Как угоняют пароли. |
Здравствуйте, гость ( Авторизация | Регистрация )
Как угоняют пароли. |
08.09.2015, 10:30
Сообщение
#1
|
|
Доктор Игровых Наук Репутация: 544 Группа: Участник Сообщений: 3657 Награды: 9 Регистрация: 12.07.2007 |
Вот всегда был осторожен с паролями. На каждый сайт свой пароль, длинна не менее 12 символов а в среднем 18 символов. Никаких левых расширений в браузер не ставлю, софт тоже проверяю. И тут внезапно 15 августа начинается нечто непонятное. На почту сыпятся емейлы с сообщениями от разных сайтов что были изменены пароли\ попытки смены \ блокировки входов и т.д. . Кстати не только у меня но и у девушки. Параллельно испытал трудности с вконтакте, постоянные ошибки загрузки в течении суток а потом вообще выбило из аккаунта и при попытке входа выдавало страничку с картинкой знаменитой рожы контакта и сообщение "Ошибка 500. Ошибка на сервере, извините за неудобства", причем на пк, ноутбуке, телефоне и планшете. Ну думаю бывает, не так давно у них вообще кабель между ДЦ порвали . Так же появляются какие то непонятные глючи с отзывчивастью сайтов при первоначальной загрузке, микрофризы в пару секунд а потом все нормально.
Параноик внутри головы забился в истереке ведь антивирусниками я не пользуюсь, да еще и моим компом постоянно пользуется девушка. Потратил 2 дня времени и пару ночей на поиски зловреда в системе. Промониторил процессы, драйверы, некоторые библиотеки. Ничего неизвестного не нашел, решил пересчитать хэш суммы всей папки с системой и тоже ничего. Скачал пару антивирусников(зеленый и красный), за 2 ночи прошерстил полностью всю систему(512 гб ссд и 3тб хдд все почти под завязку набито). Результат проверки: ничего не найдено. Т.е. совсем ничего и даже подозрительных файлов. Стал думать как могли украсть мои пароли ведь они разные и надежные, абсолютно нигде не светились. К слову в это время до сих пор проскакивали попытки входов на сайты под моим паролем, пытались и почту вскрыть(майл.ру и гмейл). Но практически везде стоит двухфакторная авторизация и злоумышленнику не получалось попасть на многие сайты. Тут приходит смска о попытке входа в сбербанк онлайн, чуть позже от другого банка и от киви. В голове включается псих, появляется мысль что тварь живет в моем смартфоне или планшете. Трачу время, перепрошиваю телефон, планшет, и даже перепрошил айфон у девушки(была прошивка с джейлбрейком). Результата нет. Отчаялся. На работе сижу меняю пароли на всех основных и важных сайтах. Вечером пришел домой, решил проверить почту и ввожу новый пароль, успешно вошел. Вроде бы никакой активности. Ночью проснулся от смски с попыткой входа в почту(двухфаторная авторизация работает же), уснуть не смог, снова всю ночь ломал голову как такое возможно. На следующий день вечером придя домой, достал свой старый комп и зацепил его между кабелем от провайдера и роутером в режиме мониторинга сети ваиршарком. Прошли сутки, специально менял пароли дабы спровоцировать зловреда. Итог, никакой подозрительной активности, логи чистые, пароли утекают т.к. некто утыкается в двухфакторную авторизацию. ВКонтакте не работает до сих пор. Зарождается мысль что я стал параноиком и у меня раздвоение личности, которая по ночам издевается надо мной. На работе сижу, тут пишет старый знакомый в скайпе и кидает ссылку на картинку с котиками ведущую на вконтакте. Я призадумался(скайпом пользуюсь очень редко и почти никто не пишет) а тут ссылка на вконтакте, да еще и после клика открылся вполне нормально контакт. Пароль естественно не подошел, востановил через почту. Зашел, сразу посмотрел историю переписки в ней ничего левого нет, на стене от меня тоже ничего подозрительного небыло. Хм, странно как то. Зашел к друзьям, поспрашивал не шел ли от меня спам, сказали что нет. Странно. Пришел домой и еще раз попытался войти вконтакт, картинка таже, сначало ввожу как обычно на обычной странице свой логин и пароль, потом страница с ошибкой. Ну думаю походу просто у провайдера проблемы(домру по своим каналам дает максимальную скорость до многих сервисов типа мелру\контакт\яндекс), написал им в тп а сам пошел смотреть логи вайршарка. ТП ответило что все окей, проверяйте комп на вирусу а лучше купите у нас подписку на антивирус. Логи чистые. Днем я был на выезде и пришлось включить мобильный инет, а вайфай отрубить в целях экономии, потом я забыл переключить все обратно. Тут черт меня дернул открыть вконтакте на телефоне и он отрылся! Пытаюсь открыть на компе там сразу ошибка 500. Включил ноутбук и планшет и там тоже после ввода данных сразу ошибка 500. Это уже что то. Провожу эксперимент, на мобильном интернете меняю пароли на абсоютно все важные сайты которые как правило сразу ломали. С домашнего инета на эти сайты не лезу совсем. Весь следующий день никаких угонов нет, все тихо и спокойно. Вечером специально захожу на все эти сайты и ночью их опять почти все угоняют. Снова задумался как такое возможно, проверил еще раз комп, ноутбук, планшет и телефон девушки, посмотрел логи ваиршарка. Все чисто и подозрений нет. На следующий день понадобилось попасть в домашнюю локалку (роутер asus rt-n10p, прописан фирменный dyndns от асуса, включен vpn сервер на нем же). Ничего не получилось т.к. нет резолва, позвонил девушке чтобы передернула питание на нем. И снова ничего, хм. Пришел домой, залез в роутер, все нормально, впн сервер работает, получить dyndns роутер не может по неизвестной ошибке. Начинаю читать логи роутера, естественно из-за его скромной памяти там только самый конец и ничего интересного нет. Лезу дальше, дай думаю я отключу как впнку вообще. Лезу еще дальше и чисто случайно попадают на страницу с настройками dhcp сервера локалки а там опана и прописан основным днс сервером неизвестный мне(точнее явно левый) днс сервер, вторым днс сервером значился днг гугла 8.8.8.8 . Вот так новости, почистил и выставил на автомат от wan порта. Лезу в настройки wan и обнаруживаю там точно такую же картину с левым днс сервером. Вычищаю все это к чертовой бабушке. Обнаруживаю включенный телнет и админку на ван порту которые я точно включить никак не мог. Снова меняю все пароли важные, восстанавливаю доступы. Больше суток никаких проблем, контакт работает, инет не проглючивает. Наслаждаюсь жизнью и ломаю голову как сломали роутер. Тут внезапно снова первоначальные проблемы. При этом пароль на роутере был другим и телнет, впн, админка отрублены. Тут они снова включенные и всето тже днс везде прописан, в логах ничего особо нет. Включаю дебила, снова все откатываю и блочу, ставлю обратно старый системник между роутером и кабелем провайдера. Снова тишина и опять все повторятеся, в логах ничего палевного не заметно но допускаю что что то и есть т.к. логи очень объемные. Начинаю гуглить разные варианты таких событий и среди всех нахожу свеженькую уязвимость всех роутеров от асус, суть раскрывать не буду от греха подальше, скажу что работает она просто замечательно и на пароль роутера насрать глубоко, все происходит за счет волшебных UDP пакетов на особый порт Решил покопаться с такой уязвимостью и как ее провернули ведь надо знать еще и как минимум ip для целевой атаки. В общем результат такой, просканировать весь диапазон подсети провайдера не проблема и занимает по времени чуть меньше суток, выхлоп куча ip которые пингуются. Дальше еще интереснее, если выборочно открывать некоторые ип адреса по 80 порту то там с завидной регулярностью весело улыбается админка д'линков. И в целом если немного побыдлокодить то можно весь процесс взлома автоматизировать на постоянку, сканирование и флуд особыми пакетами на найденные ип адреса. У д'линков вообще очень много уязвимостей, у асуса и tp'линков чуть меньше но тоже есть и похожие как 2 капли воды т.к. работают опять же через волшебные пакеты. А теперь немного арифметики, прикидываем сколько ип адресов пропингуется(не все но очень многие), прикидываем что длинки\тплинки\асусы самые популярные роутеры в народе, прикидываем что почти всем глубоко наплевать что там в роутере и никогда не обновляют прошивки. Получаем вполне приличное число потенциальных жертв такого обмана. Ладно я понимаю немного в таких делах и не пойду платить деньги за "чистку компа"\ "восстановление контактика" и т.д. , но ведь зачастую на это тратят кучу денег а тут то результат будет бестолковым. Кроме того боюсь представить какова была истинная цель взлома(так думаю что на самое дорого, банк, основная почта и что нибудь типо стима т.е. все то с чего можно очень быстро стянуть бабосы). PS Если дочитали до конца то спасибо, это был мой крик души после многих бессонных ночей. Будьте бдительны т.к. мошенники становятся все хитрее и опаснее для вашего кошелька и особенно нервов. |
 
|
|
|
|
08.09.2015, 10:50
Сообщение
#2
|
|
The One Репутация: 744 Группа: Участник Сообщений: 2715 Награды: 5 Регистрация: 05.12.2005 |
jamakasi, не совсем понял механизм сниффа по итогу. Или уязвимость в том и состоит, что можно не только менять настройки, но и до пакетов добираться в тихую?
Сообщение отредактировал Neo][ - 08.09.2015, 10:51 -------------------- |
 
|
|
08.09.2015, 10:58
Сообщение
#3
|
|
Доктор Игровых Наук Репутация: 544 Группа: Участник Сообщений: 3657 Награды: 9 Регистрация: 12.07.2007 |
Neo][, По итогам результат такой. На роутере появились левые днс сервера которые принадлежат злоумышленнику. Основной его и вспомогательный от гугла, как известно вспомогательный работает только тогда когда основной не отвечает в течении n-времени. Злоумышленник на своем днс сервере ставит ответ к примеру vk.com не на ip вконтакта а на свой левый с копией странички, ты авторизовываешься и тут 2 исхода либо он тебя редиректит на нормальный vk.com(ip контакта) либо выкидывает страничку с ошибкой. На практике почти все сайты с которых он угонял пароли таким способом редиректились на свои нормальные ip адреса кроме вконтакте(не знаю почему так он решил, возможно какието сложности были у него). Т.е. ты как пользователь открываешь скажем gameru.net , видишь что адрес корректен и ничего не заподозриваешь. Видишь что не авторизован и авторизовываешься после чего тебя(при определенном запросе днс) кидает на настоящий gameru.net .
Т.е. получается это новая ступень в фейковых сайтах только теперь домен сайта корректен и заметить подставу очень тяжело. |
 
|
|
08.09.2015, 12:15
Сообщение
#4
|
|
New Age Репутация: 468 Группа: Администратор Сообщений: 3925 Награды: 10 Регистрация: 13.05.2011 |
Фу! Ты поселил в моей голове параноика. Спасибо. Как говориться предупрежден значит вооружен и в случае чего первым делом будут притенении к роутеру. *обновляю прошивку роутера*
Сообщение отредактировал Mirus - 08.09.2015, 12:37 -------------------- Еретик. Отступник. Адепт консольного гейминга. |
 
|
|
08.09.2015, 12:18
Сообщение
#5
|
|
Игровое Воплощение Репутация: 394 Группа: Участник Сообщений: 4791 Награды: 4 Регистрация: 27.04.2011 |
Поменял роутер, от греха подальше поменял снова все пароли. На асусе стояла офф. прошивка? Вроде секретные порты доступны только по LANовским портам, а по WAN нет. Получается, кто-то из вашей локалки балуется. Может быть вычислить по айпи, рассказать провайдеру? По идее в твоем случае помогло бы выставить гугловские днс на компе? |
 
|
|
08.09.2015, 12:22
Сообщение
#6
|
|
We will L&T™ the smell of your burning flesh, heretic. Репутация: 816 Группа: Участник Сообщений: 5766 Награды: 6 Регистрация: 23.02.2009 |
Ух, у меня же асус...
Вообще история напомнила про мою паранойю в июне сего года, когда кто-то брутфорсил админку моего роутера. Ну и то, как провайдер каким-то макаром(ибо стоял ввод вручную) менял DNS гугла на какие-то свои, от чего скорость соединения падала раз в 15. -------------------- Всё мной написанное - моё личное мнение. Оно никому не навязывается и может быть ошибочным. You have eyes!!! Use them!!! Observe your surroundings!!! Some things are better left unsaid unless you can say them in a hilarious voice. © Tara Strong, 2014 |
 
|
|
08.09.2015, 12:27
Сообщение
#7
|
|
Игровой Бог Репутация: 931 Группа: Участник Сообщений: 5853 Награды: 5 Регистрация: 20.01.2010 |
|
 
|
|
08.09.2015, 12:36
Сообщение
#8
|
|
The One Репутация: 744 Группа: Участник Сообщений: 2715 Награды: 5 Регистрация: 05.12.2005 |
jamakasi, хм, так тогда получается, что это ещё и на сайтах есть уязвимости? Как происходил редирект, с успешной авторизацией?
-------------------- |
 
|
|
08.09.2015, 12:53
Сообщение
#9
|
|
Доктор Игровых Наук Репутация: 544 Группа: Участник Сообщений: 3657 Награды: 9 Регистрация: 12.07.2007 |
abramcumner, прошивка офф. Доступны по wan. Балучется возможно в локалке провайдера но не факт т.к. пулы ip адресов легко гуглятся а написать или найти готовый скрипт пинговальщика по листу очень просто.
Цитата Может быть вычислить по айпи, рассказать провайдеру? Провайдеру это даром не надо, сразу отправят в полицию, в полиции отправят в отдел "К", отделу "К" пофигу на такие преступления и тем более на такое "домашнее лицо". В свое время когда работал админом была у нас потеря в виде ддоса и в конечном счете взлома сип телефонии и счета на почти 300 тыс рублей, недели 2 потратил на местный отдел полиции совместно с юристом организации чтобы просто добиться принятия дела и отправки его в отдел "К", потом еще больше месяца катались к К'ашникам и на пальцах показывал и объяснял суть произошедшего и сумму ущерба. На руках были все логи, все ip адреса, номера куда звонили для слития бабла и т.д. и даже нашли физический адрес проживания злоумышленника(наемный аутсорсер проживающий в городе которого наняли конкуренты, нашли благодаря логам где он засветил свой реальный ip без прокси, выбили через знакомого в провайдере лог по ип+дата+время), там каждый раз с круглыми глазами смотрели как бараны на новые ворота с отмазками типо это дело обычной полиции а то что вы нашли этого человека ничего не доказывает т.к. данные такого рода можно получить только через судебное решение. В итоге 2 месяца было потрачено в пустую, дело завели но оно так и висит у них мертвым грузом. Деньги за связь утрачены, сайт был парализован а организация почти неделю не могла нормально функционировать т.к. под ддосом шлюз слег а через него работали филиалы для доступа к 1с и другому софту, телефония лежала изза ддоса а потом еще и потому что номера изза дикого минуса на счете были заморожены и пришлось быстро покупать временные новые номера у другого прова и которые были никому не известны т.к. сразу всю рекламу организации сменить было невозможно. К слову организация медицинская, звонков в сутки обрабатывали более 4000, 9 филиалов просто не могло работать. И даже за такие колоссальные убытки в нашем великом отделе "К" даже бровью не повели. Им то проще ходить штрафовать мальчиков по подставе которые переустанавливают винду и корел дравы.Вообще история напомнила про мою паранойю в июне сего года, когда кто-то брутфорсил админку моего роутера. Ну и то, как провайдер каким-то макаром(ибо стоял ввод вручную) менял DNS гугла на какие-то свои, от чего скорость соединения падала раз в 15. Если роутер предоставил сам провайдер то сильно вероятно что там модификация прошивки от провайдера а они встраивают для себя бэкдоры до админки. Такое очень сильно любят билайн и ростелеком, до сих пор помню кошмар у билайна с их фирменным роутером длинк который торчит вебмордой на WAN и помимо того был на очень старой прошивке в которой для того чтобы узнать пароль надо было открыть страницу в IE , ввести неправильный пароль, получить ошибку и после глянуть исходный код страницы в котором был в открытом виде пароль администратора. К слову такое видел очень часто у билайна, у домру на некоторых роутерах фирмы netgear. Говорю про торчащую админку в WAN'е. jamakasi, Как происходил редирект, с успешной авторизацией? Точно не могу сказать, могу описать как это видел я. Открываю сайт скажем yandex.ru , днс подменяет меня на точно такой же но фейковый(как я понимаю это тупо страница сохраненная и вписанным левым скриптом на сбор логина\пароля в файлик), вижу страницу yandex.ru, смотрю в адресную строку и вижу yandex.ru. Никаких подозрений. Вижу что я не авторизован, но браузер же умный, он уже поставил мой логин и пароль в нужные поля и достаточно нажать кнопку "Вход", жму, попадаю на нормальный сайт yandex.ru где я уже авторизован(сильно вероятно что кукисами). Т.е. невооруженным глазом почти нереально заметить подставу. |
 
|
|
08.09.2015, 13:47
Сообщение
#10
|
|
Заслуженный Мастер Игры Репутация: 322 Группа: Участник Сообщений: 1737 Награды: 5 Регистрация: 25.02.2009 |
Прошивка у тебя последняя стоит?
-------------------- Во всём виноват OlegatoR! (с) |
 
|
|
08.09.2015, 13:57
Сообщение
#11
|
|
Продвинутый геймер Репутация: 78 Группа: Участник Сообщений: 489 Награды: 2 Регистрация: 12.12.2011 |
Знач меняем прошивку, отключаем telnet, отключаем веб по wan, ставим пароль. Всё вроде.
|
 
|
|
08.09.2015, 14:01
Сообщение
#12
|
|
Доктор Игровых Наук Репутация: 544 Группа: Участник Сообщений: 3657 Награды: 9 Регистрация: 12.07.2007 |
Паяльниk, в случае старой прошивки не поможет, а эту дырку прикроют так скоро вылезет другая точно такая же.
|
 
|
|
08.09.2015, 16:07
Сообщение
#13
|
|
Заслуженный Мастер Игры Репутация: 371 Группа: Участник Сообщений: 1631 Награды: 5 Регистрация: 15.09.2013 |
омг
какой теперь роутер покупать?) |
 
|
|
08.09.2015, 16:35
Сообщение
#14
|
|
Доктор Игровых Наук Репутация: 544 Группа: Участник Сообщений: 3657 Награды: 9 Регистрация: 12.07.2007 |
#iMiksRus™, У тебя вообще древняя прошивка Шейся на самую последнюю, там подлатан баг, по крайней мере этот.
|
 
|
|
08.09.2015, 16:51
Сообщение
#15
|
|
Продвинутый геймер Репутация: 90 Группа: Участник Сообщений: 395 Награды: 3 Регистрация: 07.04.2014 |
лол
Dir 300 древний 2009 года 2.01 или 2.03 я обновлять эту хрень не умею научите пожалуйста Сообщение отредактировал Mcbeat7 - 08.09.2015, 16:57 -------------------- no more running
|
 
|
|
08.09.2015, 16:52
Сообщение
#16
|
|
Заслуженный Мастер Игры Репутация: 371 Группа: Участник Сообщений: 1631 Награды: 5 Регистрация: 15.09.2013 |
#iMiksRus™, У тебя вообще древняя прошивка Шейся на самую последнюю, там подлатан баг, по крайней мере этот. А на что шится |
 
|
|
08.09.2015, 17:14
Сообщение
#17
|
|
Почти Игроман Репутация: 187 Группа: Участник Сообщений: 647 Награды: 4 Регистрация: 05.05.2007 |
круто, вот бы я так умел
|
 
|
|
08.09.2015, 18:22
Сообщение
#18
|
|
Доктор Игровых Наук Репутация: 544 Группа: Участник Сообщений: 3657 Награды: 9 Регистрация: 12.07.2007 |
Кстати вот один из его днс серверов 89.108.70.63. Может кто поддосит.
|
 
|
|
08.09.2015, 19:19
Сообщение
#19
|
|
Высший Игровой Бог Репутация: 1747 Группа: Супермодератор Сообщений: 12594 Награды: 15 Регистрация: 05.11.2009 |
jamakasi, такие статьи на хабр/гиктаймс писать нужно
Там и аудитория соответствующая, все разжуют и узнают, еще и в Asus настучат -------------------- |
 
|
|
08.09.2015, 19:23
Сообщение
#20
|
|
Репутация: 0 Группа: Припаркованный аккаунт Сообщений: 0 Награды: 18 Регистрация: 18.03.2007 |
STALKER2011x,
Цитата такие статьи на хабр/гиктаймс писать нужно Цитата Там и аудитория соответствующая, все разжуют и узнают, еще воспользуются ею... Сообщение отредактировал KoNoRIMCI - 08.09.2015, 19:24 |
 
|
|
Текстовая версия | Сейчас: 15.05.2024, 04:50 |