Рассказ как я заработал 7000$. Хакер или добрый самаритянин

История

Произошло это со мной относительно недавно, тогда я упорно работал в сфере пентестинга.

Пентестинг - это тестирование на проникновение и на преодоление защиты. Суть заключается в попытке обойти существующий комплекс средств защиты информационной системы.

В обычный вечер, пригласил меня друг к себе домой и говорит, что мол странные явления происходят с его компьютером, постоянные проблемы с сертификатом безопасности. Я думаю взгляну, первое что пришло в голову, это конечно подмена DNS.

Заходим в админку его роутера, спрашиваю, какой пароль? Не уж то admin? Он кивает головой. Я был в неудомении, как можно так относится к своей безопасности и не поменять банально пароль? Ладно, заходим в админку, смотрим сервера DNS. DNS соотвественно левый, проверяю я на 2ip этот айпишник - светит франкфуртом, но это никак не местный DNS сервер ведь. А тут пахнет банальным DNS спуфингом, а что это означает? Означает это то, что если хакнуть роутер и подменить DNS сервер на свой, можно выставлять подмену сайтов/редиректы на партнерские программы и многое другое. Тут стояла подмена сайта.

Как это работает?

Представим что вы заходите на сайт qiwi.ru у вас действительно, отображается сайт qiwi.ru, но на самом деле, вы на сайте www.pizdets.com но при этом вы этого не видите, почему? Потому что вам выставили подмену сайта путем подмены DNS сервера. Вы с широкой улыбкой - вводите пароль. А пароль автоматом падает в админку. Вы тут мало чего заподозрите. Так же есть варианты с партнерскими программами, когда вас скрытно переносит на какую либо партнерскую ссылку, и тем самым тот - кто вас хакнул, зарабатывает с партнерских программ. Математика тут простая, условно говоря, если порутать (получить админский доступ) 10000 роутеров и каждому настроить подмену DNS сервера и перенаправить трафик на партнерскую ссылку? С оплатой за переход. Возьмите минимальную цену за переход и считайте. Думаю тут и так все понятно.

Так вот, взяв на вооружение этот айпишник, я стал ковырять. Я возился довольно таки долго, получив айпишник сервера, я попробывал ввести стандартные пароли на админский вход, к сожалению не вышло. Пришлось быстро набросать брут (перебор паролей) под это дело. После того как я запустил брут, через 20 минут мне выдал пароль. Кстати довольно таки странно почему админ не подумал о своей же безопасности? Попал на ту же удочку, можно же было настроить блокировку при вводе неверного пароля, но, видимо думал самый умный. Получив рут доступ к серверу, я стал ковырять, чего ж у него там находится. В логах я обнаружил - внимание - 48 кошельков Qiwi.ru вот тут я реально офигел.

Я никак не мог поверить своим глазам, 48 мать его кошельков. И логи за последние 3 (!!!!) дня. Походу парень действительно заморочился.

Думаю, дай ка проверю эти кошельки. Самым большим моим удивлением было не количество кошельков... А то что больше половины кошельков были без дополнительной аутентификации на вход. Да, я разочарован. Балансы были - я их не сливал, если вы подумали об этом)

Далее я начал ковырять еще глубже, обнаружил подмену на блокчейн, там оказалось 2 кошелька, на одном было около 150 долларов, на втором что то около 10.

Были еще по мелочи, доступы к mail.ru больше 1000 доступов и еще какието сайты.

В сумме со всех кошельков если посчитать, было ориентировочно тысяч 80 рублей.

Я внимательно изучил сервер, оказалось что никаких логов сервер далее не передает а хранит все локально, последний вход - около 18 часов назад был сделан самим админом.

Я еще даже удивился, почему админ не позаботился о логировании на своем сервере? Выдернув его айпишник я проверил, оказался айпишник впна. Помимо последнего входа было еще с десяток разных айпи. Я не поленился и проверил каждый. Все айпишники пренадлежали одному впн провайдеру, кроме двух. Один был из Киева, второй из Алматы. Айпишники местных провайдеров. Похоже партнеры, и это были самые первые два входа. Тоесть какая тут может быть анонимность? Сначала зашли со своих айпи адресов, а потом давай будем анонимными и купим впн? Ну ладно. Айпишники у меня их есть. Был бы у меня административный ресурс - найти горехакеров было бы проще простого, я не стал заморачиватся с их поиском. Я тут подумал, все роутеры российские - кошельки и аккаунты соотвественно тоже. Раз они лезли со своих айпи адресов, не позаботились о безопасности сервера, да и вообще халатно отнеслись к такой работе, значит точно - неопытные. Соотвественно бэкапы не делали. Я решил форматнуть их логи и оставить письмо им на серваке, в письме я написал их айпи адреса и то что они лохи) Вежливо попросил не работать по РУ и не грабить своих соотечественников.

Поняли они - или нет. Остается только гадать. Суть истории в чем? В том, что хакнуть можно почти любой сервер. Не только брутом, а есть еще много много вариантов, уязвимости и тд. А на сервере - можно найти очень много интересного.

Однажды ко мне попал американский рутовый сервер, попал он ко мне совершенно случайно. Я тестировал новую уязвимость и в моем подчинении было около 2000 серверов. Я зашел на самый первый в списке, начал ковырять, оказался облачный сервер мед компании в америке. Я полазил внимательно - обнаружил что они хранят базы данных на своих клиентов, фио, ssn, dob вся информация + прилагается фотка айди и ssn. База была на 500mb. Я ее технично слил, а спустя неделю я эту базу продал за 7000$ Остальные сервера не проверял :)

Будьте внимательней, относитесь внимательно к себе и к своей безопасности, а то могут случится печальные последствия.