Как нас сегодня хакеры взломали, что из этого вышло и что за это будет

1802

Ночью мы устроили нашему сайту переезд. Путем недолгих раздумий, я решил отказаться от хостинга таймвеб, с которым меня связывают несколько лет брака (с сорами, разбитой посудой и страстным сексом после), и перейти на новый (в целях рекламы разглашать не буду пока, ибо толком еще не поработал с ним).

Поменял у доменного имени NS сервера и спать лег, благополучно проверив старые пути в я.вебмастере и поколдовав в htaccess (я руководитель студии, самому смешно). 

А сегодня с утра, открыл метрику и немного удивился — совсем новый сайт, а в 12 часов дня на него пришло около 200 посетителей из вконтакта.

 

Я конечно ожидал какой-то реакции на новый дизайн сайта, но не такой. Начал копать и выяснил что трафик идет из вконтакта на несуществующие страницы. Некие люди вконтакте оставляли сообщения на стенах других людей с провокационным записями (в основном там было имя и фамилия человека на чьей стене это писалось) и ссылками на наш сайт.

Открыв новый сайт по данным ссылкам я увидел главную страницу (мы еще не прописали 404 ошибку, сайт полуготовый, специально разместил на продакшен, чтобы это мотивировало доделать побыстрей).

Что-то не так, какое-то нелогичное поведение... И потом я вспомнил про старый сайт, с которого я буквально ночью уехал. И пошел туда, копать файл htacess. А там

ErrorDocument 404 http://www.vk487.ru/

И всё встало на свои места. Хакер взломал сайт как-раз в тот момент, когда он переезжал. И поменял там реакцию на 404 ошибку (когда нет документа). Теперь вместо того чтобы показать «такой страницы нет на сайте» вас просто перебрасывает на сайт, картинка которого ниже.  

Данный прием называется «фишинг» — и не просто так в этом слове есть часть от рыбы. Это действительно рыбалка, на невнимательных (недалеких) пользователей, которые перейдя по ссылке из вконтакта могут решить, что их выбросило из системы и требуется ввести свои данные в форму слева.

Далее злоумышленник получив логин и пароль, продолжит рассылку спама всем друзьям и все это будет идти до бесконечности (на самом деле вконтакт среагировал в 19 часов, т.е. спустя 10 часов примерно с начала вирусной активности, что вообще офигеть как быстро, учитывая какое громадное количество действий происходит в этой соц. сети). 

Сейчас в соц. сети всем моим друзьям и тем людям, которые переходят на сайт выводится вот такое сообщение

Призываю никого не беспокоиться, ибо фишинга не было (ну разве что у некоторых пользователей, так как dns сервера у провайдеров порой обновляются за 3-4 дня) — вирус проявил себя в 9 утра, а я удалил его в 12 часов. Да и к тому же это актуально только если у вас на стене была запись о том, что мол перейди по ссылке ИМЯ ФАМИЛИЯ!

Проковырял я всё в access логах и нашел странную активность совпадающую по времени.

​Погуглил, выяснил что это известный бот "hacked-joomla/brobot" (ненавижу joomla, ошибки юности).

Решил, что стоит отправить нашим доблестным защитникам информации в интернете эту всю туфту и написал пару писем с access логами в органы, пусть преступников ищут.


Рассказывает

Руководитель
Вконтакте, Facebook
Поделиться