[19.09.2004] Вандализм на форуме

Список разделов Сайт и Администрация Новости сайта

Описание: Обсуждение нововведений, изменений в сайте и форуме; история развития...
Модератор: Nere1D

Сообщение #1 VEG » 19.09.2004, 11:18

На нашем форуме было совершено преступление. Неизвестный 18.09.2004 в течение времени с 22:43 до 23:01 зарегестрировался под ником 000001 и написал множество похабных сообщений в адрес участников форума подобно этому:
Форум просто отстой!!!!!!! Все модеры полные придурки!!!!! Уроды!!!!! VEG - деревенщина!!! Surdu$ - олень!!! САНЕК - полный лох!!!! Никита Лесников - кончито!!! Новиков Виталий - чмырь!!!! И вобще ФОРУМ ОТСТОЙНИЩЕСТВО!!!!!!!!!!!!!!!!!!!!!
Приносим извинения за содержание этой цитаты. Злодей писал с IP 82.209.249.109, было написано 7 сообщений в разные ветки. Текст был циклически дублирован до ограничения форума - 64кб.
Исходя из контекста сообщений можно сделать вывод, что их автор переполнен чувствами неполноценности. Что же, бывают и такие люди - обиженные на всех. Обидно, что именно в нашем городе.
Судя по всему, этот человек пришел изначально обгадить наш форум. Сперва он пытался зарегестрироваться под ником ZOMbi. Но в качесте адреса электронной почты указал несуществующий ящик: fuck_you_bitch@tut.by . Поэтому активировать учетную запись он не смог. Потом он создал ящик foofoofff@yandex.ru , и зарегесрировался с им под ником 000001. Наверное, с расчетом на то, что в будущем он будет создавать аккуанты с следующими порядковыми номерами. Пришел он к нам со странички mail.yandex.ru/msg , т.е. со своего нового ящика-пустышки. Все это говорит о том, что человек боится выдать свое имя.
Учитывая то, что все сообщения писал вручную, и напрямую со своей машины, можно легко судить о статусе сией личности - подросток, который недавно научился делать простейшие операции в сети интернет, теперь пользуется своими минимальными знаниями, чтобы скрыть свою неполноценность попытками показать других ниже себя.
Немногим ранее до этих действий был зарегестрирован и активирован пользователь Sobit (18.09.2004 22:15), но у его был другой IP, поэтому на его думать что-либо рано (хотя реально злоумышленник мог переподключиться к сети, получив новый IP адрес). Посмотрим, что даст анализ логов сервера.
Начато расследование.
Последний раз редактировалось VEG 20.09.2004, 23:51, всего редактировалось 2 раз(а).
VEG M В сети
Автор темы, Администратор
Администратор
Аватара
Возраст: 30
Откуда: Минск, Слуцк

Сообщение #2 VEG » 19.09.2004, 15:46

В логах обращений к домену http://www.slutsk.net/ нас заинтересовали точки входа:
Код: Выделить всё
82.209.249.28 - - [18/Sep/2004:15:51:49 -0400] "GET / HTTP/1.1" 200 419 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322)"
82.209.249.109 - - [18/Sep/2004:16:36:30 -0400] "GET / HTTP/1.1" 304 - "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322)"
Судя по параметрам и временным интервалам можно с уверенностью в 25% cсказать, что заход был сделан с одной машины. В обоих случаях используется машина с Windows XP, Internet Explorer 6.0 и .NET. Данные проверяются.
С IP адреса 82.209.249.28 был зарегестрирован пользователь Sobit, поэтому доля подозрений падает на него. На время расследования тема закрывается.
Последний раз редактировалось VEG 20.09.2004, 23:53, всего редактировалось 2 раз(а).
VEG M В сети
Автор темы, Администратор
Администратор
Аватара
Возраст: 30
Откуда: Минск, Слуцк

Сообщение #3 VEG » 19.09.2004, 17:07

Судя по логам форума, с 82.209.249.109 к нам попали здесь:
Код: Выделить всё
82.209.249.109 - - [18/Sep/2004:16:04:06 -0400] "GET /album.php HTTP/1.1" 200 13870 "http://forum.slutsk.net/album_cat.php?cat_id=2" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322)"
Адрес запроса: /album.php
Предыдущая страница: /album_cat.php?cat_id=2
Это значит, что пользователь уже был на сайте, а именно на странице /album_cat.php?cat_id=2 , когда подключился к интернету. Судя по логам, на этот IP переподключился пользователь с IP 82.209.249.28, о чем говорит строка:
Код: Выделить всё
82.209.249.28 - - [18/Sep/2004:16:01:21 -0400] "GET /album_cat.php?cat_id=2 HTTP/1.1" 200 15163 "http://forum.slutsk.net/viewtopic.php?p=558" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322)"
Т.е. сперва он зашел в фотоальбом, а потом его связь была разорвана, и он подключился вновь, получив новый IP. Всемя происхождения этих действий легко просматривается.
Все это доказывает факт, что автор песпорядка - Sobit.
Вложения
logs.zip
Лог действий злоумышленника на сайте с комментариями и без.
(5.79 КБ) Скачиваний: 185
Последний раз редактировалось VEG 21.09.2004, 14:22, всего редактировалось 3 раз(а).
VEG M В сети
Автор темы, Администратор
Администратор
Аватара
Возраст: 30
Откуда: Минск, Слуцк

Сообщение #4 VEG » 19.09.2004, 19:51

Наш злоумышленник, оказывается, из соседнего города Солигорска. В день совершения преступления он произвел активность здесь:
http://forum.esoligorsk.net/index.php?showtopic=204&st=960&#entry25877
А вот его профиль: http://forum.esoligorsk.net/index.php?showuser=345
VEG M В сети
Автор темы, Администратор
Администратор
Аватара
Возраст: 30
Откуда: Минск, Слуцк

Сообщение #5 VEG » 21.09.2004, 14:34

В принципе, все доказательства и факты готовы для публикации. Найти этого человека в реале не будет довольно трудным - он участник форума Солигорска, и принимает участие в реальных сходках. Но это стоит времени, и, похоже, пока не стоить таких затрат.
Можно было бы заявить о происшевствии в Белтелеком для дальнейшей разборки. А разбираться то, в принципе, и нечего - им достаточно заглянуть в свои логи, кто был в указанное время в сети на указанных IP адресах.
А пока будем считать, что Sobit извинился.
VEG M В сети
Автор темы, Администратор
Администратор
Аватара
Возраст: 30
Откуда: Минск, Слуцк

Сообщение #6 SatvroS » 21.09.2004, 16:23

Поставь в Firewall всю зону айпишников, выданную Солигорску Белтелекомом -пускай, не могут себя вести - пусть не суются...
Рожденный летать ползать не должен...
SatvroS
Ефрейтор
Ефрейтор
Возраст: 35
Откуда: Minsk

Сообщение #7 VEG » 21.09.2004, 17:41

SatvroS, Не получится. Дело в том, что большинство Солигорчан и Случчан выходят через 8,,w600100, и для всей минской области там один диапазон. Да и мало ли кто из Солигорска захочет к нам зайти?
Судя по форуму Солигорска, там многие любят покричать. Странно, что администрация позволяет это.
Sobit испортил свою репутацию не только хамством, но и глупыми попытками скрыть себя, чем показал свой начальный уровень. Ничего не вышло...
Надеюсь, более этого не повторится.
С наилучшими пожеланиями, Евгений
VEG M В сети
Автор темы, Администратор
Администратор
Аватара
Возраст: 30
Откуда: Минск, Слуцк

Сообщение #8 Roniks » 24.09.2004, 22:52

VEG, а круто ты этого КОЗЛА раскрыл, откуда ты такой умный в Слуцке взялся?
Тебе тут ловить нечего, пробивай себе дорогу на Минск.
Roniks
Гражданский
Гражданский
Возраст: 35
Откуда: Slutsk


Вернуться в Новости сайта