By: sodiumslovakian on 2020-02-28 13 ч.
Здравствуйте. Наш сервер был взломан и базы данных были украдены. Я нашел IP, с которого мы были атакованы.
Там много открытых портов.
22, 25, 80, 1234 (Squid http proxy), 5000, 5001 ... 5188, 8082 (Jetty 9.4.18) и 10000 (MiniServ 1.941, Webmin httpd)
Мы хотим вернуть наши базы данных и, возможно, наказать злоумышленника. Что мы можем сделать?
By: Pendalf on 2020-02-28 14 ч.
sodiumslovakian, это хакнутыи сервак вероятно. Наказать тупого админа сервака, если это домашний или купленный на реальные данные хостинг. Я сталкивался с ломанными серверами на вполне приличных на первый взгляд хостингах, когда ресселер покупает реселлерский план, и все его клиентские сайты в одной дирректори, ломают один сайт, заражают все, делают что хотят, а хозяин не обращает внимание.
PGP ключ: 0xC531BFA38F6EE213 скачать
E-mail: [email protected]
Зарегистрирован на Runion и на Unity.
By: sodiumslovakian on 2020-02-28 14 ч.
sodiumslovakian, это хакнутыи сервак вероятно. Наказать тупого админа сервака, если это домашний или купленный на реальные данные хостинг. Я сталкивался с ломанными серверами на вполне приличных на первый взгляд хостингах, когда ресселер покупает реселлерский план, и все его клиентские сайты в одной дирректори, ломают один сайт, заражают все, делают что хотят, а хозяин не обращает внимание.
Из того, что я изучал, это сервер, купленный у contabo.de
By: sodiumslovakian on 2020-02-28 15 ч.
Он просит около 700 евро за возвращение данных. Проблема не в деньгах, проблема в том, что он не отвечает на электронную почту. Это заставляет меня думать, что я бросаю 700 евро на ветер без результата.
By: sodiumslovakian on 2020-02-29 01 ч.
Они зашифрованы? Если да, то вы пробовали их расшифровать? Если пробовали, то как?
Они не зашифрованы. Просто вся информация была удалена и вместо нее оставлена таблица с информацией, биткойн-адресом и электронной почтой.
======================================
Message: To recover your lost Database and avoid leaking it: Send us 0.08 Bitcoin (BTC) to our Bitcoin address 1Jv11eRMNPwRc1jK1A1Pye5cH2kc5urtLP and contact us by Email with your Server IP or Domain name and a Proof of Payment. If you are unsure if we have your data, contact us and we will send you a proof. Your Database is downloaded and backed up on our servers. Backups that we have right now: c***i, c***i, dbispconfig, i***e, c***2, c***e, c***t, c***i, c***a, c***t, roundcube. If we dont receive your payment in the next 10 Days, we will make your database public or use them otherwise.
BTC Address: 1Jv11eRMNPwRc1jK1A1Pye5cH2kc5urtLP
Email: [email protected]
======================================
Если кто-то захочет поиграть с данным сервером (сервер, с которого приходят атаки), я могу предоставить всю имеющуюся у меня информацию. Там много интересного.
By: Nyash_Kun on 2020-02-29 14 ч.
C:\WINDOWS\system32>whois sqldb.to
Whois v1.20 - Domain information lookup
Copyright (C) 2005-2017 Mark Russinovich
Sysinternals - www.sysinternals.com
Connecting to TO.whois-servers.net...
Tonic whoisd V1.1
sqldb ns1.ipchina163.com
sqldb ns2.ipchina163.comC:\WINDOWS\system32>nslookup -d sqldb.to
------------
Got answer:
HEADER:
opcode = QUERY, id = 2, rcode = NOERROR
header flags: response, want recursion, recursion avail.
questions = 1, answers = 1, authority records = 0, additional = 0
QUESTIONS:
sqldb.to, type = A, class = IN
ANSWERS:
-> sqldb.to
internet address = 111.90.144.247
ttl = 3600 (1 hour)
------------
Не заслуживающий доверия ответ:
------------
Got answer:
HEADER:
opcode = QUERY, id = 3, rcode = NOERROR
header flags: response, want recursion, recursion avail.
questions = 1, answers = 0, authority records = 1, additional = 0
QUESTIONS:
sqldb.to, type = AAAA, class = IN
AUTHORITY RECORDS:
-> sqldb.to
ttl = 86400 (1 day)
primary name server = ns1.ipchina163.com
responsible mail addr = notification.kbreaders.com
serial = 2019092900
refresh = 3600 (1 hour)
retry = 1800 (30 mins)
expire = 1209600 (14 days)
default TTL = 86400 (1 day)
------------
╚ь : sqldb.to
Address: 111.90.144.247C:\WINDOWS\system32>nslookup -d ns1.ipchina163.com
Got answer:
HEADER:
opcode = QUERY, id = 2, rcode = NOERROR
header flags: response, want recursion, recursion avail.
questions = 1, answers = 1, authority records = 0, additional = 0
QUESTIONS:
ns1.ipchina163.com, type = A, class = IN
ANSWERS:
-> ns1.ipchina163.com
internet address = 124.217.246.5
ttl = 3600 (1 hour)
------------
Не заслуживающий доверия ответ:
------------
Got answer:
HEADER:
opcode = QUERY, id = 3, rcode = NOERROR
header flags: response, want recursion, recursion avail.
questions = 1, answers = 0, authority records = 1, additional = 0
QUESTIONS:
ns1.ipchina163.com, type = AAAA, class = IN
AUTHORITY RECORDS:
-> ns1.ipchina163.com
ttl = 3600 (1 hour)
primary name server = ns1.ipchina163.com
responsible mail addr = sharedhosting.upsell.piradius.net
serial = 2020012000
refresh = 3600 (1 hour)
retry = 7200 (2 hours)
expire = 3600000 (41 days 16 hours)
default TTL = 3600 (1 hour)
------------
╚ь : ns1.ipchina163.com
Address: 124.217.246.5Какой-то школьник, который попытается помочь вам в рамках своей компетенции. Увлекаюсь программированием и юриспруденцией
By: Unknown123 on 2020-03-01 16 ч.
Bilbo, не шарю в винде, но скорее всего это просто значит, что небыло аутентификации ответа по DNSSEC
PGP: pgp.mit.edu/pks/lookup?op=get&search=0x7E65C45EFFBC9453
Jabber ID: [email protected] (plain, OMEMO, OpenPGP, no OTR)
Почта: [email protected] (читаю не часто, если не отвечаю долго, то пишите в жаббер)
IT-шник(подробнее при личном общении), хочу найти удаленную работу в "даркнете", буду рад предложениям
By: Nyash_Kun on 2020-03-01 17 ч.
Это nslookup такой output выдает?
он самый
Bilbo, не шарю в винде, но скорее всего это просто значит, что небыло аутентификации ответа по DNSSEC
Строка Non-authoritative answer (Не заслуживающий доверия ответ) означает, что DNS сервер, который выполнил запрос не является владельцем зоны vmblog.ru (в его базе нет записей об этом домене), а для выполнения разрешения имени использовался рекурсивный запрос к другому DNS серверу.
Редактировался Nyash Kun (2020-03-01 17 ч.)
Какой-то школьник, который попытается помочь вам в рамках своей компетенции. Увлекаюсь программированием и юриспруденцией
