AgroLine Inv - agrolineinv.com - Страница 21

Статус
В этой теме нельзя размещать новые ответы.

Knjaz

ТОП-МАСТЕР
Регистрация
23.04.2011
Сообщения
60,387
Реакции
9,568
Поинты
0.010
Поддержу админа вкладом, который не соскамил проект, а продолжает работать и пока сдерживает свои обещания.

29.12.12 16:49 Transfer Sent Payment: 50.00 USD to account U4079690 from U34923***. Batch: 14970496. Memo: Shopping Cart Payment. Deposit to agrolineinv.com User Knjaz.
 

camthuy

МАСТЕР
Регистрация
13.09.2012
Сообщения
3,368
Реакции
794
Поинты
0.000

allegiance 0fHyip

Любитель
Регистрация
28.10.2012
Сообщения
279
Реакции
29
Поинты
0.000
Последнее редактирование:

Startinvest

ТОП-МАСТЕР
Регистрация
06.04.2012
Сообщения
8,757
Реакции
3,237
Поинты
0.000

Максим Николаевич

Профессионал
Регистрация
14.10.2012
Сообщения
1,523
Реакции
203
Поинты
0.000

Knjaz

ТОП-МАСТЕР
Регистрация
23.04.2011
Сообщения
60,387
Реакции
9,568
Поинты
0.010

Dimofey

ТОП-МАСТЕР
Регистрация
08.03.2012
Сообщения
15,441
Реакции
17,531
Поинты
0.000

mixpepper22

ТОП-МАСТЕР
Регистрация
24.09.2008
Сообщения
43,981
Реакции
11,268
Поинты
0.040

Versalsky

ТОП-МАСТЕР
Регистрация
22.06.2012
Сообщения
7,350
Реакции
6,532
Поинты
0.000

Бир Манат

ТОП-МАСТЕР
Регистрация
16.05.2012
Сообщения
9,094
Реакции
11,779
Поинты
0.000

jmocon

Любитель
Регистрация
24.12.2012
Сообщения
103
Реакции
23
Поинты
0.000

HYIPwatcher

Специалист
Регистрация
27.08.2012
Сообщения
1,223
Реакции
131
Поинты
0.000

mixpepper22

ТОП-МАСТЕР
Регистрация
24.09.2008
Сообщения
43,981
Реакции
11,268
Поинты
0.040

Knjaz

ТОП-МАСТЕР
Регистрация
23.04.2011
Сообщения
60,387
Реакции
9,568
Поинты
0.010
Dear investors!

We have to stop our work, because our project is hacked and stolen all the money from wallets.

All the details of the investigation to link https://agrolineinv.com/letter.txt (UTF-8). We both wanted to work longer, and after the new year, but apparently it will not be possible to do.

Advanced link in Russian, and we apologize in advance to the English-speaking users.

Thank you,
team AgroLine Inv.

Без коментариев!
 

Knjaz

ТОП-МАСТЕР
Регистрация
23.04.2011
Сообщения
60,387
Реакции
9,568
Поинты
0.010
Иногда обстоятельства оказываются сильнее нас... как и произошло с нашим проектом.
Мы работали 7 дней в волну негатива и работали бы дальше, если бы нас не взломали и не забрали все деньги с кошельков.

Когда это произошло, наш техник решил выяснить в чем же причина, как так могли взломать, авторизироваться в админке и выполнять все что хочешь.
Далее привожу текст от его имени:

После взлома я прикинул сразу два варианта:
1) Взломщик узнал пароль где-то вне хостинга Genius Guard.
2) Взломали сам ГК или хостинг Genius Guard.

Если вы замечали, то при логине в ГК как пользователя, так и админа, логин и пароль передаются в GET запросе, абсолютно открытыми.
Я заметил это сразу, задолго до взлома, и смекнул что эти данные записываются в лог доступа к веб-серверу, так называемый access-log.

В него я сразу и полез, посмотреть запросы и проверить догадки. К этому времени у меня уже были 2 IP адреса взломщика, которые пришли на
e-mail администратора ГК при логине.

Эти адреса 217.118.83.143 и 67.21.75.194. Первый по WHOIS выдал Москву, второй USA (скорее всего это VPN).
Я скачал логи доступа к себе на машину и командами

cat access-log | grep 217.118.83.143 > 217.118.83.143.txt
cat access-log | grep 217.118.83.143 > 67.21.75.194.txt

выделил запросы с этих адресов.

Обнаружилась очень интересная вещь. Сами транзакции были примерно в 19:34 по времени сервера (UTC).
Привожу данные с логов, возможно это поможет вам или другим админам.

217.118.83.143 - - [29/Dec/2012:19:24:49 +0000] "GET /?a=do_login&follow=&username=admin&password=~LebDe6%3FI6%25i HTTP/1.1" 200 149 "-" "Mozilla/5.0 (Windows NT 5.1; rv:17.0) Gecko/20100101 Firefox/17.0"

Привожу как есть, без изменений, так как пароль на админку все равно уже сменен. Запись лога говорит о том, что в 19:24 по времени сервера взломщик спокойно авторизировался, зная пароль администратора. Значит сам взлом (процесс получения пароля админа) произошел раньше, и я сделал выборку из лога по отпечатку браузера "Mozilla/5.0 (Windows NT 5.1; rv:17.0) Gecko/20100101 Firefox/17.0", а также выборку по подсети взломщика 217.118.x.x

И данные нашлись... просматривая лог я обнаружил интересную и необычную запись:

217.118.83.248 - - [29/Dec/2012:14:35:30 +0000] "GET /index.php HTTP/1.1" 200 3485 "http://dreamfinancialgroup.com/fonts/vers.pl" "Mozilla/5.0 (Windows NT 5.1; rv:17.0) Gecko/20100101 Firefox/17.0"

Это означает что был вызван index.php, а в качестве Location запроса указан http://dreamfinancialgroup.com/fonts/vers.pl, к слову это Perl-скрипт, и его уже не оказалось по тому адресу. Заметьте что адрес 217.118.83.248 совпадает с подсетью взломщика.

И тут первый вариант "Взломщик узнал пароль где-то вне хостинга." отпал сам собой, так как явно видно, что был запуск какого-то скрипта. Посмотрев nslookup dreamfinancialgroup.com я увидел IP адрес хоста 69.197.20.36, который находится в той же подсети класса C, что и IP нашего сайта 69.197.20.26. Я сделал косвенный вывод что сайты расположены на одном физическом сервере, и значит Perl скрипт мог считать лог доступа к веб-серверу, ведь достаточно знать домен, а имя пользователя это 8 первых символов (или меньше) без знаков (так генерирует имена cPanel), только буквы-цифры.

Я попробовал загрузить php-shell, и это окончилось неудачей, так как на сервере настроены ограничения по запуску php скриптов, типа open_basedir, shell_exec и прочих. Тут до меня дошло, почему вызывали именно Perl-скрипт. Я загрузил Perl-shell и попробовал считать логи доступа аккаунта dreamfin (8 первых символов), и это окончилось неудачей, так как логи доступа и многие папки принадлежащие другим пользователям стоят с парвами 700 или 711, что не разрешает чтение другому пользователю или другой группе. В Cpanel, в случае установки su_php (или аналогичных) все права, в том числе права на public_html принадлежат конкретному пользователю с одноименной группой, например dreamfin/dreamfin. Вариант чтения логов веб-сервера отпал, так как другой пользователь не имеет к ним доступа.

Но как-то же пароль узнали? Значит есть другой файл доступный для чтения, подумал я, и открыл каталог своего пользователя, внимательно просмотрев права на каждый файл и каталог. Интересное обнаружилось в папке tmp аккаунта. Там сохраняются данные программ статистики типа webalizer, analog, etc. Только в папке analog нашелся файл 12.html со статистической выкладкой по доступу к хосту. Этот файл с правами 644 !!! значит его может считать ЛЮБОЙ пользователь системы. Я открыл свой файл 12.html и посмотрел записи в нем... как ни странно, но я нашел долбанный запрос от ГК, с паролем админа. Он попал в файл статистики. Собственно на этом тайна получения пароля админа раскрыта. Любой пользователь хостинга может загрузить Perl-shell, или специально написанный Perl-скрипт (вспоминайте http://dreamfinancialgroup.com/fonts/vers.pl), выставить ему права выполнения и в путь, читать файлы статистики других юзеров, делая поиск строки "username=admin&password".

Но как взломщик получает имена пользователей и домены на конкретном сервере? Просматривая форум на свежие сайты на хостинге Genius Guard? Возможно. Я пошел другим путем.
Системные файлы /etc/passwd (содержит список юзеров сервера) и файл /etc/domainips (содержит связи IP-домен, и соответственно домены сайтов, которые хостятся на сервере) на хосте (да и вообще в cPanel) с правами 644, опять же любой юзер может считать их, получив список доменов, и сделав из них имена пользователей (или просто считав имена пользователей из passwd), далее РЕГУЛЯРНО просматривая файлы статистики (программно конечно) и делая поиск строки "username=admin&password". Как только результат получен, можно идти в админку нужного хоста и делать там все что угодно.

К моему удивлению, количество доменов на этом сервере protected1.geniusguard.com составляет 99 (буквально), на момент чтения этого файла. Домены включают также домен geniusguard.com, и можно сделать вывод, что другого сервера у них нет. То есть арендовали сервер у Staminus, и продают его по 50 и выше долларов хайпам на ГК и другим проектам (Ваган привет). Кроме того, что это минимум некрасиво, это не безопасно как видите. Вероятность найти данные админа у какого-то проекта, когда сайтов есть сотня сайтов на сервере, достаточно высокая, поэтому не удивляйтесь, что на Genius Guard будут продолжаться взломы ГК.

Да, и кроме этого, хайпы как вы знаете часто подвержены ДДОС атакам. Какова вероятность что будут ддосить один из 100 хайпов на сервере? Правильно, высокая. Значит другие сайты в момент ДДОСа будут либо дико тормозить, либо вовсе не будут доступны. Вывод: Genius Guard в топку, однозначно.

Проблема получения пароля админа существует также на любом виртуальном хостинге, где хостятся ГК (ну как бы популярность хоста, что-ли), и где установлена программа статистики analog. Возможно koddos, но я не проверял, нет аккаунта.

Теперь далее,
просматривая файл-выборку по МАСКЕ IP взломщика я обнаружил интересные записи:

217.118.83.151 - - [29/Dec/2012:12:21:14 +0000] "GET /index.php?a=do_login&follow=&username=Elena82&password=ghbdtn HTTP/1.1" 200 2017 "https://agrolineinv.com/index.php" "Opera/9.80 (Android 2.2.1; Linux; Opera Mobi/ADR-1212030820) Presto/2.11.355 Version/12.10"
217.118.83.151 - - [29/Dec/2012:12:21:15 +0000] "GET /usertpl/js/tms_presets.js HTTP/1.1" 200 2234 "https://agrolineinv.com/index.php?a=do_login&follow=&username=Elena82&password=ghbdtn" "Opera/9.80 (Android 2.2.1; Linux; Opera Mobi/ADR-1212030820) Presto/2.11.355 Version/12.10"
217.118.83.151 - - [29/Dec/2012:12:21:19 +0000] "GET /?a=account HTTP/1.1" 200 2560 "https://agrolineinv.com/index.php?a=do_login&follow=&username=Elena82&password=ghbdtn" "Opera/9.80 (Android 2.2.1; Linux; Opera Mobi/ADR-1212030820) Presto/2.11.355 Version/12.10"
217.118.83.151 - - [29/Dec/2012:12:21:36 +0000] "GET /?a=referals HTTP/1.1" 200 2221 "https://agrolineinv.com/?a=account" "Opera/9.80 (Android 2.2.1; Linux; Opera Mobi/ADR-1212030820) Presto/2.11.355 Version/12.10"
217.118.83.248 - - [29/Dec/2012:14:35:30 +0000] "GET /index.php HTTP/1.1" 200 3485 "http://dreamfinancialgroup.com/fonts/vers.pl" "Mozilla/5.0 (Windows NT 5.1; rv:17.0) Gecko/20100101 Firefox/17.0"
217.118.83.248 - - [29/Dec/2012:14:35:30 +0000] "GET /usertpl/css/reset.css HTTP/1.1" 200 508 "https://agrolineinv.com/index.php" "Mozilla/5.0 (Windows NT 5.1; rv:17.0) Gecko/20100101 Firefox/17.0"
217.118.83.248 - - [29/Dec/2012:14:35:31 +0000] "GET /usertpl/css/grid.css HTTP/1.1" 200 1383 "https://agrolineinv.com/index.php" "Mozilla/5.0 (Windows NT 5.1; rv:17.0) Gecko/20100101 Firefox/17.0"
... (здесь запросы картинок и т.д.)
217.118.83.248 - - [29/Dec/2012:14:36:15 +0000] "GET /?a=do_login&follow=&username=admin&password=~LebDe6%3FI6%25i HTTP/1.1" 200 149 "-" "Mozilla/5.0 (Windows NT 5.1; rv:17.0) Gecko/20100101 Firefox/17.0"
217.118.83.248 - - [29/Dec/2012:14:36:16 +0000] "GET /favicon.ico HTTP/1.1" 404 389 "-" "Mozilla/5.0 (Windows NT 5.1; rv:17.0) Gecko/20100101 Firefox/17.0"

Взломщик через минуту после запуска скрипта уже заходил в админку, зная пароль админа.

Обратите внимания на IP-адреса и на параметры запросов, а также на отпечатки браузеров. В 12:21 был доступ с адреса 217.118.83.151, с мобильного браузера Opera на андроиде. В параметрах username=Elena82&password=ghbdtn. Ничего не напоминает? :) Это та маша-лена, которая в баньку постоянно летает. Далее в 14:35 был доступ со стационарного компа с Firefox (вызов скрипта) с адреса 217.118.83.248.

Как вы может быть понимаете, Elena82 и взломщик находились в одной подсети примерно в одно и тоже время. Если посмотреть WHOIS адресов, то обнаружится записи:

inetnum: 217.118.80.0 - 217.118.83.255
netname: BEEWLAN1
descr: JSC "VimpelCom" WLAN1 Moscow

Это wifi-файл сеть провайдера Beeline, возможно в каком-то интернет кафе, или кафе с wifi. Это не прямое, а косвенное доказательство, но других пользователей кроме Elena82 и взломщика с этими адресами в логе не зафиксировано...

------

Теперь пара слов о том, как воруют деньги, или как это происходило в нашем случае. Я не привожу записи из лога, а привожу уже расшифровку.

1. Взломщик попадает в админку, делает анализ данных, а именно наличие пользователей с депо, которое уже начислились и не выведено.
2. В нашем случае было ожидание до вечера, видимо разработка тактики, или просто не было времени у взломщика.
3. Взломщик зашел вечером, поменял пароли у двух пользователей (daniel, jazzz) у которых были деньги на аккаунтах. Это наши пользователи, мы закидывали деньги в проект, через депо чтобы поддержать его.
4. Взломщик заходит в аккаунты (через соседний браузер, Chrome) и делает запросы на вывод средств, далее подтверждает их в админке. Здесь есть важный момент, которые относится как к безопасности, так и к удобству.
У нас вопреки рекомендациям ГК про shared-хостинги были узазаны данные доступа к API для автоплатежей. Но если их не указывать, то нужно сотню раз в день заходить в админку, делать выводы и указывать данные по платежным системам. Еще более неудобно, если платежных систем несколько и из-за каждых двух баксов, нужно проделывать кучу операций.
5. Взломщик вывел 72$ с нашего либерти через API. Я не понял как, так как операции в транзакциях ГК нет, и в истории либерти данная транзакция без указания Memo. Но скорее всего скопировали данные доступа к API, и вызывали их через php-скрипт на своем аккаунте, так как защита доступа к IP у либерти настроена на самый главный IP системы, и одинаковый для всех аккаунтов сервера.
6. Поменял адрес e-mail адрес админа чтобы получать информацию и иметь возможность зачислять бонусы на аккаунты.
7. Поменял кошельки в настройках ГК, чтобы новые платежи от пользователей принимать уже себе...

-------

Собственно все, делайте выводы сами.

Письмо админа
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу