Параноик внутри головы забился в истереке ведь антивирусниками я не пользуюсь, да еще и моим компом постоянно пользуется девушка.
Потратил 2 дня времени и пару ночей на поиски зловреда в системе. Промониторил процессы, драйверы, некоторые библиотеки. Ничего неизвестного не нашел, решил пересчитать хэш суммы всей папки с системой и тоже ничего. Скачал пару антивирусников(зеленый и красный), за 2 ночи прошерстил полностью всю систему(512 гб ссд и 3тб хдд все почти под завязку набито). Результат проверки: ничего не найдено. Т.е. совсем ничего и даже подозрительных файлов.
Стал думать как могли украсть мои пароли ведь они разные и надежные, абсолютно нигде не светились. К слову в это время до сих пор проскакивали попытки входов на сайты под моим паролем, пытались и почту вскрыть(майл.ру и гмейл). Но практически везде стоит двухфакторная авторизация и злоумышленнику не получалось попасть на многие сайты.
Тут приходит смска о попытке входа в сбербанк онлайн, чуть позже от другого банка и от киви. В голове включается псих, появляется мысль что тварь живет в моем смартфоне или планшете. Трачу время, перепрошиваю телефон, планшет, и даже перепрошил айфон у девушки(была прошивка с джейлбрейком). Результата нет.
Отчаялся. На работе сижу меняю пароли на всех основных и важных сайтах. Вечером пришел домой, решил проверить почту и ввожу новый пароль, успешно вошел. Вроде бы никакой активности. Ночью проснулся от смски с попыткой входа в почту(двухфаторная авторизация работает же), уснуть не смог, снова всю ночь ломал голову как такое возможно. На следующий день вечером придя домой, достал свой старый комп и зацепил его между кабелем от провайдера и роутером в режиме мониторинга сети ваиршарком. Прошли сутки, специально менял пароли дабы спровоцировать зловреда. Итог, никакой подозрительной активности, логи чистые, пароли утекают т.к. некто утыкается в двухфакторную авторизацию. ВКонтакте не работает до сих пор.
Зарождается мысль что я стал параноиком и у меня раздвоение личности, которая по ночам издевается надо мной.
На работе сижу, тут пишет старый знакомый в скайпе и кидает ссылку на картинку с котиками ведущую на вконтакте. Я призадумался(скайпом пользуюсь очень редко и почти никто не пишет) а тут ссылка на вконтакте, да еще и после клика открылся вполне нормально контакт. Пароль естественно не подошел, востановил через почту. Зашел, сразу посмотрел историю переписки в ней ничего левого нет, на стене от меня тоже ничего подозрительного небыло. Хм, странно как то. Зашел к друзьям, поспрашивал не шел ли от меня спам, сказали что нет. Странно. Пришел домой и еще раз попытался войти вконтакт, картинка таже, сначало ввожу как обычно на обычной странице свой логин и пароль, потом страница с ошибкой. Ну думаю походу просто у провайдера проблемы(домру по своим каналам дает максимальную скорость до многих сервисов типа мелру\контакт\яндекс), написал им в тп а сам пошел смотреть логи вайршарка. ТП ответило что все окей, проверяйте комп на вирусу а лучше купите у нас подписку на антивирус. Логи чистые.
Днем я был на выезде и пришлось включить мобильный инет, а вайфай отрубить в целях экономии, потом я забыл переключить все обратно. Тут черт меня дернул открыть вконтакте на телефоне и он отрылся! Пытаюсь открыть на компе там сразу ошибка 500. Включил ноутбук и планшет и там тоже после ввода данных сразу ошибка 500. Это уже что то. Провожу эксперимент, на мобильном интернете меняю пароли на абсоютно все важные сайты которые как правило сразу ломали. С домашнего инета на эти сайты не лезу совсем. Весь следующий день никаких угонов нет, все тихо и спокойно. Вечером специально захожу на все эти сайты и ночью их опять почти все угоняют. Снова задумался как такое возможно, проверил еще раз комп, ноутбук, планшет и телефон девушки, посмотрел логи ваиршарка. Все чисто и подозрений нет.
На следующий день понадобилось попасть в домашнюю локалку (роутер asus rt-n10p, прописан фирменный dyndns от асуса, включен vpn сервер на нем же). Ничего не получилось т.к. нет резолва, позвонил девушке чтобы передернула питание на нем. И снова ничего, хм. Пришел домой, залез в роутер, все нормально, впн сервер работает, получить dyndns роутер не может по неизвестной ошибке. Начинаю читать логи роутера, естественно из-за его скромной памяти там только самый конец и ничего интересного нет. Лезу дальше, дай думаю я отключу как впнку вообще. Лезу еще дальше и чисто случайно попадают на страницу с настройками dhcp сервера локалки а там опана и прописан основным днс сервером неизвестный мне(точнее явно левый) днс сервер, вторым днс сервером значился днг гугла 8.8.8.8 . Вот так новости, почистил и выставил на автомат от wan порта. Лезу в настройки wan и обнаруживаю там точно такую же картину с левым днс сервером. Вычищаю все это к чертовой бабушке. Обнаруживаю включенный телнет и админку на ван порту которые я точно включить никак не мог.
Снова меняю все пароли важные, восстанавливаю доступы. Больше суток никаких проблем, контакт работает, инет не проглючивает. Наслаждаюсь жизнью и ломаю голову как сломали роутер. Тут внезапно снова первоначальные проблемы. При этом пароль на роутере был другим и телнет, впн, админка отрублены. Тут они снова включенные и всето тже днс везде прописан, в логах ничего особо нет. Включаю дебила, снова все откатываю и блочу, ставлю обратно старый системник между роутером и кабелем провайдера. Снова тишина и опять все повторятеся, в логах ничего палевного не заметно но допускаю что что то и есть т.к. логи очень объемные.
Начинаю гуглить разные варианты таких событий и среди всех нахожу свеженькую уязвимость всех роутеров от асус, суть раскрывать не буду от греха подальше, скажу что работает она просто замечательно и на пароль роутера насрать глубоко, все происходит за счет волшебных UDP пакетов на особый порт
Решил покопаться с такой уязвимостью и как ее провернули ведь надо знать еще и как минимум ip для целевой атаки. В общем результат такой, просканировать весь диапазон подсети провайдера не проблема и занимает по времени чуть меньше суток, выхлоп куча ip которые пингуются. Дальше еще интереснее, если выборочно открывать некоторые ип адреса по 80 порту то там с завидной регулярностью весело улыбается админка д'линков. И в целом если немного побыдлокодить то можно весь процесс взлома автоматизировать на постоянку, сканирование и флуд особыми пакетами на найденные ип адреса. У д'линков вообще очень много уязвимостей, у асуса и tp'линков чуть меньше но тоже есть и похожие как 2 капли воды т.к. работают опять же через волшебные пакеты. А теперь немного арифметики, прикидываем сколько ип адресов пропингуется(не все но очень многие), прикидываем что длинки\тплинки\асусы самые популярные роутеры в народе, прикидываем что почти всем глубоко наплевать что там в роутере и никогда не обновляют прошивки. Получаем вполне приличное число потенциальных жертв такого обмана.
Ладно я понимаю немного в таких делах и не пойду платить деньги за "чистку компа"\ "восстановление контактика" и т.д. , но ведь зачастую на это тратят кучу денег а тут то результат будет бестолковым. Кроме того боюсь представить какова была истинная цель взлома(так думаю что на самое дорого, банк, основная почта и что нибудь типо стима т.е. все то с чего можно очень быстро стянуть бабосы).
PS Если дочитали до конца то спасибо, это был мой крик души после многих бессонных ночей. Будьте бдительны т.к. мошенники становятся все хитрее и опаснее для вашего кошелька и особенно нервов.