LINUX.ORG.RU
ФорумTalks

Помогите определить организацию

 


2

2

Сегодня утром «хакеры» взломали сайт, обвинив его создателей в «молчаливой поддержке» сами знаете чего. На заглавную флаг Украины вывесили. Хотя сайт вообще никаким боком ни к чему коммерческому ни к политическому в данный момент не имеет отношения

  • Nmap scan report for 154.92.127.127
  • Host is up (0.043s latency).
  • Not shown: 65525 closed ports
  • PORT STATE SERVICE
  • 135/tcp filtered msrpc
  • 136/tcp filtered profile
  • 137/tcp filtered netbios-ns
  • 138/tcp filtered netbios-dgm
  • 139/tcp filtered netbios-ssn
  • 445/tcp filtered microsoft-ds
  • 4444/tcp filtered krb524
  • 5786/tcp open cisco-redu
  • 7946/tcp open unknown
  • 30000/tcp filtered ndmps

Как определить, что это за организация?

Перемещено ilinsky из security



Последнее исправление: da17 (всего исправлений: 4)

Сейчас погляжу где у меня хранится список хакерских организаций с указаниями их айпишников и вам сообщу.

P.S. Вы бы хоть понятнее пост оформили, потому что непонятно какую организацию вам надо, то ли найти сайт который хакнули то ли хакеров и к чему тут криво оформленный лог nmap?

mydibyje ★★★
()
Последнее исправление: mydibyje (всего исправлений: 1)

Это выставленная жопой в интернет винда, значит, организация форточников.

Anoxemian ★★★★★
()
Ответ на: комментарий от mydibyje

Да я просто расстроен очень, сайт вообще был 100% нейтральный, сдался он вообще кому то и по логам видно не профи. Вчера зашли разведали, сегодня скрипт залили, все потерли. Пытаюсь определить кому жалобу писать, но вот по ip никак не определюсь, там вроде на всей подсети машины с одинаковым набором портов.

da17
() автор топика
Последнее исправление: da17 (всего исправлений: 1)
whois 154.92.127.127
% This is the AfriNIC Whois server.
% The AFRINIC whois database is subject to  the following terms of Use. See https://afrinic.net/whois/terms

% Note: this output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '154.92.127.0 - 154.92.127.255'

% No abuse contact registered for 154.92.127.0 - 154.92.127.255

inetnum:        154.92.127.0 - 154.92.127.255
netname:        Future_Tech_Distribution
descr:          Future Tech Distribution
country:        NL
admin-c:        CIS1-AFRINIC
tech-c:         CIS1-AFRINIC
status:         ASSIGNED PA
mnt-by:         CIL1-MNT
mnt-by:         LARUS-SERVICE-MNT
source:         AFRINIC # Filtered
parent:         154.80.0.0 - 154.95.255.255

person:         Cloud Innovation Support
address:        Ebene
address:        MU
address:        Mahe
address:        Seychelles
phone:          tel:+248-4-610-795
nic-hdl:        CIS1-AFRINIC
abuse-mailbox:  abuse@cloudinnovation.org
mnt-by:         CIL1-MNT
source:         AFRINIC # Filtered

% Information related to '154.92.127.0/24AS9009'

route:          154.92.127.0/24
descr:          Future Tech Distribution
origin:         AS9009
mnt-by:         LARUS-SERVICE-MNT
source:         AFRINIC # Filtered

Писать в abuse@cloudinnovation.org, твоим делом займутся лучшие киберполицейские Сейшельских островов. Ещё можно написать в Спортлото и в Приёмную Администрации Президента.

Вообще если сильно пичот можно заявление в полицию подать и послушать как тебя будут уговаривать забить на всё это. Но можно таки не поддаться на уговоры и таки подать, а дальше смотреть как они его теряют, забывают, писать заявления уже по этому поводу. Результата всё равно не будет, но зато развлечёшься хотя бы.

Jameson ★★★★★
()
Ответ на: комментарий от Jameson

address: Ebene

Я почему-то после AfriNIC так и подумал, что где-то там она и будет, эта организация ☺

gremlin_the_red ★★★★★
()
Ответ на: комментарий от Jameson

Сильно печет, нашел первый пробив с американского провайдера. 23.250.57.89 servermania.com Затем через три недели уже через другого зашли со скриптом. Ладно бы просто там флаг украинский разместили, нет еще умудрились все изображения и фотографии стереть.

da17
() автор топика
Ответ на: комментарий от da17

Это твой первый раз, да? Ну развлекайся. Интересно чего ты добьёшься в итоге. Вообще то для расследования есть следствие, а для восстановления справедливости и наказания виновных суд. Так что по законам правового государства ты должен как потерпевший заявление в полицию писать, а не заниматься расследованием самостоятельно. Тем более результаты твоего собственного расследования будут проигнорированы.

Jameson ★★★★★
()
Последнее исправление: Jameson (всего исправлений: 1)
Ответ на: комментарий от da17

По моему личному опыту все жалобы в abuse@ идут напрямую в /dev/null на том конце.

Думаю чего то можно реально добиться только совместно с полицейским расследованием и привлечением международного Киберпола, но у тебя не тот масштаб ущерба и не тот международный вес. У тебя даже сержант заявление не примет.

Jameson ★★★★★
()
Ответ на: комментарий от Jameson

Да. А с технической точки зрения, что это вообще такое 54.92.127.0/27 Несколько десятков машин которыми владеет неизвестно, стоят неизвестно где, в одинаковой конфигурации. Как мне дальше про них собрать информацию?

da17
() автор топика
Ответ на: комментарий от da17

Это подсеть из Автономной системы AS9009. Дальше тебе нужно найти через https://bgpview.io например кому она принадлежит, связаться с этой организацией и у неё выяснять как они распределяют адреса из неё. В итоге ты выяснишь то же что и whois рассказал, что 154.92.127.0/24 принадлежит Future Tech Distribution, зарегистрированной в городе Ебеня на Сейшеллах. Собсно дальше остаётся вступать с этой конторой в плодотворную письменную коммуникацию.

Jameson ★★★★★
()
Последнее исправление: Jameson (всего исправлений: 2)
Ответ на: комментарий от anonymous_sapiens

Не понял, что значит «хацкеры не соврали»? Это что нормально приходить и пакостить просто потому что я русский? Ох все…

da17
() автор топика
Ответ на: комментарий от da17

Ладно бы просто там флаг украинский разместили, нет еще умудрились все изображения и фотографии стереть.

Т.е. если бы на пол шишечки в тебя вошли, то ты так не беспокоился?

ox55ff ★★★★★
()
Ответ на: комментарий от ox55ff

Тут сознательно вред нанесли. Судя по всему это контора M247 которая виндовс машины предоставляет.

da17
() автор топика
Ответ на: комментарий от da17

M247 это британский backbone провайдер. Он на полмира раскинулся, в том числе и на США. Я выше свой пост поправил, почитай. Собсно скорее всего в этих Ебенях у них комната со стулом и столом, где сидит юрист и ведёт дела ещё двадцати таких же офшорных компаний. А эти IPшники использует какой то хостинг провайдер, являющийся внучкой дочки этой компании. Дальше тебе нужны учредительные документы и внутренняя документация.

Jameson ★★★★★
()
Последнее исправление: Jameson (всего исправлений: 1)
Ответ на: комментарий от Anoxemian

Да там дуаю работали офисники непрофи. Так-как там modx админка стояла, я не обновлял давно, я в логах видел только уже когда загрузили какие-то файлы типа m.php up.php и там с их помощью отправили почту, а потом загрузили страницу с UA флагом. Сейчас с сервера буду выкачивать логи смотреть.

da17
() автор топика

Бессмысленная трата времени.

Лучше и полезнее энергию потратить на восстановление сайта из бэкапа и затыкание дыр.

Dimez ★★★★★
()
Ответ на: комментарий от Dimez

Ну зачем ты вот так сразу, интересно же как человек стукается о стену. Тем более у него это первый раз...

Jameson ★★★★★
()
Ответ на: комментарий от Dimez

Да бэкапы у меня лежали в соседней папке, все пропало. Остался только два ip кибертеррористов, один из servermania второй от этой ebene. У сайта была посещаемость ну человек 600 в месяц, на какой хрен он им вообще сдался ума не приложу. Кибертеррорист оставил свой псевдоним, может быть это станет зацепкой….

da17
() автор топика
Последнее исправление: da17 (всего исправлений: 3)
Ответ на: комментарий от Jameson

Ну хз, на меня (мои VDS) не раз жалобы приходили от американских компаний, за дудом и прочие шалости с их сайтами

IIIypuk ★★★
()
Ответ на: комментарий от IIIypuk

Значит твой хостинг не абузоустойчивый. Я как раз про подобные случаи как у ТС. Обычно там такие конторы которым писать бесполезно.

Jameson ★★★★★
()
Ответ на: комментарий от da17

Да бэкапы у меня лежали в соседней папке, все пропало

Ну, если не фейспалмить, то web.archive.org тебе в помощь.

Dimez ★★★★★
()

Как правило это бесполезно. Потому что атакующий в другой юрисдикции (или атаковал из другой юрисдикции, что почти тождественно).

Slack ★★★★★
()
Ответ на: комментарий от da17

Автор, ты это всё серьёзно или как? Что ты с ними делать то собрался? Приедешь к ним и поплачешься какие они плохие? Или может соберёшь логи всех менее успешных автоматических ботнетовских атак, коих сотни в день у тебя скорее всего происходит, и на всех них тоже расследование заведёшь? Это интернет, успехи подобных мероприятий ровно такие же как жаловаться на то что кто-то тебя на форуме дураком обозвал. И да, конкретно эти специально хотели нанести тебе вред и нанесли. Какие нехорошие.

А все эти айпи-адреса которые ты пытался вычислять - это чьи-то взломанные роутеры или ещё какая чушь, работающие в режиме прокси-серверов.

Кстати, конкретно в данном случае, если ты приедешь к ним на разборки, на тебя же ещё и ментов вызовут скорее всего с печальным для тебя исходом. Неужели ты этого всего не понимал?

firkax ★★★★★
()
Последнее исправление: firkax (всего исправлений: 1)
Ответ на: комментарий от firkax

Да мне просто интересно стало, как это все устроено. Вот есть сеть там стоит несколько десятков одинаковых машин, что это, кому принадлежит, почему так сложно найти даже организацию. Какие-то реселлеры IP, Ебене, Сейшелы, но сервера почему-то в Цюрихе. Я вот давно наблюдал за активностью, сперва попытались несколько раз зайти в админку, делали это судя по всему не роботами т.к. я метрика показала что случайно вместо up.php ввели его в ру раскладке. И так вот люди ничего не боясь все это лезут портить оставляя кучу следов. Везде у них сервера взломанные во всех концах планеты. У меня сайт имел отношение к промышленному оборудованию, хотя сейчас там все не работает уже и ООО давно закрыто, обидно, что планировал продать кому-то, кто этим занимается тому может пригодится для поиска клиентов.

da17
() автор топика
Последнее исправление: da17 (всего исправлений: 3)
Ответ на: комментарий от firkax

Неужели ты этого всего не понимал?

За скан портов ТСа и притянуть ещё могут.

vvn_black ★★★★★
()
Ответ на: комментарий от da17

Да мне просто интересно стало, как это все устроено.

Для этого тебе надобно одновременно освоить две области знаний — устройство и функционирование глобальных сетей TCP\IP, с особенным вниманием на протоколы глобальной маршрутизации (тут ты частично что то знаешь, но судя по постам знаешь поверхностно и недостаточно) и юридические основы международной организации и ведения бизнеса, с особым вниманием на понятие «офшор» (это чтобы понять, каким образом блок IP адресов купленный конторой в Сейшельских Ебенях оказался на интерфейсах компьютеров в Цюрихе).

Совместное понимание двух этих областей откроет тебе что компьютеры в Цюрихе тоже далеко не последняя остановка. А так же почему международные расследования крупных и громких хаков продолжаются годами, при этом журналистом сообщают о начале расследования, но крайне редко о его окончании.

Но рациональнее конечно будет научиться жопу ладошкой закрывать, следить за информационными рассылками на тему компьютерной безопасности, своевременно обновлять ПО и закрывать свеженайденные уязвимости согласно рекомендациям из этих рассылок, пока не обновят само ПО. Некогда самому этим всем заниматься — заплати профессионалам. Как то так сайты в интернете и содержат.

При этом всегда следует учитывать, что если кому то будет очень нужно тебя взломать — тебя взломают с использованием внесетевых методов, через агентурную работу и социальную инженерию, но только при условии что все эти мероприятия себя окупят и выгоду принесут. Пока необходимые затраты на взлом превышают потенциальную выгоду — можно спать спокойно.

В твоём случае затратность взлома была равна нулю, поэтому тебя и взломали, просто потому что ты насканился во «вражеском» IP диапазоне с открытой уязвимостью, к которой есть готовый эксплойт. Это легко мог бы быть и школотрон из Новосибирска, и разместил бы он у тебя на сайте член, а не флаг. Или любой другой кидди из любой части света хакающий вообще всё дырявое просто из любви к процессу. Не подставлялся бы — не стали бы и заниматься тобою.

Jameson ★★★★★
()
Ответ на: комментарий от da17

Вот есть сеть там стоит несколько десятков одинаковых машин, что это, кому принадлежит, почему так сложно найти даже организацию

Ты глупый или как? Не знаешь как у большинства сервера организованы, не знаешь что такое хостинг-провайдер? Сервера могут в любой стране быть у кого угодно, а эти скорее всего даже не их, а чьи-то ещё. И повторю - все эти сейшелы итд это прокси (знаешь что это такое надеюсь?). Забудь про свои школьные «вычисления по айпи», это сказки, если только нет какого-то огромного везения.

Везде у них сервера взломанные во всех концах планеты.

Это у всех так. В том числе из-за таких как ты, которые всякий мусор на дырявых недо-cms в инет показывают, и думают про вычисления по айпи вместо того чтобы нормально организовать работу сайта без дыр.

И так вот люди ничего не боясь все это лезут портить оставляя кучу следов.

А чего им бояться?

1) Опять повторю. Вот тебе в инете на форуме говорят - ты дурак (вобщем-то, так и есть). Ты обижаешься, начинаешь жаловаться сначала модераторам, потом в полицию, прокуратуру, итд. Итог понятен? Тут то же самое, только сфера - не общение на форуме, а хостинг нонеймовых веб-сайтов. Но действительно то же самое, всем точно так же плевать, что какого-то идиота, не озаботившегося установкой нормальной cms на сайт, опять взломали. Это происходит по всему миру тысячами раз в сутки, причём обычно автоматически, ничего необычного. Вобщем-то даже сайты гос органов так же ломают (там тоже некомпетентные админы случаются) и точно так же никому нет дела до поисков каких-то ботетов или скрипткиддисов по этому поводу. У тебя нашли дыру - заделай её и почисти за ними последствия. Это главное что нужно делать, и скорее всего единственное.

2) их государство их только похвалит за это, наоборот может даже какой-то отчёт составили «взломано столько-то сайтов из РФ, вот список» и вывесили на свою доску почёта

firkax ★★★★★
()

если был сайт нейтральный, то сделай его не нейтральным. вешай флаг России на фоне Киева. проблема решена, «хакеры» горят.

usi_svobodi
()
Ответ на: комментарий от da17

я в логах видел только уже когда загрузили какие-то файлы типа m.php up.php

Можете скинуть эти файлы на почту? Кроме этих двух больше точно ничего нет, хорошо смотрели?

Aleksandra
()
Ответ на: комментарий от Aleksandra

Файлы эти удалили видно за собой, ну удалены все папки и все подпапки иерархически. Вообще я видел, что пытаются ломать вручную по яндекс вебвизор, еще 5 мая перебирали стандартные страницы входа CMS различных. Потом по логам веб сервера как я понял вызвали какой-то скрипт для отправки писем и затем ушли предварительно все удалив. Выглядело это как-то вот так

  • 154.92.127.127 - - [27/Jul/2022:08:31:44 +0300] «POST /up.php?removeme HTTP/1.1»
da17
() автор топика
Последнее исправление: da17 (всего исправлений: 4)
Ответ на: комментарий от da17

А бэкапы сайта делались? Шелл могли залить давно и он в бэкапах сидит. Не смотрели последний бэкап? Может там что-то есть?

Aleksandra
()

Большую букву Z выстави на сайте. Они тебя будут пытаться опять сломать, а ты больше информации о них соберешь.

rupert ★★★★★
()
Ответ на: комментарий от Aleksandra

Они где-то год-два назад сделаны и лежат вообще в другом городе, ничего не менялось пару лет.

da17
() автор топика
Ответ на: комментарий от rupert

Я это все не очень поддерживаю… Всякие Z там и тому подобное. Мне бы просто жить спокойно. Ну как я понял яндекс метрика делает, что-то вроде «слепка» может быть через js отслеживая слепок системы: разрешение, браузер, версии и т.д. По этому слепку можно детектировать если еще были какие-то заходы.

da17
() автор топика
Последнее исправление: da17 (всего исправлений: 1)
Ответ на: комментарий от usi_svobodi

При этом весь сайт - один большой Honeypot, мимикрирующий под уязвимую CMS. Звучит как план мести.

Leupold_cat ★★★★★
()
Последнее исправление: Leupold_cat (всего исправлений: 1)
Ответ на: комментарий от da17

Мне бы просто жить спокойно.

Чтобы спокойно жить со своими сайтами, надо либо обучиться компьютерной безопасности либо нанять админа который про неё знает.

firkax ★★★★★
()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)