(Читать комментарии) - (Добавить комментарий)

juliy 2008-03-08 23:01 (ссылка)

Миша, у меня другой вопрос, относительно хая о взломе torquemada http://tarlith-history.livejournal.com/439696.html с Хеллом я побеседовал на тему, как я и говорил, пришли к выводу, что ты указаний этого делать не отдавал и узнал о свершившемся посфактум. насколько бы мне ни было похуй на содержимое своего уютненького, но мне неприятна мысль, что кто-то из имеющих рут или судо может из-за своего отношения, скажем, ко мне, залезть и насрать (Ответить) (Ветвь дискуссии)

	jamhed 2008-03-08 23:14 (ссылка)
	Так в этом и поинт происходящего. Все таки вариант с провокацией можно оставить. (Ответить) (Уровень выше) (Ветвь дискуссии)

	juliy 2008-03-08 23:22 (ссылка)
	из беседы с Хеллом я имею инфу о том, что "взлом" осуществил один из админов ресурса. а также инфу о том, что Миша об этом узнал постфактум. потому и спрашиваю, возможно ли такое своеволие "админов" по отношению к другим аккаунтам (Ответить) (Уровень выше) (Ветвь дискуссии)

	dna21m 2008-03-08 23:30 (ссылка)
	Миша говорит, что нет, поскольку эскюэль доступен только через шелл на самом сервере. (Ответить) (Уровень выше) (Ветвь дискуссии)

	juliy 2008-03-08 23:35 (ссылка)
	а разве у админов его нету? (Ответить) (Уровень выше) (Ветвь дискуссии)

	tiphareth 2008-03-08 23:44 (ссылка)
	нету (Ответить) (Уровень выше) (Ветвь дискуссии)

	juliy 2008-03-08 23:50 (ссылка)
	а какой доступ есть у админов вообще? было бы круто это отразить. я не Хелла защищаю, а ту самую "демократию" на ресурсе, которая, похоже, возможна только как сферический конь в вакууме. я сам вообще за тоталитаризм, но тогда профанируются гланые правила ресурса (Ответить) (Уровень выше) (Ветвь дискуссии)

tiphareth 2008-03-09 00:00 (ссылка)

доступ у админов есть к консоли http://lj.rossia.org/admin/console/reference.bml доступ к серверу есть у меня (и я в принципе мог бы, не следует сразу отметать такую возможность) и у Пети, который не мог, ибо он не в сети. У других админов пароль от сервера, возможно, есть, ибо я им давал, но они туда ни разу не ходили. У Пети "Last login Mon Feb 25 11:16 (MSK)" остальные "never logged in" (Ответить) (Уровень выше) (Ветвь дискуссии)

	juliy 2008-03-09 00:06 (ссылка)
	"не верь никому, верь Пауку" куда тебе можно на мыло написать? верю, что ты не при делах был при этом взломе, но хотелось бы обсудить пару ньюансов (Ответить) (Уровень выше) (Ветвь дискуссии)

	tiphareth 2008-03-09 00:19 (ссылка)
	verbit[]mccme.ru (Ответить) (Уровень выше) (Ветвь дискуссии)

	juliy 2008-03-09 00:33 (ссылка)
	отписал (Ответить) (Уровень выше)

	dna21m 2008-03-08 23:45 (ссылка)
	Ну, у админов может быть веб-интерфейс на блог-движок, и не быть рута на самом сервере/БД. Как, например, имея доступ к своему виртуальному хосту на хостинге, вы не имеете доступа дальше, чем /var/www/ваш_аккаунт/ (Ответить) (Уровень выше) (Ветвь дискуссии)

	juliy 2008-03-09 00:00 (ссылка)
	именно поэтому я спрашиаю, какие права имеют админы лжероссии, вощемта (Ответить) (Уровень выше)

	tiphareth 2008-03-08 23:45 (ссылка)
	у админов есть возможность менять примари е-мэйл (Ответить) (Уровень выше) (Ветвь дискуссии)

juliy 2008-03-08 23:55 (ссылка)

но если это была "имитация взлома", то логично, что оной они не воспользовались ты меня, Миша, удивил, когда начал опрос относительно того, стоит ли засуспендить оный журнал. вроде изначально это позиционировалось как площадка для любых взглядов мне, если ты помнишь, куча народа из киевского фидо собиралась яйца открутить, и, по сути, только за то, что я изобретал новые ходы программировании и "попал под лошадь" за компанию (Ответить) (Уровень выше) (Ветвь дискуссии)

tiphareth 2008-03-09 00:17 (ссылка)

>вроде изначально это позиционировалось как >площадка для любых взглядов Взгляды взглядами, но тот срач, который у пациента, имеет к "взглядам" косвенное отношение. Там натуральный понос, в смысле говно, в адрес каких-то непонятных недотыкомок из LJ, которых пациент сломал, либо ломает. Люди, которое этого дела в состоянии прочесть больше двух экранов - больные чем-то некрасивым, и с ними мне неуютно. Причем он этих недотыкомок образцово строит, на манер Галковского. Клуб же-жистов не основал пока, но все остальное есть. Разумеется, комменты френдз-онли - граждане закрылись от окружающего мира на амбарный замок, и увлеченно какают. Выездная сессия дурдома, напополам с кожвенерическим диспансером. Нет смысла держать сервер, если там будут сидеть только три десятка тошнотворных дегенератов, а пользователи, которые создают читабельный контент, мигрируют в другое место. В этом и был смысл акции в ljr_popechiteli. Понятно, что 4/5 попечителей не согласится суспендить урода "по этическим соображениям" (потому что 4/5 вообще ни разу ни по какому вопросу не голосовали). Но как демонстративная акция оно принесло пользу, кожвенерический дурдом визжал истерически, на радость людям. Такие дела Миша (Ответить) (Уровень выше) (Ветвь дискуссии)

	juliy 2008-03-09 00:27 (ссылка)
	дак никто вроде, кроме желающих, не читает, я вот читаю изредка, в плане получения информации после каких-то других движениях но тем не менее, я знаю человека по личной переписке и могу сказать, что этот человек, пишущий в 95% "как падонак", мало того, что адекватен, так еще и обладает нехуевым интеллектом (Ответить) (Уровень выше)

dna21m 2008-03-09 00:36 (ссылка)

Да нет, Миш, торквемада забавен. Знаете, во втором классе, когда мы все фотографировались с октябрятскими значками, классной руководительницей и очень пафосно, я выставил фиги,с коими и сфотался, и весь класс устроил мне на пару недель обструкцию. Я тоже, признав вину, в порыве коллективного садомазо взял фотографию и обрезал непристойную часть. Очень жалею теперь, это было really fun. (Ответить) (Уровень выше) (Ветвь дискуссии)

	juliy 2008-03-09 00:41 (ссылка)
	+1 (Ответить) (Уровень выше)

	bors.livejournal.com 2008-03-09 01:51 (ссылка)
	У токвемады просто феноминальное lack of style. (Ответить) (Уровень выше)

	Не нарушайте, пожалуйста, чистоту эксперимента schegloff 2008-03-09 06:20 (ссылка)
	Насчет "мигрируют в другое место" - пока лишь Ваше предположение. Вот когда мигрируют, тогда эксперимент можно считать законченным, и начинать думать над пересмотром правила свободы матерного слова. А до тех пор - это субъективизьм чистой воды. (Ответить) (Уровень выше) (Ветвь дискуссии)

	Re: Не нарушайте, пожалуйста, чистоту эксперимента tiphareth 2008-03-09 09:30 (ссылка)
	Меня такой эксперимент мало интересует, потому что в благотворности свободы слова я сомневаться не стану при любом исходе. Но анально оккупированный контингент, утомил безмерно, когда от них избавимся, вздохну спокойно. (Ответить) (Уровень выше)

jamhed 2008-03-08 23:37 (ссылка)

А хелл свечку чтоли держал, я не пойму ? На данный момент достоверно известно, что некто, зная пароль от журнала torquemada, залогинился с ним и начал делать изменения в профиле. Спустя три минуты другой некто, предположительно torquemada, запросил смену пароля журнала torquemada. Судя по журналу, torquemada, делая последнюю запись до событий, не разлогинился. (Ответить) (Уровень выше) (Ветвь дискуссии)

	juliy 2008-03-08 23:59 (ссылка)
	вообще я терки начал потому, что Вербита обвинили в том, что он де сдал логины ломавшим, я сказал, что Вербит тут вряд ли при чем и нехуй на него сразу стартовать (Ответить) (Уровень выше)

	jamhed 2008-03-08 23:48 (ссылка)
	К тому же журнал, выложенный на публику, не полный. (Ответить) (Уровень выше) (Ветвь дискуссии)

	juliy 2008-03-09 00:08 (ссылка)
	естественно, Миша вот вообще кусок маленький выложил, и я понмаю почему, сам когда-то изволил сисадмином работать (Ответить) (Уровень выше) (Ветвь дискуссии)

dna21m 2008-03-09 00:23 (ссылка)

На деле, если кто-то из админов, например, зашел по ssh на сервер и вручную, через консоль сделал insert нового хэша пароля в БД, access log не отразит этого никаким образом. О чем торквемада прямо и говорит, утверждая, что взломщик не менял пароль через веб-интерфейс, а сразу зашел с нового пароля. Как-то так... Просто я по-старинке готов принять дуэль двух хакеров, но юзер vs админ - это как-то нечестно. (Ответить) (Уровень выше) (Ветвь дискуссии)

	jamhed 2008-03-09 00:36 (ссылка)
	надо полные логи с двух ипов. Тогда можно наверное проверить, кто и что делал. grep по torquemada не все показывает, к сожалению. (Ответить) (Уровень выше) (Ветвь дискуссии)

	dna21m 2008-03-09 00:42 (ссылка)
	Вы поймите, лог апача ничего не покажет, если заходили в шелл компьютера и оттуда меняли бд через стандартный консольный клиент mysql, то веб-сервер этого просто не увидит. (Ответить) (Уровень выше) (Ветвь дискуссии)

	jamhed 2008-03-09 00:45 (ссылка)
	Прекрасно это понимаю. Существующий лог получен grep'ом по torquemada. Чего недостаточно, что бы сделать однозначные выводы. (Ответить) (Уровень выше) (Ветвь дискуссии)

	tiphareth 2008-03-09 00:47 (ссылка)
	сделал: tail -n 600000 access_log.0 | grep "77.180.119.172" > torquemada-ip-log.txt tail -n 600000 access_log.0 | grep "77.246.241.241" >> torquemada-ip-log.txt http://imperium.lenin.ru/TODELETE/torquemada-ip-log.txt (Ответить) (Уровень выше) (Ветвь дискуссии)

	jamhed 2008-03-09 00:57 (ссылка)
	Отлично. Там дохуя чего, щас дам полную картину. Все по моему радужно. (Ответить) (Уровень выше) (Ветвь дискуссии)

	dna21m 2008-03-09 01:11 (ссылка)
	Вы дадите картинку доступа по ХТТП к веб-серверу. Методами ГЕТ и ПОСТ и хули? Дайте мне картинку доступа по ssh хотя бы. (Ответить) (Уровень выше) (Ветвь дискуссии)

	gastrit 2008-03-09 01:14 (ссылка)
	А зачем? Разве пароль не менялся в 20:29:05 без всяких ssh? С уважением, Гастрит (Ответить) (Уровень выше) (Ветвь дискуссии)

	dna21m 2008-03-09 01:19 (ссылка)
	Вы о чем? (Ответить) (Уровень выше) (Ветвь дискуссии)

(без темы) - gastrit, 2008-03-09 01:23:01

(без темы) - dna21m, 2008-03-09 14:34:50

jamhed 2008-03-09 01:20 (ссылка)

"злобный хакер" подтвердил регистрацию нового аккаунта, видимо der_hellreisser, в 20:22:12 +0300 потом пошел с ним логинится, 3 раза POST потом поменял себе пароль, потом пошел логинится как torquemada еще 4 раза POST, и видать залогинился. потом поменял пароль юзеру torquemada и пошел от него писать, и прочие радости. в том числе и эту запись оставил ;) http://lj.rossia.org//users/der_hellreisser/ Так что версия про поменяные mysql'ом идет нахуй, где ей и место. (Ответить) (Уровень выше) (Ветвь дискуссии)

	dna21m 2008-03-09 01:25 (ссылка)
	Не идет. Он же знал откуда-то пароль торквемады (если, конечно, он сам не торквемада). И логин придумал немецкий ;) Впрочем, ваша версия этим тоже не опровергается. (Ответить) (Уровень выше) (Ветвь дискуссии)

	jamhed 2008-03-09 01:31 (ссылка)
	Ну об чем и речь. Пароль мог проебать сам torquemada точно так же. Его позиции резко ослабли, теперь уже нельзя орать, что поменяли пароль в базе администраторы. (Ответить) (Уровень выше) (Ветвь дискуссии)

	do_ 2008-03-09 04:07 (ссылка)
	С таким же успехом админы могли посмотреть пароль в базе и, используя его, залогиниться. (Ответить) (Уровень выше)

	jamhed 2008-03-09 01:46 (ссылка)
	А почему 4 раза POST login.bml перед успешным логином как torquemada ? Подбирал, не иначе ;) (Ответить) (Уровень выше) (Ветвь дискуссии)

(без темы) - dna21m, 2008-03-09 01:51:34

(без темы) - jamhed, 2008-03-09 01:52:31

Забирайте свою горе-какиршу, пидарасы гы гы гы - torquemada, 2008-03-09 04:31:50

Re: Забирайте свою горе-какиршу, пидарасы гы гы гы - tiphareth, 2008-03-09 04:54:57

Re: Забирайте свою горе-какиршу, пидарасы гы гы гы - bors.livejournal.com, 2008-03-09 05:09:21

Re: Забирайте свою горе-какиршу, пидарасы гы гы гы - torquemada, 2008-03-09 05:21:15

Re: Забирайте свою горе-какиршу, пидарасы гы гы гы - torquemada, 2008-03-09 05:19:00

Re: Забирайте свою горе-какиршу, пидарасы гы гы гы - tiphareth, 2008-03-09 08:49:41

Re: Забирайте свою горе-какиршу, пидарасы гы гы гы - torquemada, 2008-03-09 12:09:16

Re: Забирайте свою горе-какиршу, пидарасы гы гы гы - tiphareth, 2008-03-09 13:00:20

Re: Забирайте свою горе-какиршу, пидарасы гы гы гы - torquemada, 2008-03-09 13:06:41

Re: Забирайте свою горе-какиршу, пидарасы гы гы гы - tiphareth, 2008-03-09 13:17:56

Re: Забирайте свою горе-какиршу, пидарасы гы гы гы - torquemada, 2008-03-09 13:23:29

Re: Забирайте свою горе-какиршу, пидарасы гы гы гы - tiphareth, 2008-03-09 13:30:21

Re: Забирайте свою горе-какиршу, пидарасы гы гы гы - torquemada, 2008-03-09 13:35:05

Re: Забирайте свою горе-какиршу, пидарасы гы гы гы - kaledin, 2008-03-09 20:57:00

калоеден, ты смешной абизян, беспесты гы гы - torquemada, 2008-03-09 21:02:18

Re: Забирайте свою горе-какиршу, пидарасы гы гы гы - derhellreisser, 2008-03-09 20:23:54

Буга га, пидрила лаховец, ты то куда лезешь, пес? :) - torquemada, 2008-03-09 20:36:20

Re: Буга га, пидрила лаховец, ты то куда лезешь, пес? :) - kaledin, 2008-03-09 20:52:13

калоеден, ты не устал еще жевать хуй? - torquemada, 2008-03-09 20:55:56

Re: калоеден, ты не устал еще жевать хуй? - kaledin, 2008-03-09 21:13:28

Re: калоеден, ты не устал еще жевать хуй? - torquemada, 2008-03-09 21:16:39

Re: калоеден, ты не устал еще жевать хуй? - kaledin, 2008-03-09 21:31:30

Re: калоеден, ты не устал еще жевать хуй? - torquemada, 2008-03-09 21:38:15

Re: калоеден, ты не устал еще жевать хуй? - tiphareth, 2008-03-09 21:43:45

Re: калоеден, ты не устал еще жевать хуй? - torquemada, 2008-03-09 21:45:54

Re: калоеден, ты не устал еще жевать хуй? - tristes_tigres, 2008-03-09 23:20:48

А, тигис коксакерс гы гы гы - torquemada, 2008-03-09 23:33:24

сакерс, ты главное в это верь гхы гхы - torquemada, 2008-03-09 23:43:31

Re: Забирайте свою горе-какиршу, пидарасы гы гы гы - tiphareth, 2008-03-09 21:07:13

Да, мищка, окажи вон этому гандону по ссылке любезность - torquemada, 2008-03-09 21:09:59

Re: Забирайте свою горе-какиршу, пидарасы гы гы гы - derhellreisser, 2008-03-09 20:25:54

Это первай хуй тебе в сраку гы гы гы, и не последняй - torquemada, 2008-03-09 20:39:16

Re: Забирайте свою горе-какиршу, пидарасы гы гы гы - torquemada, 2008-03-09 05:24:35

Re: Забирайте свою горе-какиршу, пидарасы гы гы гы - tiphareth, 2008-03-09 09:36:53

Re: Забирайте свою горе-какиршу, пидарасы гы гы гы - torquemada, 2008-03-09 12:10:50

Re: Забирайте свою горе-какиршу, пидарасы гы гы гы - kaledin, 2008-03-09 13:01:41

калоедав, это твоя што ле сипофка там была трубачова? г - torquemada, 2008-03-09 13:11:15

калоеден, ты сука по-русски говорить научись гы гы - torquemada, 2008-03-09 13:18:12

(Комментарий удалён)

Re: калоеден, ты сука по-русски говорить научись гы гы - torquemada, 2008-03-09 13:40:40

Re: калоеден, ты сука по-русски говорить научись гы гы - tiphareth, 2008-03-09 13:37:19

Re: калоеден, ты сука по-русски говорить научись гы гы - torquemada, 2008-03-09 13:42:45

Re: Забирайте свою горе-какиршу, пидарасы гы гы гы - bors.livejournal.com, 2008-03-09 05:35:19

Гы гы, сиплай питух чо та шамкает :) - torquemada, 2008-03-09 05:38:22

слышь, хуйло, а чо ты там телишса то гы гы - torquemada, 2008-03-09 05:41:39

OH SHIT! ОПАСНОСТЕ! - bors.livejournal.com, 2008-03-09 06:03:21

и над этой хуитой ты там долга думал, пида? гы гы - torquemada, 2008-03-09 06:05:53

В комментарии чувствуется облегчение - latexzapal.livejournal.com, 2008-03-09 05:37:54

Re: В комментарии чувствуется облегчение - torquemada, 2008-03-09 05:38:58

Re: Забирайте свою горе-какиршу, пидарасы гы гы гы - torquemada, 2008-03-09 05:55:27

Re: Забирайте свою горе-какиршу, пидарасы гы гы гы - kaledin, 2008-03-09 13:03:54

Re: Забирайте свою горе-какиршу, пидарасы гы гы гы - torquemada, 2008-03-09 13:25:17

Re: Забирайте свою горе-какиршу, пидарасы гы гы гы - bors.livejournal.com, 2008-03-09 08:33:03

(без темы) - neograff.livejournal.com, 2008-03-09 08:44:18

Re: Забирайте свою горе-какиршу, пидарасы гы гы гы - fuckifeya.livejournal.com, 2008-03-09 09:31:18

Re: Забирайте свою горе-какиршу, пидарасы гы гы гы - bors.livejournal.com, 2008-03-09 09:40:03

Re: Забирайте свою горе-какиршу, пидарасы гы гы гы - torquemada, 2008-03-09 12:15:17

Re: Забирайте свою горе-какиршу, пидарасы гы гы гы - torquemada, 2008-03-09 12:14:04

(без темы) - bors.livejournal.com, 2008-03-09 02:45:14

	jamhed 2008-03-09 01:30 (ссылка)
	Причем в параллель ему сидел сам torquemada, который запросил смену пароля через email. Што интересно, torquemada примчался в 07/Mar/2008:20:34:36 +0300, тогда как злобныя хакеря меняли пароль в 20:29:05. Оперативно так. (Ответить) (Уровень выше) (Ветвь дискуссии)

	да да, питух, тряси саплями теперь гы гы torquemada 2008-03-09 04:34 (ссылка)
	Ту щавку, которай местныя мудили слили пароль, даже такой срамной пес как ты вскрыл бы за пять минут, иди там к трубачовай и нюхай ее вертуальную пелотку гхы гхы. А потом возвращайсо и рассказывай, как вон то ламо по ссылке "снифферами" "пароле перехватывает" и "заражает вирусами" компы буга га, идиот блять. (Ответить) (Уровень выше)

	dna21m 2008-03-09 00:51 (ссылка)
	дело не в грепе по торквемаде, а в том, что акцесс_лог веб-сервера не пишет изменения, сделанные в БД локально с компа, на котором лежит БД. (Ответить) (Уровень выше)

	vvgogh.livejournal.com 2008-03-10 00:04 (ссылка)
	Он 4 раз тыкался. Видимо, было неск. вариантов пароля. Слив под вопросом. (Ответить) (Уровень выше)

слив, походу (вешай логи за 9-10-е) vvgogh.livejournal.com 2008-03-10 01:58 (ссылка)

Именно что. 03-09 03:41:50, т.е. на следующий день, произошла смена пароля на аккаунте якобы супа-хацкера (http://lj.rossia.org/users/torquemada/163615.html). Даже если представить, что этой бабце чисто подслили, и она пошла козлом в огород, засветив мыл, записанный на фамилию - это больше напоминает подставу (дураки есть, но в каких-то определенных рамках, ок?). Кто-то, возможно, зашел в аккаунт с левака и оставил чью-то чужую почту, чтобы отвести подозрения. Нет, разве? Тогда выходит фуфло, совершеннейшее причем. Единственное, что, похоже, внесет некоторую сюда ясность: выложить лог с 9 по 10 марта, начиная с момента в р-не смены пароля. Тему "кул-хацкера" откидываем. Никто мэил со своим фамилиенаме в ходе вот такого коллективного, очевидно, подлома не оставит, дураков нет. Или подставное или же кого-то подставили. Если админские дела типа не логятся, это беспроигрышно, но и недоказуемо, а чрезвычайно невыгодные обстоятельства в отношении обладателей админовских полномочий - дело бесспорное. Будет журнал заходов - совесть чиста. Нет - взлом и подстава (малосимпатичная, согласитесь, к тому же) того неизвестного, а может даже и реально существующего девко-пользователя. (Ответить) (Уровень выше) (Ветвь дискуссии)

Re: слив, походу (вешай логи за 9-10-е) jamhed 2008-03-10 02:13 (ссылка)

Логи у Вербицкого. Да похоже все на подставу, очень. torquemada ни разу не хочет разбираться, что случилось, его версии менялись 5 раз уже, все с одним уклоном. при этом torquemada использует собственные посты как доказанные и не подлежащие сомнению факты, на которые ссылается в следующих, и так по кругу. справедливости ради рассказы администрации о сниферах, вирусах и прочей поебени не менее удручительны. с другой стороны, именно Миша выкладывает логи, что несомненно большой ему плюс. по-моему, все успешные базары на самом деле жестко и последовательно модерируются. печально, что хорошая идея гнобится на такой хуйне. (Ответить) (Уровень выше) (Ветвь дискуссии)

Re: слив, походу (вешай логи за 9-10-е) vvgogh.livejournal.com 2008-03-10 04:14 (ссылка)

Тим адресован как бы всем. Вот именно, подстава, в конце-концов, он и оказался недалеко от вывода где-то в таком районе: Когда поняли, што ничего не получаеца, слили втихаря пароль дурочке какой то, которая по клавишам с трудом попадает. Когда я им продемонстрировал, што их попытка чернава пиара и иммитации "взлома Хэлла" полное фуфло - они не постеснялись устраивать эту хуиту, што я сломал их неибацо "хакиршу" и теперь во всем виноватай (http://lj.rossia.org/users/torquemada/165025.html?thread=763041#t763041) Тут имитация подлома, а в качестве подломной хуйаторши тиснули некую "трубачову". Конечно, плюс. Иначе, просьба не прозвучала бы. (Ответить) (Уровень выше)

	Re: слив, походу (вешай логи за 9-10-е) tiphareth 2008-03-10 02:26 (ссылка)
	>Единственное, что, похоже, внесет >некоторую сюда ясность: выложить лог с 9 по 10 марта, Выложить лог чего? Доступа? С какое по какое, и по каким ключам делать греп? Там мегабайт 20-30 в день, по-моему, к тому же целиком выкладывать - винство по отношению к третьим людям, которым мы массово засветим IP (Ответить) (Уровень выше) (Ветвь дискуссии)

	Log theme vvgogh.livejournal.com 2008-03-10 04:43 (ссылка)
	Цель простая: отследить момент добавления мыла. Согласно этому вот скрину (http://i046.radikal.ru/0803/98/47183a45ac04.jpg) страдальца, плюс-минус, думаю, от 03:40 9 марта в обе стороны. Вперед на 1 час, назад часа наверно 4 на. (Ответить) (Уровень выше) (Ветвь дискуссии)

	Re: Log theme tiphareth 2008-03-10 10:34 (ссылка)
	ага, сейчас (проснулся только) (Ответить) (Уровень выше)

	Re: Log theme tiphareth 2008-03-10 10:44 (ссылка)
	Результат grep "09/Mar/2008:0[1-5]" access_log положил сюда http://imperium.lenin.ru/TODELETE/torquemada-vzlom.txt 11 мег, между прочим. С удовольствием сокращу, если что, по какому-нибудь еще фильтру. И еще - давайте он повисит тут до вечера (для верифицируемости), и я его уберу. Потому что светить IP пользователей не дело совершенно. Такие дела Миша (Ответить) (Уровень выше) (Ветвь дискуссии)

Что в итоге vvgogh.livejournal.com 2008-03-11 01:26 (ссылка)

Лог показывает, что в районе 03:30 некий гражданин из Карслруе делает emailmanage и даже вот такое editinfo: 77.180.91.125 - - [09/Mar/2008:03:37:19 +0300] "GET /editjournal.bml HTTP/1.1" 200 9842 "http://lj.rossia.org/userinfo.bml?user=der_hellreisser" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; .NET CLR 1.1.4322)" Это и вобщем все. Ни одного захода на страничку редакции мыла выше этой даты не встречается. Видимо, это произошло раньше. Что интересно, судя по всему, журнал был хряпнут с ящиком на мейл.ру., с которого происходил запрос на смену пароля, а после оказывается, что в профиле стоит совершенно другое мыло. Такой момент хотелось бы отследить. Видно, что der_hellreisser виртуал и создавался под взлом torquemada, hell - явная аллюзия. В т.с., учитывая лихость взлома "на 123", почта стояла там меилрушная, т.е. иггдрасиль.меил.ру - он сделал запрос, получил на ящик пароль и с ним помчался "ломать". А затем для вида прописал кретинское мыло с фамилией, типа "крутой хакер всех опустил" и т.п. Как вариант. По логам - все вполне доказуемо. Еще вариант - "хеллрайсер" это приятель хелла из Москвы, что конечно недоказуемо, но логично. Хелл ему сообщает свой пароль, тот срет по-минимуму и какое-то время создает иллюзию деструктивной деятельности, при этом реально ничего не делая. Хозяин журнала тут же берет ситуацию под контроль, ломает все, что можно сломать и в подробностях описывает случившееся на страницах "популярного дневника". 1. хакер ниибацца, 2. администрация лжр в говне. Так что смысл есть. (Ответить) (Уровень выше) (Ветвь дискуссии)

	Re: Что в итоге tiphareth 2008-03-11 01:35 (ссылка)
	Спасибо, да. Я уберу логи, ладно? Кроме IP 77.180.91.125, например. Такие дела Миша (Ответить) (Уровень выше)

	Re: Что в итоге tiphareth 2008-03-11 01:38 (ссылка)
	Оставил только 77.180.91.125 если нужно еще чего - пишите, верну не дело держать в публичном месте 16 мег логов сервера (Ответить) (Уровень выше)

	jamhed 2008-03-09 00:00 (ссылка)
	Да вообще прикольно. Судя по этому журналу они 20-30 минут параллельно сидели. (Ответить) (Уровень выше) (Ветвь дискуссии)

	juliy 2008-03-09 00:07 (ссылка)
	например? (Ответить) (Уровень выше) (Ветвь дискуссии)

jamhed 2008-03-09 00:13 (ссылка)

77.180.119.172 - - [07/Mar/2008:20:36:24 +0300] "GET /userinfo.bml?user=torquemada 77.180.119.172 - - [07/Mar/2008:20:38:31 +0300] "GET /changepassword.bml HTTP/1.1" 77.246.241.241 - - [07/Mar/2008:20:55:12 +0300] "GET /userinfo.bml?user=torquemada т.е. "злобный хакер" на 241.241 смотрел профиль, будучи залогиненым как torquemada уже после того, как "torquemada" сменил пароль. (Ответить) (Уровень выше) (Ветвь дискуссии)

	juliy 2008-03-09 00:30 (ссылка)
	не забывайте о разных часовых поясах (Ответить) (Уровень выше) (Ветвь дискуссии)

	jamhed 2008-03-09 00:31 (ссылка)
	Не забывайте что это лог сервера. Да и часовой пояс указан, вроде как. (Ответить) (Уровень выше)

	tiphareth 2008-03-09 00:32 (ссылка)
	логам на часовые пояса начхать, в принципе говоря там внутреннее время компутера (Ответить) (Уровень выше) (Ветвь дискуссии)

	juliy 2008-03-09 00:35 (ссылка)
	да, не подумал отпишись по личке, мне важно чтоб таки не --- (Ответить) (Уровень выше)

	juliy 2008-03-09 00:52 (ссылка)
	как бы перевел (Ответить) (Уровень выше) (Ветвь дискуссии)

	tiphareth 2008-03-09 01:36 (ссылка)
	Спасибо! Да. (Ответить) (Уровень выше)

	vvgogh.livejournal.com 2008-03-10 00:07 (ссылка)
	Долго он сидел, 17 минут, однако. Вариант, ходили с двух компов из одной комнаты. (Ответить) (Уровень выше)

tiphareth 2008-03-08 23:53 (ссылка)

Хочу отметить - всю информацию о том, что насрали, мы имеем от самого кулхацкера, которому насрали. никакого срача никто не видел. Даже скриншотов. Срач, если и был, провисел 3 минуты. Нет, никто из админов не может насрать. Если б хотели насрать, было б насрато. А вышла какая-то комедия, пациента насилуют, но никак не могут найти правильной дырки, а визгу на весь кинотеатр. Хотя насрать "хэллу" - дело чести, по-моему, гражданин заебал всех уже, просто всех. Но это я от себя лично, не от администрации. (Ответить) (Уровень выше) (Ветвь дискуссии)

	juliy 2008-03-08 23:57 (ссылка)
	я выводов для себя не спешу делать, я понаблюдаю (Ответить) (Уровень выше)

	juliy 2008-03-09 00:01 (ссылка)
	с другой стороны, Миша, ты сам Хелла сюда своими правилами впустил; неважно, как бы я к нему или ты к нему ни относился (Ответить) (Уровень выше)

	jamhed 2008-03-09 00:18 (ссылка)
	Сделайте 2 греп по журналу на предмет двух ip-адресов: 77.180.119.172 и 77.246.241.241 за два дня 7 и 8 марта. (Ответить) (Уровень выше) (Ветвь дискуссии)

vvgogh.livejournal.com 2008-03-09 19:11 (ссылка)

Тут сообщается, что под вторым ип ходит некто назаров дима (http://www.rambler.ru/srch?oe=1251&words=77%2E246%2E241%2E241&hilite=0000000A:000E6758), кторый там чего-то админит на shop-script (http://www.rambler.ru/srch?oe=1251&words=77%2E246%2E241%2E241&hilite=00000065:000631D4). Сидит на иммуномодуляторах (http://gepon.ru/statistic01.htm?ip=77.246.241.241), сисадмин как пить дать. (Ответить) (Уровень выше)

	dna21m 2008-03-09 00:37 (ссылка)
	Да, собственно, никто не отрицает, что возможна эмуляция взлома. (Ответить) (Уровень выше) (Ветвь дискуссии)

	jamhed 2008-03-09 00:47 (ссылка)
	Да чот дебильная эмуляция. Они же оба были в системе. Причем одномоментно. Поэтому логи надо почитать, по двум ипам. (Ответить) (Уровень выше) (Ветвь дискуссии)

	dna21m 2008-03-09 00:49 (ссылка)
	И что? Хотите, я зайду сюда с 3х ИП? Изх них все будут - анонимными проксями, и ни одного моего? (Ответить) (Уровень выше) (Ветвь дискуссии)

	jamhed 2008-03-09 00:51 (ссылка)
	Я уже много писал, и на эту тему тоже. Почитайте тут: http://lj.rossia.org/users/tiphareth/786569.html?page=10 (Ответить) (Уровень выше) (Ветвь дискуссии)

dna21m 2008-03-09 01:00 (ссылка)

Мне просто не нравится, что администрация отдает сюда access_log и говорит, что это истина в последней инстанции. Это настораживает. Потому что именно при взломе с _админского_ логина акцесс_лог вообще ничего не покажет. Акцесс_лог - лог доступа к определенным файлам в папке веб-сервера. Если менять содержимое БД локально (через ssh) с привилегиями админа, в акцесс_логе ничего, понятно, не зафиксируется. Одно из двух - либо администрация не разбирается в логах собственного сервера (что маловероятно), либо администрация слила доступ к БД вргам Хэлла (что хуйово, вдруг я вместо глупостей про кальмаров начну устраивать разюорки в ЖЖ). Вот так. (Ответить) (Уровень выше)

	yaroslavz 2008-05-31 19:14 (ссылка)
	Что толку в правилах, когда они применяются идиотами? Законы есть смысл обсуждать, когда есть открытый суд, который применяет, а не обкуренная конфликтная комиссия. (Ответить) (Уровень выше)

(Читать комментарии) -