Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Чтобы сайт не увели рейдеры

Прочитали: 1909 Комментариев: 83 Рейтинг: 100

Легко ли потерять свои данные и насколько сложно их вернуть? Многие ведут собственный бизнес или намереваются этим заняться. А для его ведения необходим сайт, базы данных клиентов и партнеров… И в большинстве случаев обладатель такой важной информации не является специалистом в области безопасности.

В 2008 году создал сайт, который, спустя время, превратился в водно-моторное сообщество, объединяющее тысячи любителей моторных лодок и катеров. В сезон посещаемость ресурса превышала 10 000 человек в сутки, и кто-то решил, что сайт ему нужнее.

Получив доступ в админ-панель моего регистратора (r01.ru), вор перенес домен к другому (internet.bs) на свой аккаунт. База данных и файлы обманным путем были получены у хостера.

Я потерял проект, над которым работал около 9 лет. Вернуть домен получилось лишь через 8 месяцев.

https://habrahabr.ru/post/346826

Не будем пересказывать статью, повествующую о затратах на возвращение сайта – остановимся на том, как именно данные были утеряны.

Пароль от почты и у регистратора не был изменен, что говорило о том, что вор их узнал, а сделать это можно было лишь при взломе моего компьютера. Пароль от админки регистратора хранился в браузере FF под защитой мастер пароля (6 символов), а пароль от почты можно было взять в почтовом клиенте Thunderbird.

То есть и сам пароль был нестойкий (всего 6 символов!), а украсть базу данных с паролями и открыть почту оказалось совсем несложно.

Точкой взлома в домашней сети стал роутер, его прошивка содержала критическую уязвимость, позволяющую выполнять любые команды извне, в том числе включить telnet, что и было сделано.

  1. Устанавливайте обновления! Если у вас есть критически важные данные, зачем же экономить на очевидном?

    Вот схожая уязвимость в устройствах Netgear:
    Обнаруженная уязвимость допускает удаленное выполнение команды на маршрутизаторе, если пользователь откроет в браузере веб-страницу с вредоносного сайта или с нормального сайта, вместе с которой загрузится вредоносный рекламный баннер через AdSense или любую другую рекламную сеть. По локальной сети можно инициировать удаленное выполнение команды простым запросом к маршрутизатору.

    А вот D-Link:
    В прошивке беспроводных маршрутизаторов D-Link обнаружена критическая уязвимость, позволяющая инициировать выполнение на устройстве произвольной shell-команды через отправку специально оформленного HTTP-запроса, без прохождения аутентификации.

    В любом «железе» полно дыр, так что не стоит использовать дешевое и неподдерживаемое сетевое оборудование.

  2. Закрывайте ненужные сервисы. Обратите внимание: у пострадавшего был доступ по 80-му порту извне. Зачем?

    Зачем у вас разрешен входящий порт 80 на роутере из внешнего мира?
    Известно ли, как был взломан комп с Win 7?

    Я не специалист в области ИБ. 80 порт не был включен. Как был взломан компьютер, не знаю, следов взлома не обнаружил, лишь исключения для этого ПК в настройках роутера.

    Если вы – неспециалист в области ИБ, наймите мастера, пусть он настроит ваш рабочий ПК.

    И в миллионный, наверное, раз повторим: не используйте рабочий компьютер для развлечений.

    Я уже в который раз читаю эти, несомненно, интересные истории, как уплывают проекты за десятки, а иногда и за сотни тысяч долларов, в том числе кошельки с такими суммами и даже покерные аккаунты. Но если вы зарабатываете в месяц условно 2000-10000+$, почему не купить отдельный ноутбук за несчастные 200-500$, выключить на нем аппаратно: модули wifi и bluetooth, поставить на нем WinXP со всеми обновами или Linux, поставить норм роутер и фаер в которых сделать доступными для входа только 1-2 IP которые вам нужны для вашего проекта, и включать эту машину и этот роутер только тогда когда вам это нужно. Почему так не сделать? Авось пронесет? Да, понятно, что и ее могут взломать, но шансы взлома тогда уменьшатся на порядки, потому что из цепочки уйдет очень много ненужных факторов.

    Перед началом работы устанавливайте на компьютер обновления, а после ее окончания – выключайте. Выключенный ПК взломать сложнее.

    Не знаете как — наймите норм спеца. Главное «закопать» и откапывать только когда это действительно нужно, а так, потенциально:
    родные или вы скачали и запустили не тот софт на смарте, вы или ваши родные перешли не на тот сайт, не по той ссылке, не ту картинку посмотрели, не тот файл скачали и все — труд всей вашей жизни уплывает в неизведанные края, а вы получаете головняк на 3-6-8 месяцев, а иногда и вовсе теряете проект, ну и попутно тратите космические суммы, чтобы «вернуть все, что нажито непосильным трудом», потраченные нервы я тут не описываю, думаю, это неописуемо «приятные» ощущения.

Что было после взлома роутера:

Мой компьютер работал под Win10, стоял Avast. В домашней сети было еще два компьютера (Win7 + Avast). Один из них и был взломан, на роутере вор настроил проброс портов с этого компьютера.

Опять экономия, и снова – на средствах защиты.

Для справки: проброс портов – операция, после которой компьютер стал «виден» извне домашней сети.

6 мая мошенник зашел в мою почту, настроил спам-фильтры, и после этого все письма от регистратора стали попадать в папку «Спам», поэтому предупреждения о смене регистратора я не видел. Судя по логам Mail.ru, вор контролировал почту, периодически читал письма в папке «Спам», затем их удалял. Подключения осуществлялись с IP-адресов польского мобильного оператора.

То есть теперь, даже если жертве и приходили какие-то запросы, она их не видела.

Опять же: если у вас серьезный проект, настройте на рабочем компьютере соединения так, чтобы с вами могли работать только с доверенных адресов. Сделать это несложно – можно использовать для этого Брандмауэр Dr.Web.

Кстати, взлом мог пройти и по другому сценарию:

Взлом мог начаться с компа с win7, после этого доступ к роутеру дело техники. Для взлома роутера должно сойтись много условий: у вас должен быть внешний IP, злоумышленник должен его узнать (не очень тривиальная задача, если ваш IP неизвестен широкой общественности), на роутере должен быть вами ДО взлома открыт хоть какой-то порт во внешний мир, а в протоколе, ходящем по этому порту, у роутера должна быть уязвимость. В общем я бы не сбрасывал со счетов банальное хватание вируса на семерке.

Есть такой вид уязвимостей — CSRF. Вам присылают ссылку, или подсовывают картинку в рекламном баннере, или, как написано выше, размещают картинку на форуме — а там редирект на уязвимую страницу в роутере. В итоге ваш браузер делает от вашего имени запрос к роутеру.

Порт во внешний мир не нужен, достаточно смотрящего внутрь.

И об этом мы тоже писали…

А далее – типичное мошенничество:

В личном кабинете регистратора была инициирована передача домена к другому регистратору (internet.bs) на аккаунт мошенника.

Позвонив хостеру (hts.ru), узнал, что кто-то запросил пароль от аккаунта, предоставив копию моего паспорта. По этой просьбе служба поддержки сбросила пароль и сняла двухфакторную авторизацию (sms). Для получения доступа у меня также потребовали прислать скан паспорта. Согласно регламенту hts.ru, каждый, у кого есть скан паспорта, имеет возможность получить доступ к аккаунту владельца. Как выяснилось позже, достаточно иметь даже не копию паспорта, а грубую подделку копии. В моем случае вор прислал фальшивку, в которой было множество ляпов: неверная дата выдачи, код подразделения, подпись, чужое фото, а дата регистрации по месту жительства оказалась ранее даты рождения. К «копии паспорта» было приложено отсканированное заявление (тоже требование hts), в котором вор просил дать доступ к аккаунту, на котором находится сайт, и подписался совершенно не так, как в присланной «копии». Мою просьбу об официальном объяснении в hts выполнили, правда указали, что некто прислал копию паспорта, а не фальшивку.

Вспомните, сколько сканов своего паспорта и где вы оставили.

#сайт #киберпреступление #уязвимость

Dr.Web рекомендует

Читайте проект «Антивирусная правДА!» и настраивайте защиту согласно нашим рекомендациям.

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: