Помогите определить организацию

Сейчас погляжу где у меня хранится список хакерских организаций с указаниями их айпишников и вам сообщу.

P.S. Вы бы хоть понятнее пост оформили, потому что непонятно какую организацию вам надо, то ли найти сайт который хакнули то ли хакеров и к чему тут криво оформленный лог nmap?

Это выставленная жопой в интернет винда, значит, организация форточников.

Да я просто расстроен очень, сайт вообще был 100% нейтральный, сдался он вообще кому то и по логам видно не профи. Вчера зашли разведали, сегодня скрипт залили, все потерли. Пытаюсь определить кому жалобу писать, но вот по ip никак не определюсь, там вроде на всей подсети машины с одинаковым набором портов.

Вот сейчас прям понятнее стало.

whois 154.92.127.127
% This is the AfriNIC Whois server.
% The AFRINIC whois database is subject to  the following terms of Use. See https://afrinic.net/whois/terms

% Note: this output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '154.92.127.0 - 154.92.127.255'

% No abuse contact registered for 154.92.127.0 - 154.92.127.255

inetnum:        154.92.127.0 - 154.92.127.255
netname:        Future_Tech_Distribution
descr:          Future Tech Distribution
country:        NL
admin-c:        CIS1-AFRINIC
tech-c:         CIS1-AFRINIC
status:         ASSIGNED PA
mnt-by:         CIL1-MNT
mnt-by:         LARUS-SERVICE-MNT
source:         AFRINIC # Filtered
parent:         154.80.0.0 - 154.95.255.255

person:         Cloud Innovation Support
address:        Ebene
address:        MU
address:        Mahe
address:        Seychelles
phone:          tel:+248-4-610-795
nic-hdl:        CIS1-AFRINIC
abuse-mailbox:  abuse@cloudinnovation.org
mnt-by:         CIL1-MNT
source:         AFRINIC # Filtered

% Information related to '154.92.127.0/24AS9009'

route:          154.92.127.0/24
descr:          Future Tech Distribution
origin:         AS9009
mnt-by:         LARUS-SERVICE-MNT
source:         AFRINIC # Filtered

Писать в abuse@cloudinnovation.org, твоим делом займутся лучшие киберполицейские Сейшельских островов. Ещё можно написать в Спортлото и в Приёмную Администрации Президента.

Вообще если сильно пичот можно заявление в полицию подать и послушать как тебя будут уговаривать забить на всё это. Но можно таки не поддаться на уговоры и таки подать, а дальше смотреть как они его теряют, забывают, писать заявления уже по этому поводу. Результата всё равно не будет, но зато развлечёшься хотя бы.

address: Ebene

Я почему-то после AfriNIC так и подумал, что где-то там она и будет, эта организация ☺

Сильно печет, нашел первый пробив с американского провайдера. 23.250.57.89 servermania.com Затем через три недели уже через другого зашли со скриптом. Ладно бы просто там флаг украинский разместили, нет еще умудрились все изображения и фотографии стереть.

Это твой первый раз, да? Ну развлекайся. Интересно чего ты добьёшься в итоге. Вообще то для расследования есть следствие, а для восстановления справедливости и наказания виновных суд. Так что по законам правового государства ты должен как потерпевший заявление в полицию писать, а не заниматься расследованием самостоятельно. Тем более результаты твоего собственного расследования будут проигнорированы.

Пока написал жалобу американскому провайдеру, по первому отслеженному Ip.

По моему личному опыту все жалобы в abuse@ идут напрямую в /dev/null на том конце.

Думаю чего то можно реально добиться только совместно с полицейским расследованием и привлечением международного Киберпола, но у тебя не тот масштаб ущерба и не тот международный вес. У тебя даже сержант заявление не примет.

Да. А с технической точки зрения, что это вообще такое 54.92.127.0/27 Несколько десятков машин которыми владеет неизвестно, стоят неизвестно где, в одинаковой конфигурации. Как мне дальше про них собрать информацию?

Это подсеть из Автономной системы AS9009. Дальше тебе нужно найти через https://bgpview.io например кому она принадлежит, связаться с этой организацией и у неё выяснять как они распределяют адреса из неё. В итоге ты выяснишь то же что и whois рассказал, что 154.92.127.0/24 принадлежит Future Tech Distribution, зарегистрированной в городе Ебеня на Сейшеллах. Собсно дальше остаётся вступать с этой конторой в плодотворную письменную коммуникацию.

сайт был 100% нейтральный

ну, значит, хацкеры не соврали в своём мессадже

Не понял, что значит «хацкеры не соврали»? Это что нормально приходить и пакостить просто потому что я русский? Ох все…

Ладно бы просто там флаг украинский разместили, нет еще умудрились все изображения и фотографии стереть.

Т.е. если бы на пол шишечки в тебя вошли, то ты так не беспокоился?

Тут сознательно вред нанесли. Судя по всему это контора M247 которая виндовс машины предоставляет.

M247 это британский backbone провайдер. Он на полмира раскинулся, в том числе и на США. Я выше свой пост поправил, почитай. Собсно скорее всего в этих Ебенях у них комната со стулом и столом, где сидит юрист и ведёт дела ещё двадцати таких же офшорных компаний. А эти IPшники использует какой то хостинг провайдер, являющийся внучкой дочки этой компании. Дальше тебе нужны учредительные документы и внутренняя документация.

Ты вектор атаки не назвал. Нам же интересно, перебор был или что?

Да там дуаю работали офисники непрофи. Так-как там modx админка стояла, я не обновлял давно, я в логах видел только уже когда загрузили какие-то файлы типа m.php up.php и там с их помощью отправили почту, а потом загрузили страницу с UA флагом. Сейчас с сервера буду выкачивать логи смотреть.

Ну я нашел какую то контору в США c названием Future Tech Distribution. Она еще более мутная чем Ebene в сейшелах, вообще на скам какой-то похоже. https://futuretechdistribution.com/

А эта может быть и не та контора. Тебе нужно на Сейшелы лететь, добывать учредительные документы.

Бессмысленная трата времени.

Лучше и полезнее энергию потратить на восстановление сайта из бэкапа и затыкание дыр.

Да я бы сам у этой конторы прикупил машину если они такие непробиваемые.

Ну зачем ты вот так сразу, интересно же как человек стукается о стену. Тем более у него это первый раз...

Да бэкапы у меня лежали в соседней папке, все пропало. Остался только два ip кибертеррористов, один из servermania второй от этой ebene. У сайта была посещаемость ну человек 600 в месяц, на какой хрен он им вообще сдался ума не приложу. Кибертеррорист оставил свой псевдоним, может быть это станет зацепкой….

Да бэкапы у меня лежали в соседней папке

https://www.youtube.com/watch?v=Xkpey2JoU78

Ну хз, на меня (мои VDS) не раз жалобы приходили от американских компаний, за дудом и прочие шалости с их сайтами

абузоустойчивый хостинг

Значит твой хостинг не абузоустойчивый. Я как раз про подобные случаи как у ТС. Обычно там такие конторы которым писать бесполезно.

Ну да, РФ же

Да бэкапы у меня лежали в соседней папке, все пропало

Ну, если не фейспалмить, то web.archive.org тебе в помощь.

Кибертеррорист оставил свой псевдоним, может быть это станет зацепкой….

https://www.youtube.com/watch?v=6p5VSeUUPIc

пошукайте в dou.ua

Как правило это бесполезно. Потому что атакующий в другой юрисдикции (или атаковал из другой юрисдикции, что почти тождественно).

Автор, ты это всё серьёзно или как? Что ты с ними делать то собрался? Приедешь к ним и поплачешься какие они плохие? Или может соберёшь логи всех менее успешных автоматических ботнетовских атак, коих сотни в день у тебя скорее всего происходит, и на всех них тоже расследование заведёшь? Это интернет, успехи подобных мероприятий ровно такие же как жаловаться на то что кто-то тебя на форуме дураком обозвал. И да, конкретно эти специально хотели нанести тебе вред и нанесли. Какие нехорошие.

А все эти айпи-адреса которые ты пытался вычислять - это чьи-то взломанные роутеры или ещё какая чушь, работающие в режиме прокси-серверов.

Кстати, конкретно в данном случае, если ты приедешь к ним на разборки, на тебя же ещё и ментов вызовут скорее всего с печальным для тебя исходом. Неужели ты этого всего не понимал?

Да мне просто интересно стало, как это все устроено. Вот есть сеть там стоит несколько десятков одинаковых машин, что это, кому принадлежит, почему так сложно найти даже организацию. Какие-то реселлеры IP, Ебене, Сейшелы, но сервера почему-то в Цюрихе. Я вот давно наблюдал за активностью, сперва попытались несколько раз зайти в админку, делали это судя по всему не роботами т.к. я метрика показала что случайно вместо up.php ввели его в ру раскладке. И так вот люди ничего не боясь все это лезут портить оставляя кучу следов. Везде у них сервера взломанные во всех концах планеты. У меня сайт имел отношение к промышленному оборудованию, хотя сейчас там все не работает уже и ООО давно закрыто, обидно, что планировал продать кому-то, кто этим занимается тому может пригодится для поиска клиентов.

Неужели ты этого всего не понимал?

За скан портов ТСа и притянуть ещё могут.

Да мне просто интересно стало, как это все устроено.

Для этого тебе надобно одновременно освоить две области знаний — устройство и функционирование глобальных сетей TCP\IP, с особенным вниманием на протоколы глобальной маршрутизации (тут ты частично что то знаешь, но судя по постам знаешь поверхностно и недостаточно) и юридические основы международной организации и ведения бизнеса, с особым вниманием на понятие «офшор» (это чтобы понять, каким образом блок IP адресов купленный конторой в Сейшельских Ебенях оказался на интерфейсах компьютеров в Цюрихе).

Совместное понимание двух этих областей откроет тебе что компьютеры в Цюрихе тоже далеко не последняя остановка. А так же почему международные расследования крупных и громких хаков продолжаются годами, при этом журналистом сообщают о начале расследования, но крайне редко о его окончании.

Но рациональнее конечно будет научиться жопу ладошкой закрывать, следить за информационными рассылками на тему компьютерной безопасности, своевременно обновлять ПО и закрывать свеженайденные уязвимости согласно рекомендациям из этих рассылок, пока не обновят само ПО. Некогда самому этим всем заниматься — заплати профессионалам. Как то так сайты в интернете и содержат.

При этом всегда следует учитывать, что если кому то будет очень нужно тебя взломать — тебя взломают с использованием внесетевых методов, через агентурную работу и социальную инженерию, но только при условии что все эти мероприятия себя окупят и выгоду принесут. Пока необходимые затраты на взлом превышают потенциальную выгоду — можно спать спокойно.

В твоём случае затратность взлома была равна нулю, поэтому тебя и взломали, просто потому что ты насканился во «вражеском» IP диапазоне с открытой уязвимостью, к которой есть готовый эксплойт. Это легко мог бы быть и школотрон из Новосибирска, и разместил бы он у тебя на сайте член, а не флаг. Или любой другой кидди из любой части света хакающий вообще всё дырявое просто из любви к процессу. Не подставлялся бы — не стали бы и заниматься тобою.

Вот есть сеть там стоит несколько десятков одинаковых машин, что это, кому принадлежит, почему так сложно найти даже организацию

Ты глупый или как? Не знаешь как у большинства сервера организованы, не знаешь что такое хостинг-провайдер? Сервера могут в любой стране быть у кого угодно, а эти скорее всего даже не их, а чьи-то ещё. И повторю - все эти сейшелы итд это прокси (знаешь что это такое надеюсь?). Забудь про свои школьные «вычисления по айпи», это сказки, если только нет какого-то огромного везения.

Везде у них сервера взломанные во всех концах планеты.

Это у всех так. В том числе из-за таких как ты, которые всякий мусор на дырявых недо-cms в инет показывают, и думают про вычисления по айпи вместо того чтобы нормально организовать работу сайта без дыр.

И так вот люди ничего не боясь все это лезут портить оставляя кучу следов.

А чего им бояться?

1) Опять повторю. Вот тебе в инете на форуме говорят - ты дурак (вобщем-то, так и есть). Ты обижаешься, начинаешь жаловаться сначала модераторам, потом в полицию, прокуратуру, итд. Итог понятен? Тут то же самое, только сфера - не общение на форуме, а хостинг нонеймовых веб-сайтов. Но действительно то же самое, всем точно так же плевать, что какого-то идиота, не озаботившегося установкой нормальной cms на сайт, опять взломали. Это происходит по всему миру тысячами раз в сутки, причём обычно автоматически, ничего необычного. Вобщем-то даже сайты гос органов так же ломают (там тоже некомпетентные админы случаются) и точно так же никому нет дела до поисков каких-то ботетов или скрипткиддисов по этому поводу. У тебя нашли дыру - заделай её и почисти за ними последствия. Это главное что нужно делать, и скорее всего единственное.

2) их государство их только похвалит за это, наоборот может даже какой-то отчёт составили «взломано столько-то сайтов из РФ, вот список» и вывесили на свою доску почёта

если был сайт нейтральный, то сделай его не нейтральным. вешай флаг России на фоне Киева. проблема решена, «хакеры» горят.

я в логах видел только уже когда загрузили какие-то файлы типа m.php up.php

Можете скинуть эти файлы на почту? Кроме этих двух больше точно ничего нет, хорошо смотрели?

Файлы эти удалили видно за собой, ну удалены все папки и все подпапки иерархически. Вообще я видел, что пытаются ломать вручную по яндекс вебвизор, еще 5 мая перебирали стандартные страницы входа CMS различных. Потом по логам веб сервера как я понял вызвали какой-то скрипт для отправки писем и затем ушли предварительно все удалив. Выглядело это как-то вот так

• 154.92.127.127 - - [27/Jul/2022:08:31:44 +0300] «POST /up.php?removeme HTTP/1.1»

А бэкапы сайта делались? Шелл могли залить давно и он в бэкапах сидит. Не смотрели последний бэкап? Может там что-то есть?

Большую букву Z выстави на сайте. Они тебя будут пытаться опять сломать, а ты больше информации о них соберешь.

Они где-то год-два назад сделаны и лежат вообще в другом городе, ничего не менялось пару лет.

M247

Мой vpn на нем. Так что скорее всего хакеры через vpn действуют.

Я это все не очень поддерживаю… Всякие Z там и тому подобное. Мне бы просто жить спокойно. Ну как я понял яндекс метрика делает, что-то вроде «слепка» может быть через js отслеживая слепок системы: разрешение, браузер, версии и т.д. По этому слепку можно детектировать если еще были какие-то заходы.

Кстати https://www.ipqualityscore.com/vpn-ip-address-check/lookup/154.92.127.127

При этом весь сайт - один большой Honeypot, мимикрирующий под уязвимую CMS. Звучит как план мести.

Мне бы просто жить спокойно.

Чтобы спокойно жить со своими сайтами, надо либо обучиться компьютерной безопасности либо нанять админа который про неё знает.