Форум Зануды - свободное общение обо всём.

Объявление

Уважаемые форумчане! Наш форум переехал на новый хостинг и новый адрес HTTP://SVOBODA-ON.ORG

Информация о пользователе

Привет, Гость! Войдите или зарегистрируйтесь.


Вы здесь » Форум Зануды - свободное общение обо всём. » Свободный » Дефейс guns.ru ( Грохнули ганзу )-4


Дефейс guns.ru ( Грохнули ганзу )-4

Сообщений 1 страница 30 из 1000

1

Исходные темы заполнились до отказа. Продолжаем здесь.
Начало: Дефейс guns.ru ( Грохнули ганзу )
Продолжение: Дефейс guns.ru ( Грохнули ганзу )-2
Продолжение. Дефейс guns.ru ( Грохнули ганзу )-3


Все содержательные сообщения о судьбе погорельцев из данной темы будут копироваться в тему Новости о guns.ru и других пострадавших

2

Народ вон кто гиг успел утянуть, кто 300 метров. И все на месте, публикуют только в путь.
Впрочем, если и так, то база была с закладкой, вытирающей базу.
Вот тогда вышеназванная цель ясна.
Дали пощупать, что называется.
А теперь можно использовать в целях шантажа.

я точно помню - было два с половиной гига, а сейчас остался один какой-то архив, разархивировался до гига - вылазят списки сообщений, но сами сообщения не открываются.
или я пользоваться не умею

3

v0lk написал(а):
Особенности оболочки позволяют предположить, что личку качали не для опубликования, а для "работы с пользователями" заказчиком - очень удобно было бы рулить на форуме. имея эти данные.

ну я кстати о мысли насчет шантажа согласна..даже знаю кто первый начнет..сон приснился.. даже любопытно..что ж там можно требовать взамен..эх..любопытно..у нас там был один кадр..

Отредактировано natalia_vw (2013-04-08 14:22:00)

4

По итогам прошедших суток SAKO TRG за переход на личности бан 3 суток по Особой части Правила 2.

Зануда написал(а):

Особая часть Правила 2:
Основное, что портит общение на любом форуме - есть оскорбления и переход на личности оппонента.
Поэтому будут баниться на 3 дня участники, которые переходят от обсуждения основного вопроса темы на личность собеседника и по требованию участников, модератора или администратора не прекратят эти действия, не внесут необходимые изменения в свои сообщения и не принесут извинений оппоненту.
Бан будет по форме, по формальным признакам.
Ни о каком классовом чутье и революционной необходимости речь не идет - только формальный переход на личность.


Для всех участников: прошу снизить накал страстей, прекратить переходы на личности и попытки оскорблений. Обсуждать действия модераторов прошу в разделе Правила форума, жалобы, вопросы к модераторам., общаться без модерирования можете в разделе Мордобойная комната, и не путайте, пожалуйста, раздел Свободный с помойкой для флуда и прочего мусора.

5

короче, сообщения в базе есть, только с ней надо что-то делать, что я не умею.
то есть найти конкретно чьи-то сообщения я не могу - там просто пронумерованные страницы хрома.
а надо бы найти свои, Роман просил сделать скрины для подачи заявления.

6

Yep написал(а):

только с ней надо что-то делать, что я не умею.

вот вы мужчины вы и думайте..

7

v0lk написал(а):

Еще раз, все проверьте компьютеры, а если с этим трудности - переустановите систему. Ребята до кучи себе сеть зомби-компов для ДДос и спама расширяют. И говна накидали, и свои ботсети расширили.

А есть какие-либо рекомендации, что конкретно проверить, в какой папке и т.п. Что именно нужно найти и удалить?

8

olive-drab написал(а):

А есть какие-либо рекомендации,

SergBoroda написал(а):

Судя по тому, что это бэкдор-вирус полагаю, наши хакеры расширяют свою бот-сеть.
Вполне вероятно что антивирус его не увидит, а с твоег IP потом будет замечено участие в ДДос атаках.
Прогони это до кучи:http://virusinfo.info/content.php?r=290-virus-detector...
Цитата Сообщение от igorg Посмотреть сообщение
пока все нормально.
Этот вирус не призван нарушить работу компа. Он делает возможным удаленное управление им злоумышленником.

Нихренасе, войнушка какая пошла.

http://piterhunt.ru/scripts/forum/showt … mp;page=81

vbreias написал(а):

На всякий случай дублирую ссылки (Пробелы убрать):
www. freedrweb. com/ livecd/
support. kaspersky. ru/ 8005?el=88501

и кстати, для менее параноидальной проверки пригодится эта штука:
www. freedrweb. com/ download+cureit/

http://piterhunt.ru/scripts/forum/showt … mp;page=83

Отредактировано ХСС (2013-04-08 14:47:43)

9

ух, счас касперский продажи поднимет..:)

10

Yep написал(а):

Впрочем, если и так, то база была с закладкой, вытирающей базу.

на дот-тк база выкладывалась в виде дерева хтмл-файлов. с одним единственным css "в стиле ганзы"
на попгане аналогично

а теперь выясняется что была еще и ТРЕТЬЯ версия в виде архива. ещё поди и с исполнимым файлом в качестве запускатора?

Йеп, откуда Вы получили Вашу копию и в каком виде?

Отредактировано Tenchi (2013-04-08 15:02:59)

11

на питерханте меня некорректно процитировали, забыв указать ссылку:
http://piterhunt.ru/scripts/forum/showt … mp;page=83

на самом деле моё сообщение выглядело так:

http://rusknife.com/topic/12304-ганзу-хакнули/page-26
Философствуем ... Не буду анализировать макроситуацию, информации много, а толку нет, скажу лишь, что по нам ситуация патовая и это понимают обе стороны, это как игра двух гроссмейстеров - оба знают ходы противника наперед и вопрос лишь в ресурсах организма - кто быстрее устанет. Да, нас красиво крякнули, расслабились за три года спокойной жизни, но бекапы делались регулярно, поэтому форум встал почти без потерь, а вот после того как их расчет на дилетантизм с нашей стороны не оправдался и на нашей стороне выступила команда таких же квалифицированных профи, а ресурс оказался достаточным для обеспечения, ситуация стала патовой - мы знаем заранее все их ходы, они знают наши, за неделю все нападения были отбиты, бекапы сохранены, форум встает за очень короткое время. в общем деньги на ветер. За это время в режиме онлайн система была переконфигурирована, добавлено железо, придумана система неубиваемости базы, мы знаем как будем создавать глубоко эшелонированную оборону на будущее и эта работа уже идет, с тройным дублированием, поэтому велкам - нас убить убить хотели, нас убить старалися, а мы тоже не сидели их не дожидалися. За это время форум приобрел такой рейтинг, который за свои деньги стоил бы очень дорого. Скоро придет время обратных ходов, это чтоб противники не расслаблялись, мы мониторим ситуацию в сети, знаем о новых неожиданных игроках, так что либо нас оставят в покое, либо у них будет под ногами выжженная земля. Комитетчики про ситуацию знают, сегодня подключается управление К, нападавшие наследили, так что прошедший раунд вничью, а дальше посмотрим.

Отредактировано Yep (2013-04-08 15:08:54)

12

Tenchi написал(а):

Йеп, откуда Вы получили Вашу копию и в каком виде?

я выкачивал весь тот самый первый сайт при помощи
HTTrack Website Copier - свободное программное обеспечение Offline Browser (GNU GPL)
httrack.com/

Отредактировано Yep (2013-04-08 15:11:03)

13

natalia_vw написал(а):

ух, счас касперский продажи поднимет..

Не флуди, пожалуйста.

14

Tenchi написал(а):

с исполнимым файлом в качестве запускатора?

не, экзе-файла там нет

15

Yep написал(а):

я выкачивал весь тот самый первый сайт

тогда откуда взялся архив? Вы его делали или он выкачался "до кучи" со всем остальным?

чёрт, я уже жалею что не поставил на закачку. ребятишки похоже оказались со своеобразным "чуйством йумора". я дождусь Вашего ответа, а потом озвучу свою версию :)

16

Tenchi написал(а):

он выкачался "до кучи" со всем остальным?

он выкачался до кучи
в одной папке с ним, лежит ридми

What's in this folder?

This folder (hts-cache) has been generated by WinHTTrack 3.46+htsswf+htsjava
and is used for updating this website.
(The HTML website structure is stored here to allow fast updates)

DO NOT delete this folder unless you do not want to update the mirror in the future!!
(you can safely delete old.zip and old.lst files, however)

note: the hts-log.txt file, and hts-cache folder, may contain sensitive information,
such as username/password authentication for websites mirrored in this project
do not share these files/folders if you want these information to remain private

Отредактировано Yep (2013-04-08 15:15:11)

17

SAKO TRG написал(а):

Как кто-то тут правильно заметил - продукт, это лицо его создателя.

Ничго не понял. На фотах обычный человек. Кто то ожидал увидеть кентавра или единорога?

18

Не, замысел дьявольский ;)
Приглашаем участников Ганзы на новый ресурс.
Предварительно:
1. Скачиваем базу данных Ганзы (архив) и размещаем в сети (это чтобы вся инфа была в доступе - одна из главных ценностей Ганзы).
2. Скачиваем базу переписки Ганзы.
Убиваем Ганзу.
Глушим сколько можно мелкие оружейные ресурсы и "запасные аэродромы", чтобы иного пути для общения кроме конкретного ресурса не было. (Раз придут, два, потом привыкнут Да и архив Ганзы всегда под рукой).
Даем понятие о наличии в свободном доступе базы личной переписки.

Ну а дальше:
"Чем Вы, уважаемый, недовольны? Ресурсом? Политикой администрации?
А вот не припомните, что Вы изволили пистеть на Ганзе по такой животрепещущей теме как *******?
Припомнили? Ну и прекрасно. Память у Вас хорошая. Можете представить, что станет с репутацией такого авторитетного экс-ганзовца? Так таки и морду могут еще отрихтовать...
Короче. Теперь Вы всем довольны.
По пути отзоветесь положительно вот об этом гомне. Вот Вам материал для создания темы "Гомно глазами владельца"".

19

очаровательно :)
значит в некоторых хтмл-ах была маленькая такая бомбочка. можно даже предположить в каких - в тех которые полезут за жаренными фактами. например - в сообщениях Романа

кто проверял только свою переписку (и, предположительно, в ней не было переписки с "заминированными") - тот не пострадал. любопытные же - подключены к Матрице. изящно

20

Diego03 написал(а):

Не флуди, пожалуйста.

ну я просто имела ввиду, что не буду участвовать в общей панике..флудить не буду.

21

http://rusknife.com/topic/12304-ганзу-хакнули/page-27

Nim Shehit
Опубликовано Сегодня, 12:35

    Город: Baza
    Имя: Жека

"Лаборатория Касперского" объявила об успешном отражении
DDoS-атаки, которая продолжалась в течение трех дней и в пиковые периоды
превышала 60 Гбит/с. Благодаря усилиям специалистов, все это время
веб-сайт одного из заказчиков сервиса Kaspersky DDoS Prevention -
"Новой газеты" был доступен пользователям для посещения с
минимальными задержками. Исключение составляли лишь те непродолжительные
периоды, когда с нагрузкой не справлялись магистральные каналы связи.

По оценкам экспертов, данная атака была одной из самых масштабных в
истории Рунета и ее мощности вполне хватило бы для отключения части
российского интернета.

Распределенная атака типа "отказ в обслуживании"
(Distributed Denial of Service, DDoS) на сайт "Новой газеты"
началась 31 марта 2013 года в 22:00 и представляла собой плавно
нарастающую по силе атаку типа SYN-flood. Все это время сайт СМИ не
испытывал проблем с доступностью. В середине следующего дня, после того,
как был достигнут пик 700 Мбит/с, атакующие сменили тактику, реализовав
мощнейшую атаку типа DNS amplification, в результате которой каналы
нескольких крупнейших Российских провайдеров связи были блокированы, а
сайт "Новой газеты" в течение 25 минут был недоступен для
пользователей. Однако в результате оперативного взаимодействия
специалистов "Лаборатории Касперского" с провайдерами работа
сайта была восстановлена при продолжающейся атаке.

Следующим заметным шагом злоумышленников стала массированная атака,
начавшаяся 2 апреля после 16 часов и вынудившая нескольких крупнейших
операторов связи принять оперативные меры с целью прекращения перегрузки
своих магистральных каналов, что привело к блокировке маршрутов до сайта
"Новой газеты". К 19:00 экспертами "Лаборатории
Касперского" было реализовано решение, позволившее обеспечить
доступность сайта СМИ в пределах российского сегмента Сети. 3 апреля в
сотрудничестве с крупнейшими операторами связи были предприняты
действия, обеспечивающие ограничение транзита основного потока
атакующего трафика, достигающего в пике 60 Гбит/с и способного причинить
значительный ущерб всему Рунету. Это позволило полностью восстановить
доступность сайта "Новой газеты" и обеспечить его дальнейшую
эффективную защиту.

Очередная попытка повлиять на доступность ресурса началась в 13:05 с
комбинации атак типа HTTP flood и RST flood незначительной мощности.
После 40 минут атаки, никак не повлиявшей на работу веб-сайта
"Новой газеты", атака дополнилась компонентами DNS
Amplification мощностью около 5Гбит/с и SYN-flood мощностью около 3,5
миллиона пакетов/сек. Однако из-за того, что атакующие DNS-сервера
находились за пределами российского сегмента Сети, увеличить этот вид
атаки до критических значений злоумышленникам не удалось. В течение
последующих двух часов атакующие безуспешно использовали всевозможные
комбинации атак, сменяющих друг друга каждые 4-5 минут. В итоге, после
17:00 попытки заблокировать доступ к веб-сайт "Новой газеты"
прекратились: активной еще почти на сутки осталась незначительная атака
типа SYN-flood мощностью около 20000 пакетов/сек. На данный момент атака
полностью прекратилась.

"DDoS-атака, организованная на сайт "Новой газеты",
является одной из мощнейших в истории российского Интернета: они
продолжалась в течение трех дней, в пиковые моменты достигала 60 Гбит и
4 млн пакетов/сек. Несмотря на это, большую часть времени сайт работал в
штатном режиме, а общая продолжительность недоступности составила менее
трех часов, - говорит Алексей Афанасьев, руководитель проекта
Kaspersky DDoS Prevention "Лаборатории Касперского". -
Очевидно, что подобная атака была организована профессионалами, а
затраты на ее проведение могут составлять десятки тысяч долларов
США".

"Исходя из нашего опыта, мы не верили в существование эффективной
защиты от DDoS-атак, которые случаются с нами с завидной регулярностью.
Однако данный инцидент показал, что сайт может продолжать работу, даже
находясь под мощной и продолжительной атакой, а его посетителям
обеспечивается возможность получать актуальную информацию и
новости", - сказал Сергей Соколов, заместитель главного
редактора "Новой газеты".

Сервис Kaspersky DDoS Prevention представляет собой уникальную для
российского рынка мощную систему распределенной фильтрации трафика,
состоящую из высокопроизводительных серверов, расположенных в разных
странах и подключенных к Сети по высокоскоростным каналам связи. Такое
решение позволяет выдержать DDoS-атаку практически любой мощности.

Дополнительная информация об атаке на "Новую газету"
доступна на сайте: novayagazeta.ru/society/57539.html.

#802 [Ганзу хакнули?Ссылка на сообщение #802]
Сэм
Опубликовано Сегодня, 12:45

      Город: Москва
    Имя: Денис

Жека, вот не хочется выглядеть совсем уж циником (не смотря на то, что я такой и есть), но в первую голову, с учетом наличия у Касперского сервиса защиты от Дос атак, приходит вопрос "а не сам ли Каспер заказчик этой атаки" :D  ибо, после столь удачного отражения атаки, востребованность этого сервиса вырастет в разы...а ценник, так полагаю, на этот сервис не маленький :D

"Самурай без меча, подобен самураю с мечом, но только без меча..." ©

    Наверх

#803 [Ганзу хакнули?Ссылка на сообщение #803]
мак
Опубликовано Сегодня, 12:46

    Модераторы
   
    Город: Санкт-Петербург
    Имя: Андрей

Мы с ними уже общаемся ...

В каждом человеке можно найти что-то хорошее, надо только его хорошо обыскать ...

Отредактировано ХСС (2013-04-08 15:23:48)

22

Tenchi написал(а):

значит в некоторых хтмл-ах была маленькая такая бомбочка

посмотрим - AVZ как раз сейчас эту базу чешет.

23

"Народ вон кто гиг успел утянуть, кто 300 метров. И все на месте, публикуют только в путь.

Впрочем, если и так, то база была с закладкой, вытирающей базу.
Вот тогда вышеназванная цель ясна.
Дали пощупать, что называется.
А теперь можно использовать в целях шантажа."
--------------------------------

Для начала, нужно понимать- было  ли скачано СОДЕРЖИМОЕ того  или иного файла,  помимо  его названия..
Программы,  качающие сайты, не отслеживают  его целостность.
Зацепила прога  файл,  а  в  этот момент сайт ответил отрицательно-- ан нет,  будет скачан ПУСТОЙ файл.
И у ЙЕПа , скорей всего, так и произошло. Скачал изначально пустые файлы. УВЫ.))))
Либо  количество попыток соединения,  либо таймауты привели  к такому  вот СКАЧУ.

Отредактировано Nikoola (2013-04-08 15:24:18)

24

Сегодня много говорили по личке ганзы о письмах в ней и тп,разные люди в погонах,разных суровых структур,по своему определяли,что и как и тп,все согласились в одном-взлом-факт,а вот писал ли это тот гражданин(под ником)это или те кто взломал добавили,переписали,сфантазировали,просто захотели отомстить,подставить и тп и тд-тут тоже факт-могли чего угодно сделать,поэтому всё это только нервы и тп,особо горевать не стоит,человек бывает и у следователя пишет сам о своём преступлении,которого не делал,и трудно посадить и тп,а тут какой то пиратский взлом и тп..-просто каждый среагирует лично,кому неприятно,кому пох и тп.
Структуры тоже по разному среагируют,там где дохрена бакланов и идиотов,пробнут чегото искать(не исключают такого),но доказать это фантастика,хотя и перегибов и тп тоже не исключают..и тд и тп.. :smoke:

25

Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Ошибка загрузки драйвера - проверка прервана [C000036B]
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
Ошибка загрузки драйвера - проверка прервана [C000036B]
2. Проверка памяти
Количество найденных процессов: 56
Количество загруженных модулей: 291
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
Проверка отключена пользователем
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
7. Эвристичеcкая проверка системы
>>> C:\autorun.inf ЭПС: подозрение на  скрытый автозапуск (высокая степень вероятности)
Обнаружен вызов интерпретатора командной строки в автозапуске [DR=3] HKLM\Software\Microsoft\Windows\CurrentVersion\Run\AMD AVT = [Cmd.exe /c start "AMD Accelerated Video Transcoding device initialization" /min "C:\Program Files (x86)\AMD AVT\bin\kdbsync.exe" aml]
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помощнику
Проверка завершена
9. Мастер поиска и устранения проблем
>>  Разрешен автозапуск с HDD
>>  Разрешен автозапуск с сетевых дисков
>>  Разрешен автозапуск со сменных носителей
Проверка завершена
Просканировано файлов: 409025, извлечено из архивов: 166516, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 08.04.2013 15:27:46
Сканирование длилось 00:28:28
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18

ну и чо с этим делать?

26

Dr. San написал(а):

Ну а дальше:"Чем Вы, уважаемый, недовольны? Ресурсом? Политикой администрации?А вот не припомните, что Вы изволили пистеть на Ганзе по такой животрепещущей теме как *******?Припомнили? Ну и прекрасно. Память у Вас хорошая. Можете представить, что станет с репутацией такого авторитетного экс-ганзовца? Так таки и морду могут еще отрихтовать...Короче. Теперь Вы всем довольны.По пути отзоветесь положительно вот об этом гомне. Вот Вам материал для создания темы "Гомно глазами владельца"".


А что может помешать делать так, не имея никакой ганзовской лички? Переписку ведь какую угодно можно соорудить. Вот пообещают Вам, к примеру, что Вы с Догом состояли в плотной переписке по поводу т.н. "второго метода Дога", и переписку в подтверждение приложат. С одной стороны, недоказуемо, а с другой - не отопрешься.

27

Yep написал(а):

посмотрим - AVZ как раз сейчас эту базу чешет.

если Ваш комп инфицирован (98%) нихрена он в базе не найдет, даже в режиме гварда. зловред уже переехал в менее явное место. проверяйте комп целиком

28

Yep написал(а):

ну и чо с этим делать?


Стало быть или там ничего не было, или не было ничего, что есть в базах AVZ.

Вообще, у меня лично ДрВеб (официальный обновляемый) молчал.

29

Yep написал(а):

я выкачивал весь тот самый первый сайт при помощиHTTrack Website Copier

И сколько итого архив весом получился?

30

Спайбот еще на закладки работает.


Вы здесь » Форум Зануды - свободное общение обо всём. » Свободный » Дефейс guns.ru ( Грохнули ганзу )-4