Вот всегда был осторожен с паролями. На каждый сайт свой пароль, длинна не менее 12 символов а в среднем 18 символов. Никаких левых расширений в браузер не ставлю, софт тоже проверяю. И тут внезапно 15 августа начинается нечто непонятное. На почту сыпятся емейлы с сообщениями от разных сайтов что были изменены пароли\ попытки смены \ блокировки входов и т.д. . Кстати не только у меня но и у девушки. Параллельно испытал трудности с вконтакте, постоянные ошибки загрузки в течении суток а потом вообще выбило из аккаунта и при попытке входа выдавало страничку с картинкой знаменитой рожы контакта и сообщение "Ошибка 500. Ошибка на сервере, извините за неудобства", причем на пк, ноутбуке, телефоне и планшете. Ну думаю бывает, не так давно у них вообще кабель между ДЦ порвали . Так же появляются какие то непонятные глючи с отзывчивастью сайтов при первоначальной загрузке, микрофризы в пару секунд а потом все нормально.
Параноик внутри головы забился в истереке ведь антивирусниками я не пользуюсь, да еще и моим компом постоянно пользуется девушка.
Потратил 2 дня времени и пару ночей на поиски зловреда в системе. Промониторил процессы, драйверы, некоторые библиотеки. Ничего неизвестного не нашел, решил пересчитать хэш суммы всей папки с системой и тоже ничего. Скачал пару антивирусников(зеленый и красный), за 2 ночи прошерстил полностью всю систему(512 гб ссд и 3тб хдд все почти под завязку набито). Результат проверки: ничего не найдено. Т.е. совсем ничего и даже подозрительных файлов.

Стал думать как могли украсть мои пароли ведь они разные и надежные, абсолютно нигде не светились. К слову в это время до сих пор проскакивали попытки входов на сайты под моим паролем, пытались и почту вскрыть(майл.ру и гмейл). Но практически везде стоит двухфакторная авторизация и злоумышленнику не получалось попасть на многие сайты.

Тут приходит смска о попытке входа в сбербанк онлайн, чуть позже от другого банка и от киви. В голове включается псих, появляется мысль что тварь живет в моем смартфоне или планшете. Трачу время, перепрошиваю телефон, планшет, и даже перепрошил айфон у девушки(была прошивка с джейлбрейком). Результата нет.

Отчаялся. На работе сижу меняю пароли на всех основных и важных сайтах. Вечером пришел домой, решил проверить почту и ввожу новый пароль, успешно вошел. Вроде бы никакой активности. Ночью проснулся от смски с попыткой входа в почту(двухфаторная авторизация работает же), уснуть не смог, снова всю ночь ломал голову как такое возможно. На следующий день вечером придя домой, достал свой старый комп и зацепил его между кабелем от провайдера и роутером в режиме мониторинга сети ваиршарком. Прошли сутки, специально менял пароли дабы спровоцировать зловреда. Итог, никакой подозрительной активности, логи чистые, пароли утекают т.к. некто утыкается в двухфакторную авторизацию. ВКонтакте не работает до сих пор.

Зарождается мысль что я стал параноиком и у меня раздвоение личности, которая по ночам издевается надо мной.
На работе сижу, тут пишет старый знакомый в скайпе и кидает ссылку на картинку с котиками ведущую на вконтакте. Я призадумался(скайпом пользуюсь очень редко и почти никто не пишет) а тут ссылка на вконтакте, да еще и после клика открылся вполне нормально контакт. Пароль естественно не подошел, востановил через почту. Зашел, сразу посмотрел историю переписки в ней ничего левого нет, на стене от меня тоже ничего подозрительного небыло. Хм, странно как то. Зашел к друзьям, поспрашивал не шел ли от меня спам, сказали что нет. Странно. Пришел домой и еще раз попытался войти вконтакт, картинка таже, сначало ввожу как обычно на обычной странице свой логин и пароль, потом страница с ошибкой. Ну думаю походу просто у провайдера проблемы(домру по своим каналам дает максимальную скорость до многих сервисов типа мелру\контакт\яндекс), написал им в тп а сам пошел смотреть логи вайршарка. ТП ответило что все окей, проверяйте комп на вирусу а лучше купите у нас подписку на антивирус. Логи чистые.

Днем я был на выезде и пришлось включить мобильный инет, а вайфай отрубить в целях экономии, потом я забыл переключить все обратно. Тут черт меня дернул открыть вконтакте на телефоне и он отрылся! Пытаюсь открыть на компе там сразу ошибка 500. Включил ноутбук и планшет и там тоже после ввода данных сразу ошибка 500. Это уже что то. Провожу эксперимент, на мобильном интернете меняю пароли на абсоютно все важные сайты которые как правило сразу ломали. С домашнего инета на эти сайты не лезу совсем. Весь следующий день никаких угонов нет, все тихо и спокойно. Вечером специально захожу на все эти сайты и ночью их опять почти все угоняют. Снова задумался как такое возможно, проверил еще раз комп, ноутбук, планшет и телефон девушки, посмотрел логи ваиршарка. Все чисто и подозрений нет.
На следующий день понадобилось попасть в домашнюю локалку (роутер asus rt-n10p, прописан фирменный dyndns от асуса, включен vpn сервер на нем же). Ничего не получилось т.к. нет резолва, позвонил девушке чтобы передернула питание на нем. И снова ничего, хм. Пришел домой, залез в роутер, все нормально, впн сервер работает, получить dyndns роутер не может по неизвестной ошибке. Начинаю читать логи роутера, естественно из-за его скромной памяти там только самый конец и ничего интересного нет. Лезу дальше, дай думаю я отключу как впнку вообще. Лезу еще дальше и чисто случайно попадают на страницу с настройками dhcp сервера локалки а там опана и прописан основным днс сервером неизвестный мне(точнее явно левый) днс сервер, вторым днс сервером значился днг гугла 8.8.8.8 . Вот так новости, почистил и выставил на автомат от wan порта. Лезу в настройки wan и обнаруживаю там точно такую же картину с левым днс сервером. Вычищаю все это к чертовой бабушке. Обнаруживаю включенный телнет и админку на ван порту которые я точно включить никак не мог.

Снова меняю все пароли важные, восстанавливаю доступы. Больше суток никаких проблем, контакт работает, инет не проглючивает. Наслаждаюсь жизнью и ломаю голову как сломали роутер. Тут внезапно снова первоначальные проблемы. При этом пароль на роутере был другим и телнет, впн, админка отрублены. Тут они снова включенные и всето тже днс везде прописан, в логах ничего особо нет. Включаю дебила, снова все откатываю и блочу, ставлю обратно старый системник между роутером и кабелем провайдера. Снова тишина и опять все повторятеся, в логах ничего палевного не заметно но допускаю что что то и есть т.к. логи очень объемные.

Начинаю гуглить разные варианты таких событий и среди всех нахожу свеженькую уязвимость всех роутеров от асус, суть раскрывать не буду от греха подальше, скажу что работает она просто замечательно и на пароль роутера насрать глубоко, все происходит за счет волшебных UDP пакетов на особый порт ебаного асуса. Поменял роутер, от греха подальше поменял снова все пароли.

Решил покопаться с такой уязвимостью и как ее провернули ведь надо знать еще и как минимум ip для целевой атаки. В общем результат такой, просканировать весь диапазон подсети провайдера не проблема и занимает по времени чуть меньше суток, выхлоп куча ip которые пингуются. Дальше еще интереснее, если выборочно открывать некоторые ип адреса по 80 порту то там с завидной регулярностью весело улыбается админка д'линков. И в целом если немного побыдлокодить то можно весь процесс взлома автоматизировать на постоянку, сканирование и флуд особыми пакетами на найденные ип адреса. У д'линков вообще очень много уязвимостей, у асуса и tp'линков чуть меньше но тоже есть и похожие как 2 капли воды т.к. работают опять же через волшебные пакеты. А теперь немного арифметики, прикидываем сколько ип адресов пропингуется(не все но очень многие), прикидываем что длинки\тплинки\асусы самые популярные роутеры в народе, прикидываем что почти всем глубоко наплевать что там в роутере и никогда не обновляют прошивки. Получаем вполне приличное число потенциальных жертв такого обмана.

Ладно я понимаю немного в таких делах и не пойду платить деньги за "чистку компа"\ "восстановление контактика" и т.д. , но ведь зачастую на это тратят кучу денег а тут то результат будет бестолковым. Кроме того боюсь представить какова была истинная цель взлома(так думаю что на самое дорого, банк, основная почта и что нибудь типо стима т.е. все то с чего можно очень быстро стянуть бабосы).

PS Если дочитали до конца то спасибо, это был мой крик души после многих бессонных ночей. Будьте бдительны т.к. мошенники становятся все хитрее и опаснее для вашего кошелька и особенно нервов.

jamakasi, не совсем понял механизм сниффа по итогу. Или уязвимость в том и состоит, что можно не только менять настройки, но и до пакетов добираться в тихую?

Neo][, По итогам результат такой. На роутере появились левые днс сервера которые принадлежат злоумышленнику. Основной его и вспомогательный от гугла, как известно вспомогательный работает только тогда когда основной не отвечает в течении n-времени. Злоумышленник на своем днс сервере ставит ответ к примеру vk.com не на ip вконтакта а на свой левый с копией странички, ты авторизовываешься и тут 2 исхода либо он тебя редиректит на нормальный vk.com(ip контакта) либо выкидывает страничку с ошибкой. На практике почти все сайты с которых он угонял пароли таким способом редиректились на свои нормальные ip адреса кроме вконтакте(не знаю почему так он решил, возможно какието сложности были у него). Т.е. ты как пользователь открываешь скажем gameru.net , видишь что адрес корректен и ничего не заподозриваешь. Видишь что не авторизован и авторизовываешься после чего тебя(при определенном запросе днс) кидает на настоящий gameru.net .
Т.е. получается это новая ступень в фейковых сайтах только теперь домен сайта корректен и заметить подставу очень тяжело.

Фу! Ты поселил в моей голове параноика. Спасибо. Как говориться предупрежден значит вооружен и в случае чего первым делом будут притенении к роутеру. *обновляю прошивку роутера*

На асусе стояла офф. прошивка? Вроде секретные порты доступны только по LANовским портам, а по WAN нет.

Получается, кто-то из вашей локалки балуется. Может быть вычислить по айпи, рассказать провайдеру?

По идее в твоем случае помогло бы выставить гугловские днс на компе?

Ух, у меня же асус...

Вообще история напомнила про мою паранойю в июне сего года, когда кто-то брутфорсил админку моего роутера.
Ну и то, как провайдер каким-то макаром(ибо стоял ввод вручную) менял DNS гугла на какие-то свои, от чего скорость соединения падала раз в 15.

Это очень вероятно.

jamakasi, хм, так тогда получается, что это ещё и на сайтах есть уязвимости? Как происходил редирект, с успешной авторизацией?

abramcumner, прошивка офф. Доступны по wan. Балучется возможно в локалке провайдера но не факт т.к. пулы ip адресов легко гуглятся а написать или найти готовый скрипт пинговальщика по листу очень просто.
Провайдеру это даром не надо, сразу отправят в полицию, в полиции отправят в отдел "К", отделу "К" пофигу на такие преступления и тем более на такое "домашнее лицо". В свое время когда работал админом была у нас потеря в виде ддоса и в конечном счете взлома сип телефонии и счета на почти 300 тыс рублей, недели 2 потратил на местный отдел полиции совместно с юристом организации чтобы просто добиться принятия дела и отправки его в отдел "К", потом еще больше месяца катались к К'ашникам и на пальцах показывал и объяснял суть произошедшего и сумму ущерба. На руках были все логи, все ip адреса, номера куда звонили для слития бабла и т.д. и даже нашли физический адрес проживания злоумышленника(наемный аутсорсер проживающий в городе которого наняли конкуренты, нашли благодаря логам где он засветил свой реальный ip без прокси, выбили через знакомого в провайдере лог по ип+дата+время), там каждый раз с круглыми глазами смотрели как бараны на новые ворота с отмазками типо это дело обычной полиции а то что вы нашли этого человека ничего не доказывает т.к. данные такого рода можно получить только через судебное решение. В итоге 2 месяца было потрачено в пустую, дело завели но оно так и висит у них мертвым грузом. Деньги за связь утрачены, сайт был парализован а организация почти неделю не могла нормально функционировать т.к. под ддосом шлюз слег а через него работали филиалы для доступа к 1с и другому софту, телефония лежала изза ддоса а потом еще и потому что номера изза дикого минуса на счете были заморожены и пришлось быстро покупать временные новые номера у другого прова и которые были никому не известны т.к. сразу всю рекламу организации сменить было невозможно. К слову организация медицинская, звонков в сутки обрабатывали более 4000, 9 филиалов просто не могло работать. И даже за такие колоссальные убытки в нашем великом отделе "К" даже бровью не повели. Им то проще ходить штрафовать мальчиков по подставе которые переустанавливают винду и корел дравы.


Если роутер предоставил сам провайдер то сильно вероятно что там модификация прошивки от провайдера а они встраивают для себя бэкдоры до админки. Такое очень сильно любят билайн и ростелеком, до сих пор помню кошмар у билайна с их фирменным роутером длинк который торчит вебмордой на WAN и помимо того был на очень старой прошивке в которой для того чтобы узнать пароль надо было открыть страницу в IE , ввести неправильный пароль, получить ошибку и после глянуть исходный код страницы в котором был в открытом виде пароль администратора. К слову такое видел очень часто у билайна, у домру на некоторых роутерах фирмы netgear. Говорю про торчащую админку в WAN'е.


Точно не могу сказать, могу описать как это видел я. Открываю сайт скажем yandex.ru , днс подменяет меня на точно такой же но фейковый(как я понимаю это тупо страница сохраненная и вписанным левым скриптом на сбор логина\пароля в файлик), вижу страницу yandex.ru, смотрю в адресную строку и вижу yandex.ru. Никаких подозрений. Вижу что я не авторизован, но браузер же умный, он уже поставил мой логин и пароль в нужные поля и достаточно нажать кнопку "Вход", жму, попадаю на нормальный сайт yandex.ru где я уже авторизован(сильно вероятно что кукисами). Т.е. невооруженным глазом почти нереально заметить подставу.

Прошивка у тебя последняя стоит?

Знач меняем прошивку, отключаем telnet, отключаем веб по wan, ставим пароль. Всё вроде.

Паяльниk, в случае старой прошивки не поможет, а эту дырку прикроют так скоро вылезет другая точно такая же.

омг

какой теперь роутер покупать?)

#iMiksRus™, У тебя вообще древняя прошивка Шейся на самую последнюю, там подлатан баг, по крайней мере этот.

лол
Dir 300 древний 2009 года
2.01 или 2.03

я обновлять эту хрень не умею

научите пожалуйста

А на что шится http://www.asus.com/ru/Networking/RTN10_C1...pDesk_Download/ ?)

круто, вот бы я так умел

Кстати вот один из его днс серверов 89.108.70.63. Может кто поддосит.

jamakasi, такие статьи на хабр/гиктаймс писать нужно
Там и аудитория соответствующая, все разжуют и узнают, еще и в Asus настучат

STALKER2011x,

http://habrahabr.ru/post/253013


воспользуются ею...

Первое же предложение:

Только, видимо, клиенты не обновились
Ну а вообще статью все же можно написать, там любят почитать про такие истории. Это же прям как детектив

STALKER2011x,

Согласен! Сам с удовольствием прочитал, реальный случай.

STALKER2011x, в конце статьи прямо и говорится как асус написал в чейнжлоге этот фикс. я человек подкованный довольно слабо во всем но могу разобраться по случаю с проблемой. Ту статью к сожалению нашел довольно поздно а скоее даже после явной проблемы с роутером. Прошивки обновлял только когда видел что там действительно был баг который меня донимал. Статья может и получилась бы,но пишу я плохо да и инвайтов нет. Кроме того проблемы была у меня т.к. я опять же не обновил прошивку и на хабре об этом говорилось. Я просто рассказал жизненную историю, огородил от такого косяка тех кто прочитал все это.

Два пароля на всех сайтах, один для не очень важных - 7 больших букв которые на телефоне набираются последовательным нажатием кнопок (но на ПК выглядят случайными символами) и на более важных, на которые я захожу более 1-2 раз - аббревиатуры названий трех игр для ПК в которые я играл больше всего, вряд ли можно отгадать даже зная меня лично, за 10 лет никаких проблем.

zibit_93, а какие игры ты любишь?

zibit_93, в ситуации как у меня без разницы какой у тебя пароль. Спасет только двух-трех факторная авторизация.

В начале этого года "познакомился с роутером", который отлично пинговался, но никак не загружал веб интерфейс. Как оказалось, из-за уязвимостей прошивки, провайдер тупо выкатил обнову с подчистую убранным интерфейсом админки.

jamakasi, ты не плохой специалист, но тут в таких ситуациях можно просто логический рассудить, если проблема у тебя и у девушки, то скорее всего корень проблемы общий.

Например если бы вы с девушкой отравились одной и той же просороченой сметаной.

А у тебя получилось расследование, что аж можно мини-сериал снять))

Sviborg, у меня очень сложная топология сети домашней:

кроме такого зверопарка, есть vlan'ы , шары, домашнее облачко, гостевая wifi. На практике было такое что попал троянчик на рабочий ноутбук и через него с помощью облака разлетелось по всей домашней сети Поэтому искал изначально всетаки вирус\троян\да что угодно.
Еще не стоит забывать про синхронизацию хрома и синхронизацию учеток в вин10.

По поводу домашней сети я бы сделал так:

1. маршрутизатор всего один с USB, и чтоб с openwrt работал
2. В USB можно HDD подключить вместо NAS будет, но это по желанию
3. Туда же принтер и сканер, но не каждый (у меня samsung scx4220 так работает.)
4. 2 беспроводных сети можно там же(2vlan)
5. Ethernet-порты делим на vlan'ы если нужно отедльно телефоны, TV, etc

В прошивку не включаем веб-интерфейса, telnet убираем из автозагрузки, остается ssh. В iptables запрещаем input для WAN, он там итак по умолчанию запрещен.

Но у меня большого опыта нет, такчто критикуйте.

Sviborg, 1) не катит никак, маршрутизаторы стоят в двух абсолютно разных квартирах. Опенврт извините катит для варианта "бомж"(денег особо нет, железка старая а хочется очень много. Тут как показала практика такой выбор очень плохой т.к. роутеры слишком слабые для большого круга задач).
2) Работает оно всегда хреново, для просмотра фильмов не катит т.к. скорость самого узб маленькая+ доп нагрузка. Кроме того нас это не просто файлопомойка, это безопасная файлопомойка, очень быстрая а главное зеркалирование рейдом. Для хранения фото\видео архива самое оно, кроме того туда же падают бэкапы и фильмы.
3) Принтер у меня стоит на работе и печатает через принтеры гугла, нет необходимости.
4) Сети и так хорошо работают, 1 изолированная для гостей, 2я для меня любимого.
5) Это уже извращение, архитектура сильно завязана друг с другом.

К слову из вне в сеть попадаю только по openvpn на сервер и соответсвенно дальше в локалку, опять же на сервере крутится астериск + еще кучка некоторых сервисов нужных мне.

PS если кому интересно могу накатать небольшую статью как организовать ip телефонию для дома\офиса, в чем выгода и зачем оно вообще нужно в виде пошаговой инструкции для "домохозяйки" без страшных консолей.

Ахринет херову фконтакте взломали.
Блин какая то лажа. Дым идёт из ушей от ярости.
Может во обще страницу нах удалить, чтобы и взламовать нечего было.
https://vk.com/id100077266
Удалил, там можно восстановить до определённого времени. Так что возможно передумаю. Да к чёрту всё, слишком зол я на фконтакте, за что не могут обеспечить безопасность!

NanoBot-AMK, а вот не нужно было для пароля использовать nanobot-amk

RayTwitty, да пароль был достаточно сложны, его где-то похитили.
ЗЫ
Во блин, ещё и на АМК забанили на сутки, во молодцы, приободрили мудераторы.

Меня и за более мягкие слова отправляли чалиться. Хорошо на сутки. Наговорил ты там на 3 суток.

https://haveibeenpwned.com/
Пароль везде используешь одинаковый? Вбиваешь туда мыло от своего ВКшного аккаунта и смотришь, где с твоими данными успешно совокупляются на протяжении нескольких месяцев, а то и лет.

Блин, не понимаю тех, кто до сих пор сам придумывает пароли и их запоминает. Для вас специально были придуманы менеджеры паролей и их генераторы.
Надо где-то зарегистрироваться? - Открываешь менеджер и создаешь пароль.
Всё! Надо помнить лишь ключ входа в менеджер, который ты сам задаёшь.

Норм тема, сразу добровольно отправлять все свои пароли на левые сервера, не дожидаясь, пока их взломают.

У них хранятся хеши

А ты проверял?

Да, я смотрел что передается через сеть

Конечно тут можно сказать, что никто не гарантирует, что сам мастер пароль там не хранится в открытом виде

Кто использует этот сервис? Сразу вспоминаю этот прикол, проверка безопасности банковской карты.

https://haveibeenpwned.com - проверка почты

https://haveibeenpwned.com/passwords - проверка пароля

Сам иногда пользуюсь данным сервисом. Форму с проверкой пароля использую в крайнем случае, когда уже видно, что кто-то слил базу сайта/форума и уже кто-то добирается до второго этапа проверки - 2SA/2FA.

Что качается самой темы, истории из жизни в первом посте.

Вот только совсем недавно знакомый поменял ASUS RT-N12E. Сам пару лет назад обновился на последнюю доступную прошивку от 2017 года. Я глянул на настройки и журнал событий, последний разрывался от поступающих снаружи запросов. Новых прошивок больше нету, альтернативную не позволяют установить модель и ревизия устройства. Уговорил убрать этот "раритет" ... купил на своё усмотрение модель от Netis.

Первые мои модемы/маршрутизаторы были от D-Link, потом уже от TP-Link. Было пару моделей от Xiaomi, компактные для экспериментов с прошивками. Последние четыре года предпочитаю продукцию от MikroTik. Прошивку приходится обновлять пару раз в год, иногда всплывают очень серьёзные уязвимости. Следом приходится обновлять и утилиту Winbox. Я знал, на что шел, да и тематика сетей для меня близка. Проще поддерживать сеть компании, когда устройство подобного бренда используется дома.