои действия дальше этого диалога не пойдут. Или вы продолжаете противиться, и я передаю всю информацию о вас в службу безопасности банка, и дальше разговор уже будут вести они.
— а если вы ничего не докажете, кто мне возместит моральный ущерб?
— Александр, мы сотрудничаем или нет?
— я не имею понятия, о чем вы говорите

В течении часа после этого диалога, турецкий сервер перестал пинговаться. «Голова»была отрублена. Оставалось единственное – передать всю информацию в службу безопасности банка, что я и сделал.

Служба безопасности подала заявление в милицию и через некоторое время мне позвонили из управления по борьбе с экономическими преступлениями и попросили прийти для консультации. Предварительно, одна из начальниц службы безопасности банка, дала мне несколько полезных советов, как себя вести при разговоре в УБЭП и сообщила, что дело ведет молодой, отличный специалист, парень, в хорошем смысле помешанный на этом деле. Но также она сказала, что мы должны понимать, что для него наибольший приоритет сейчас имеет дело об организации детской порнографии в интернет, которое он ведет, и честно призналась, что, так как ущерб, причиненный банку от атаки, трудно оценить, у нас не много шансов на удачный исход дела. Но, как говорится, наше дело – кукарекать, а там рассветет — не рассветет…

На этом собственно, все и закончилось. То ли в результате передачи дела в милицию, то ли разговора в ICQ, но атака на следующий день прекратилась и история закончилась. После консультации в УБЭП в течении следующего года, мне так никто не сообщил о результатах дела, но по время от времени выходящему в онлайн короткому номеру ICQ было понятно, что все таки хакер остался безнаказанным. Или же наказан? Потерей работы и нервными переживаниями, которых, я думаю, у него было в избытке

Нравится? Жми:

Поступило от W1ls0n 24 июня 2012, посмотрело 2857 чел.

111



Похожие посты
  • 160

Одна из самых больших DDoS-атак в истории

  • 119

Переезд на другой сервер. Важно!

  • 93

Интересные факты об Интернете

  • 179

История об одной претензии предпринимателя банку.

  • 99

Хакерская атака Facebook 28 января, протест против PIPA и SOPA

Комментарии5 Комментарии Вконтакте
Привет!
Понравился сайт? Тогда давай к нам! Моментальная регистрация
У нас куча весёлых людей! А еще енот и две черепахи.
Комментарии через Вконтакте, для тех у кого не доходят руки зарегистрироваться. Но Вконтакте-то вы точно есть ;)
Присаживаемся поудобней, заполняем формы, бланки и т.п.
Закрыть окошко
Моментальная регистрация через социальные сети
Или обычная регистрация на сайте
Пошель
Слыш, пацанчик! Ты с какого района? документики есть?
Закрыть окошко
Моментальный вход через социальные сети:
Или проверка личности

Введите ваш логин и пароль в форму

Пошель

О сайте Немного о нашем сообществе и ответы на вопросы Мы в соц.сетях:
Вконтакте   Facebook   Twitter   Одноклассники
Обратная связь    Багоприемник