Как угоняют пароли. Опции

[jamakasi]

Вот всегда был осторожен с паролями. На каждый сайт свой пароль, длинна не менее 12 символов а в среднем 18 символов. Никаких левых расширений в браузер не ставлю, софт тоже проверяю. И тут внезапно 15 августа начинается нечто непонятное. На почту сыпятся емейлы с сообщениями от разных сайтов что были изменены пароли\ попытки смены \ блокировки входов и т.д. . Кстати не только у меня но и у девушки. Параллельно испытал трудности с вконтакте, постоянные ошибки загрузки в течении суток а потом вообще выбило из аккаунта и при попытке входа выдавало страничку с картинкой знаменитой рожы контакта и сообщение "Ошибка 500. Ошибка на сервере, извините за неудобства", причем на пк, ноутбуке, телефоне и планшете. Ну думаю бывает, не так давно у них вообще кабель между ДЦ порвали . Так же появляются какие то непонятные глючи с отзывчивастью сайтов при первоначальной загрузке, микрофризы в пару секунд а потом все нормально.
Параноик внутри головы забился в истереке ведь антивирусниками я не пользуюсь, да еще и моим компом постоянно пользуется девушка.
Потратил 2 дня времени и пару ночей на поиски зловреда в системе. Промониторил процессы, драйверы, некоторые библиотеки. Ничего неизвестного не нашел, решил пересчитать хэш суммы всей папки с системой и тоже ничего. Скачал пару антивирусников(зеленый и красный), за 2 ночи прошерстил полностью всю систему(512 гб ссд и 3тб хдд все почти под завязку набито). Результат проверки: ничего не найдено. Т.е. совсем ничего и даже подозрительных файлов.

Стал думать как могли украсть мои пароли ведь они разные и надежные, абсолютно нигде не светились. К слову в это время до сих пор проскакивали попытки входов на сайты под моим паролем, пытались и почту вскрыть(майл.ру и гмейл). Но практически везде стоит двухфакторная авторизация и злоумышленнику не получалось попасть на многие сайты.

Тут приходит смска о попытке входа в сбербанк онлайн, чуть позже от другого банка и от киви. В голове включается псих, появляется мысль что тварь живет в моем смартфоне или планшете. Трачу время, перепрошиваю телефон, планшет, и даже перепрошил айфон у девушки(была прошивка с джейлбрейком). Результата нет.

Отчаялся. На работе сижу меняю пароли на всех основных и важных сайтах. Вечером пришел домой, решил проверить почту и ввожу новый пароль, успешно вошел. Вроде бы никакой активности. Ночью проснулся от смски с попыткой входа в почту(двухфаторная авторизация работает же), уснуть не смог, снова всю ночь ломал голову как такое возможно. На следующий день вечером придя домой, достал свой старый комп и зацепил его между кабелем от провайдера и роутером в режиме мониторинга сети ваиршарком. Прошли сутки, специально менял пароли дабы спровоцировать зловреда. Итог, никакой подозрительной активности, логи чистые, пароли утекают т.к. некто утыкается в двухфакторную авторизацию. ВКонтакте не работает до сих пор.

Зарождается мысль что я стал параноиком и у меня раздвоение личности, которая по ночам издевается надо мной.
На работе сижу, тут пишет старый знакомый в скайпе и кидает ссылку на картинку с котиками ведущую на вконтакте. Я призадумался(скайпом пользуюсь очень редко и почти никто не пишет) а тут ссылка на вконтакте, да еще и после клика открылся вполне нормально контакт. Пароль естественно не подошел, востановил через почту. Зашел, сразу посмотрел историю переписки в ней ничего левого нет, на стене от меня тоже ничего подозрительного небыло. Хм, странно как то. Зашел к друзьям, поспрашивал не шел ли от меня спам, сказали что нет. Странно. Пришел домой и еще раз попытался войти вконтакт, картинка таже, сначало ввожу как обычно на обычной странице свой логин и пароль, потом страница с ошибкой. Ну думаю походу просто у провайдера проблемы(домру по своим каналам дает максимальную скорость до многих сервисов типа мелру\контакт\яндекс), написал им в тп а сам пошел смотреть логи вайршарка. ТП ответило что все окей, проверяйте комп на вирусу а лучше купите у нас подписку на антивирус. Логи чистые.

Днем я был на выезде и пришлось включить мобильный инет, а вайфай отрубить в целях экономии, потом я забыл переключить все обратно. Тут черт меня дернул открыть вконтакте на телефоне и он отрылся! Пытаюсь открыть на компе там сразу ошибка 500. Включил ноутбук и планшет и там тоже после ввода данных сразу ошибка 500. Это уже что то. Провожу эксперимент, на мобильном интернете меняю пароли на абсоютно все важные сайты которые как правило сразу ломали. С домашнего инета на эти сайты не лезу совсем. Весь следующий день никаких угонов нет, все тихо и спокойно. Вечером специально захожу на все эти сайты и ночью их опять почти все угоняют. Снова задумался как такое возможно, проверил еще раз комп, ноутбук, планшет и телефон девушки, посмотрел логи ваиршарка. Все чисто и подозрений нет.
На следующий день понадобилось попасть в домашнюю локалку (роутер asus rt-n10p, прописан фирменный dyndns от асуса, включен vpn сервер на нем же). Ничего не получилось т.к. нет резолва, позвонил девушке чтобы передернула питание на нем. И снова ничего, хм. Пришел домой, залез в роутер, все нормально, впн сервер работает, получить dyndns роутер не может по неизвестной ошибке. Начинаю читать логи роутера, естественно из-за его скромной памяти там только самый конец и ничего интересного нет. Лезу дальше, дай думаю я отключу как впнку вообще. Лезу еще дальше и чисто случайно попадают на страницу с настройками dhcp сервера локалки а там опана и прописан основным днс сервером неизвестный мне(точнее явно левый) днс сервер, вторым днс сервером значился днг гугла 8.8.8.8 . Вот так новости, почистил и выставил на автомат от wan порта. Лезу в настройки wan и обнаруживаю там точно такую же картину с левым днс сервером. Вычищаю все это к чертовой бабушке. Обнаруживаю включенный телнет и админку на ван порту которые я точно включить никак не мог.

Снова меняю все пароли важные, восстанавливаю доступы. Больше суток никаких проблем, контакт работает, инет не проглючивает. Наслаждаюсь жизнью и ломаю голову как сломали роутер. Тут внезапно снова первоначальные проблемы. При этом пароль на роутере был другим и телнет, впн, админка отрублены. Тут они снова включенные и всето тже днс везде прописан, в логах ничего особо нет. Включаю дебила, снова все откатываю и блочу, ставлю обратно старый системник между роутером и кабелем провайдера. Снова тишина и опять все повторятеся, в логах ничего палевного не заметно но допускаю что что то и есть т.к. логи очень объемные.

Начинаю гуглить разные варианты таких событий и среди всех нахожу свеженькую уязвимость всех роутеров от асус, суть раскрывать не буду от греха подальше, скажу что работает она просто замечательно и на пароль роутера насрать глубоко, все происходит за счет волшебных UDP пакетов на особый порт ебаного асуса. Поменял роутер, от греха подальше поменял снова все пароли.

Решил покопаться с такой уязвимостью и как ее провернули ведь надо знать еще и как минимум ip для целевой атаки. В общем результат такой, просканировать весь диапазон подсети провайдера не проблема и занимает по времени чуть меньше суток, выхлоп куча ip которые пингуются. Дальше еще интереснее, если выборочно открывать некоторые ип адреса по 80 порту то там с завидной регулярностью весело улыбается админка д'линков. И в целом если немного побыдлокодить то можно весь процесс взлома автоматизировать на постоянку, сканирование и флуд особыми пакетами на найденные ип адреса. У д'линков вообще очень много уязвимостей, у асуса и tp'линков чуть меньше но тоже есть и похожие как 2 капли воды т.к. работают опять же через волшебные пакеты. А теперь немного арифметики, прикидываем сколько ип адресов пропингуется(не все но очень многие), прикидываем что длинки\тплинки\асусы самые популярные роутеры в народе, прикидываем что почти всем глубоко наплевать что там в роутере и никогда не обновляют прошивки. Получаем вполне приличное число потенциальных жертв такого обмана.

Ладно я понимаю немного в таких делах и не пойду платить деньги за "чистку компа"\ "восстановление контактика" и т.д. , но ведь зачастую на это тратят кучу денег а тут то результат будет бестолковым. Кроме того боюсь представить какова была истинная цель взлома(так думаю что на самое дорого, банк, основная почта и что нибудь типо стима т.е. все то с чего можно очень быстро стянуть бабосы).

PS Если дочитали до конца то спасибо, это был мой крик души после многих бессонных ночей. Будьте бдительны т.к. мошенники становятся все хитрее и опаснее для вашего кошелька и особенно нервов.

[Neo][]

jamakasi, не совсем понял механизм сниффа по итогу. Или уязвимость в том и состоит, что можно не только менять настройки, но и до пакетов добираться в тихую?

Сообщение отредактировал Neo][ - 08.09.2015, 10:51

[jamakasi]

Neo][, По итогам результат такой. На роутере появились левые днс сервера которые принадлежат злоумышленнику. Основной его и вспомогательный от гугла, как известно вспомогательный работает только тогда когда основной не отвечает в течении n-времени. Злоумышленник на своем днс сервере ставит ответ к примеру vk.com не на ip вконтакта а на свой левый с копией странички, ты авторизовываешься и тут 2 исхода либо он тебя редиректит на нормальный vk.com(ip контакта) либо выкидывает страничку с ошибкой. На практике почти все сайты с которых он угонял пароли таким способом редиректились на свои нормальные ip адреса кроме вконтакте(не знаю почему так он решил, возможно какието сложности были у него). Т.е. ты как пользователь открываешь скажем gameru.net , видишь что адрес корректен и ничего не заподозриваешь. Видишь что не авторизован и авторизовываешься после чего тебя(при определенном запросе днс) кидает на настоящий gameru.net .
Т.е. получается это новая ступень в фейковых сайтах только теперь домен сайта корректен и заметить подставу очень тяжело.

[Mirus]

Фу! Ты поселил в моей голове параноика. Спасибо. Как говориться предупрежден значит вооружен и в случае чего первым делом будут притенении к роутеру. *обновляю прошивку роутера*


Сообщение отредактировал Mirus - 08.09.2015, 12:37

[abramcumner]

Поменял роутер, от греха подальше поменял снова все пароли.

На асусе стояла офф. прошивка? Вроде секретные порты доступны только по LANовским портам, а по WAN нет.

Получается, кто-то из вашей локалки балуется. Может быть вычислить по айпи, рассказать провайдеру?

По идее в твоем случае помогло бы выставить гугловские днс на компе?

[RusStarik]

Ух, у меня же асус...

Вообще история напомнила про мою паранойю в июне сего года, когда кто-то брутфорсил админку моего роутера.
Ну и то, как провайдер каким-то макаром(ибо стоял ввод вручную) менял DNS гугла на какие-то свои, от чего скорость соединения падала раз в 15.

[Dimon]

Получается, кто-то из вашей локалки балуется.

Это очень вероятно.

[Neo][]

jamakasi, хм, так тогда получается, что это ещё и на сайтах есть уязвимости? Как происходил редирект, с успешной авторизацией?

[jamakasi]

abramcumner, прошивка офф. Доступны по wan. Балучется возможно в локалке провайдера но не факт т.к. пулы ip адресов легко гуглятся а написать или найти готовый скрипт пинговальщика по листу очень просто.

Может быть вычислить по айпи, рассказать провайдеру?

Провайдеру это даром не надо, сразу отправят в полицию, в полиции отправят в отдел "К", отделу "К" пофигу на такие преступления и тем более на такое "домашнее лицо". В свое время когда работал админом была у нас потеря в виде ддоса и в конечном счете взлома сип телефонии и счета на почти 300 тыс рублей, недели 2 потратил на местный отдел полиции совместно с юристом организации чтобы просто добиться принятия дела и отправки его в отдел "К", потом еще больше месяца катались к К'ашникам и на пальцах показывал и объяснял суть произошедшего и сумму ущерба. На руках были все логи, все ip адреса, номера куда звонили для слития бабла и т.д. и даже нашли физический адрес проживания злоумышленника(наемный аутсорсер проживающий в городе которого наняли конкуренты, нашли благодаря логам где он засветил свой реальный ip без прокси, выбили через знакомого в провайдере лог по ип+дата+время), там каждый раз с круглыми глазами смотрели как бараны на новые ворота с отмазками типо это дело обычной полиции а то что вы нашли этого человека ничего не доказывает т.к. данные такого рода можно получить только через судебное решение. В итоге 2 месяца было потрачено в пустую, дело завели но оно так и висит у них мертвым грузом. Деньги за связь утрачены, сайт был парализован а организация почти неделю не могла нормально функционировать т.к. под ддосом шлюз слег а через него работали филиалы для доступа к 1с и другому софту, телефония лежала изза ддоса а потом еще и потому что номера изза дикого минуса на счете были заморожены и пришлось быстро покупать временные новые номера у другого прова и которые были никому не известны т.к. сразу всю рекламу организации сменить было невозможно. К слову организация медицинская, звонков в сутки обрабатывали более 4000, 9 филиалов просто не могло работать. И даже за такие колоссальные убытки в нашем великом отделе "К" даже бровью не повели. Им то проще ходить штрафовать мальчиков по подставе которые переустанавливают винду и корел дравы.

Вообще история напомнила про мою паранойю в июне сего года, когда кто-то брутфорсил админку моего роутера.
Ну и то, как провайдер каким-то макаром(ибо стоял ввод вручную) менял DNS гугла на какие-то свои, от чего скорость соединения падала раз в 15.

Если роутер предоставил сам провайдер то сильно вероятно что там модификация прошивки от провайдера а они встраивают для себя бэкдоры до админки. Такое очень сильно любят билайн и ростелеком, до сих пор помню кошмар у билайна с их фирменным роутером длинк который торчит вебмордой на WAN и помимо того был на очень старой прошивке в которой для того чтобы узнать пароль надо было открыть страницу в IE , ввести неправильный пароль, получить ошибку и после глянуть исходный код страницы в котором был в открытом виде пароль администратора. К слову такое видел очень часто у билайна, у домру на некоторых роутерах фирмы netgear. Говорю про торчащую админку в WAN'е.

jamakasi, Как происходил редирект, с успешной авторизацией?

Точно не могу сказать, могу описать как это видел я. Открываю сайт скажем yandex.ru , днс подменяет меня на точно такой же но фейковый(как я понимаю это тупо страница сохраненная и вписанным левым скриптом на сбор логина\пароля в файлик), вижу страницу yandex.ru, смотрю в адресную строку и вижу yandex.ru. Никаких подозрений. Вижу что я не авторизован, но браузер же умный, он уже поставил мой логин и пароль в нужные поля и достаточно нажать кнопку "Вход", жму, попадаю на нормальный сайт yandex.ru где я уже авторизован(сильно вероятно что кукисами). Т.е. невооруженным глазом почти нереально заметить подставу.

[p5ych0]

Прошивка у тебя последняя стоит?

[Паяльниk]

Знач меняем прошивку, отключаем telnet, отключаем веб по wan, ставим пароль. Всё вроде.

[jamakasi]

Паяльниk, в случае старой прошивки не поможет, а эту дырку прикроют так скоро вылезет другая точно такая же.

[Alex174(**,)]

омг

какой теперь роутер покупать?)

[jamakasi]

#iMiksRus™, У тебя вообще древняя прошивка Шейся на самую последнюю, там подлатан баг, по крайней мере этот.

[Asterix]

лол
Dir 300 древний 2009 года
2.01 или 2.03

я обновлять эту хрень не умею

научите пожалуйста

Сообщение отредактировал Mcbeat7 - 08.09.2015, 16:57

[Alex174(**,)]

#iMiksRus™, У тебя вообще древняя прошивка Шейся на самую последнюю, там подлатан баг, по крайней мере этот.

А на что шится http://www.asus.com/ru/Networking/RTN10_C1...pDesk_Download/ ?)

[Молния в вакууме]

круто, вот бы я так умел

[jamakasi]

Кстати вот один из его днс серверов 89.108.70.63. Может кто поддосит.

[RedMagic]

jamakasi, такие статьи на хабр/гиктаймс писать нужно
Там и аудитория соответствующая, все разжуют и узнают, еще и в Asus настучат

[Коннор]

STALKER2011x,

такие статьи на хабр/гиктаймс писать нужно

http://habrahabr.ru/post/253013

Там и аудитория соответствующая, все разжуют и узнают, еще

воспользуются ею...

Сообщение отредактировал KoNoRIMCI - 08.09.2015, 19:24