Հայաստանի Դեսպանատան Կայքը Ցանցահենների (Hackers) Ղեկավարության տակ
Արդեն 13 օր է, ինչ ես զբաղվում եմ մեր հայկական դեսպանատանը համոզելով, որ իրենց կայքի վրայից ցանցահենների դրած վիրուսները մաքրեն: ahousekeeper-ի մոտ մանրամասնությունները կան վիրուսների մասին, իսկ այստեղ ուղղակի պատմեմ, թե ոնց սկսվեց և ինչպես է զարգանում իրավիճակը:
Հուլիսի 8
- Սահակ Պետրոսյանի հետ պատահմամբ հայտնաբերեցինք որ Հայկական դեսպանատան կայքը, մասնավորապես «Consular Affairs» ու «Business» բաժինները google-ը համարում է վնասակար:
Ստուգումների արդյունքում հայտնաբերեցինք, որ
ա) 90 օրից ավել այդ վիճակն է եղել:
բ) Google Rank-ը կայքի ընկել է:
գ) Որոշ էջեր եթե ոչ թե ինքներդ ուղիղ բացեք, այլ փորձեք Google Search Results-ից մտնել, ապա չի թողնի, համարելով որ վնասակար է:
դ) Դեսպանատան կայքը տեղադրված է հասարակական մի տեղ (shared hosting), նույն սերվերի վրա հազար ու մի զիբիլ կարող է լինել (օրինակ պոռնո կայքեր ու հազար ու մի ուրիշ բան):
ե) Դեսպանատան պաշտոնական հասցեն այդ shared hostingi-ի անունով է - ******@speakeasy.com.
Համ շատ ոչ պրոֆեսիոնալ տպավորություն է թողնում, համ էլ ապահով չէ:
- Միանգամից զանգահարեցի դեսպանատուն ու տեղակացրեցի: Այնտեղից փորձեցին համոզել, որ նորմալ բացում են էջը, հետևաբար պրոբլեմ չկա: Ես էլ պնդեցի, որ բացելը քիչ է, եթե բացելուց հետո վիրուս է ուղարկվում: Ասեցի թող շատ արագ զբաղվեն, ես արդյունքում կփորձեմ ավելի շատ ինֆորմացիա հավագել:
- Մի քիչ էլ փորփորեցի Սահակի հետ, պարզվեց իրենց կայքը ստեղծող ու կայքին հետևող ֆիրմաի կայքն էլ են կոտրել, այս անգամ արդեն թուրքերը:
- Կարենի հետ ստուգեցինք կայքի էջերի կոդը- պարզվեց վնասակար կոդը դեր այնտեղ է ու հղումները տանում են ադրբեջանցի «բարեկամների» կողմերը:
Փաստորեն 90 օրից ավել է, ինչ իրանք կոնտրոլի տակ են պահում:
- Արդեն երկրորդ անգամ զանգահարեցի դեսպանատուն, ասեցի որ փաստացի ապացույց կա, ու ամենակարևորը թուրքերն ու ադերբեջանա-թուրքերն են զբաղվում դրանով: Հարցրեցի ինչևէ բան արե՞լ եք: Ո՞վ է webmaster-ը, իրա հետ մեկն-ու-մեկը կապնվել է՞: Ինչքան հասկացա, դերևս ոչ մի բան չէր արվել (չնայած կարող է որ սխալվում եմ), բայց ինձ խնդրեցին ես նամակ էլ գրեմ դեսպանատուն:
- Գրեցի մանրամասն նամակ անգլերենով, տալով բոլոր հղումները, բացատրելով հեշտ և մատչելի ձևով, այնպես որ հասկանան: Իրենց հարկավոր ամբողչ ինֆորմացիան տվեցի ձեռքները:
Հուլիսի 9
- Նկատեցի որ ոչ մի բան չի փոխվել:
- Որոշեցի ինքս գտնեմ webmaster-ին ու կապնվեմ հետը: Պարզեցի որ այդ կայքի սպասարկումը կատարող ընկերությունը (որի կայքը նույնպես կոտրել էին) պատկանում է ոմն Արմեն Կ.-ին (ազգանունը հատուկ չեմ գրում), որը գրանցված է Վաշինգտոնում:
ա) Ավելի խորը փորելուց նկատեցի, որ այդ նույն անձը ստեղծել է մի շարք կայքեր հայկական տարբեր օֆիցիալ մարմինների համար. Այքինքն պոտենցիալ վտանգ կա, որ շատ կայքեր են նույն վիճակում::
բ) Գթա նրա կոնտակտերը և զանգահարեցի, հաղորդագրություն թողեցի: Հետո էլեկտրոնային նամակ էլ գրեցի:
- Նամակս գրելու պահին արդեն Արմեն Կ-ն իրեն պատկանող ընկերության կայքը մաքրել էր (այսինքն մեր բարձրացրած աղմուկը հասել էր իր հասցեյով), բայց դեսպանատան կայքը, որը շատ ավելի կարևոր է, դեր նույն վիճակում էր: (Հարկ է նշել, որ ես տեղյակ չեմ դեսպանատան և կայքի սպասարկումը կատարող ընկերության աշխատանքային հարաբերություններից, այնպես որ չեմ ուզում հետևումներ անել, բայց իրավիճակը հիասթափեցմնող է:)
Հուլիսի 10
- Եկավ պատասխան Արմեն Կ.-ից, որտեղ նա հայտնեց, որ տեղյակ է իրավիճակից: Սակայն դեսպանատան էջերը դեռ վարակված են:
- Պատասխանեցի Արմենին, որ տեղյակ լինելը քիչ է, պետք է հարցը լուծել: Առաջարկեցի օգնությունս, եթե ինքը չի կարողանում: ՈՒղարկեցի վնասակար կոդից մի տող որպես օրինակ:
- Պարզեցի, որ ինձնից նույնիսկ երկու որ առաջ, Հուլիսի 6-ին, Սահակի ընկեր Վազգեն Շեկոյանը արդեն դեսպանատանը հայտնել էր վիրուսների մասին: !!!!!
- Սահակը կրկին զանգահարեց դեսպանատան, այս անգամ անձնական հարցով: Երբ խնդրեց որոշակի ինֆորմացիա, իրեն խորհուրդ տվեցին գնալ կայք, հենց այն վարակված վնասակար էջերը այցելել այդ ինֆորմացիան քաշելու համար: Նրա ակնարկին, թե այդ էջը վարակված է, դեսպանատան աշխատողյ ասեց որ ոչինչ, մենք տեղեկացված ենք:
Այսինքն գիտեն, բայց շարունակում են մարդկանց ուղարկել այդ էջերից նյութ քաշելու:
- Այս պահին իմ զգուշացնելուց հետո 50 ժամից ավել է անցել (իսկ Վազգենի զգուշացնելուց հետո՝ 4 օր), բայց կայքը դեռ վարակված է: Արդեն վարակված է առնվազն 90 օր, ամենայն հավանականությամբ նաև ավել:
Հուլիսի 11-15
- Ստացա պատասխան վեբմաստերից, որ հասկանում են իրավիճակի կարևորությունը, սակայն հարցի լուծման համար իրենց ավելի շատ ժամանակ է հարկավոր: Պատասխանեցի այդ նամակին, խորհուրդ տալով շատ արագ այս հարցը լուծել և փոխել բոլոր հնարավոր գաղտնագրերը, նամանավանդ հաշվի առնելով որ նույն վեբմաստերը պատասխանատու է մի շարք ուրիշ հայկական կայքերի համար:
- Շարունակեցի նամակագրվել, (մանրամասները հայտնելը անիմաստ է), խորհուրդներ տալով ու կոչեր անելով որ վիրուսները մաքրեն: Բոլոր ջանքերս ապարդյուն էին:
Հուլիսի 16
- Հայկի միջոցով իմացանք որոշ մանրամասություններ վիրուսի մասին: Մանրամասությունները իր գրառմամբ բերում եմ ստորև:
В коде, через аякс запрос обращаются к файлу
http**://www.daymoihk.info/amuse.php - он отдает вирус WIN32/PSW.LdPinch
trojan (это троян, который банально ворует пароли к асе, мылу, фтп и
т.д.), этот файл затем сохраняется с именем imageviewer.exe, а затем
он запускается. Все - система заражена.
Затем уже бот, получив с зараженной трояном системы пароли, по фтп
заходит туда, ищет индексный файлы и пихает в них джаваскриптовый код
для заражения компов.
- Մանրամասությունները միանգամից ուղարկեցի վեբմաստերին: Ավելացրեցի, որ քանի որ այսքան օր հետո հարցը դեր լուցված չէ, ես ստիպված եմ աղմուկ բարձրացնել հայկական թերթերում:
- ՈՒրիշ ճանապարհներով ընկերներիս փորձերը այս խնդիրը ներկայացնել պետական մարմիններին կարծես թե ինչ-որ արդյունքներ է տալիս, սակայն կոնկրետ հետևանքներ դեռ չկան- վիրուսը դեռ առկա է կայքում:
Հուլիսի 17
- Պատասխան է գալիս վեբմաստերից որ ինքը մուտք չունի կայքի կառավարմանը: Հավատացնում է, որ պետքական մարդկանց հայտնել է, որ փոփոխությունները մտցնեն: Իրավիճակը անհասկանալի: Արդյոք ու՞մ պատասխանատվությունն ու պարտականությունն է մաքրել կայքը: Ամեն դեպքում դեսպանատունը պարտավոր է քայլեր ձեռնարկել:
Հուլիսի 18
- Լռանում է
ա) 10 օր ինչ ես հայտնել եմ և՛ դեսպանատանը, և՛ վեբմաստերին վիրուսների մասին, բայց կայքը դեր չի մաքրվել և նոր այցելուներին դեսպանատան աշխատողները շարունակում են ուղարկել կայքի վարակված էջերից փաստաթղթեր քաշելու:
բ) Առնվազն 100 օր ինչ կայքը վարակված է (հնարավոր է որ շատ ավել):
գ) Առնվազն 100 օր ինչ կայքը համարվում է վնասակար Google-ի կողմից
Հուլիսի 19-21
- Ոչ մի փոփոխություն:
- Երկար տարակուսանքներից հետո հասկանում ենք, որ չունենք ուրիշ որևիցե ճանապարհ, քան թե բոլոր լեզուներով բոլոր հայկական թերթերին տեղեկացնենք իրավիճակի մասին: Հույս ունենք որ գոնե դա կստիպի պատասխանատու մարդկանց կատարել իրենց ուղիղ պարտականությունը:
Հուլիսի 8
- Սահակ Պետրոսյանի հետ պատահմամբ հայտնաբերեցինք որ Հայկական դեսպանատան կայքը, մասնավորապես «Consular Affairs» ու «Business» բաժինները google-ը համարում է վնասակար:
Ստուգումների արդյունքում հայտնաբերեցինք, որ
ա) 90 օրից ավել այդ վիճակն է եղել:
բ) Google Rank-ը կայքի ընկել է:
գ) Որոշ էջեր եթե ոչ թե ինքներդ ուղիղ բացեք, այլ փորձեք Google Search Results-ից մտնել, ապա չի թողնի, համարելով որ վնասակար է:
դ) Դեսպանատան կայքը տեղադրված է հասարակական մի տեղ (shared hosting), նույն սերվերի վրա հազար ու մի զիբիլ կարող է լինել (օրինակ պոռնո կայքեր ու հազար ու մի ուրիշ բան):
ե) Դեսպանատան պաշտոնական հասցեն այդ shared hostingi-ի անունով է - ******@speakeasy.com.
Համ շատ ոչ պրոֆեսիոնալ տպավորություն է թողնում, համ էլ ապահով չէ:
- Միանգամից զանգահարեցի դեսպանատուն ու տեղակացրեցի: Այնտեղից փորձեցին համոզել, որ նորմալ բացում են էջը, հետևաբար պրոբլեմ չկա: Ես էլ պնդեցի, որ բացելը քիչ է, եթե բացելուց հետո վիրուս է ուղարկվում: Ասեցի թող շատ արագ զբաղվեն, ես արդյունքում կփորձեմ ավելի շատ ինֆորմացիա հավագել:
- Մի քիչ էլ փորփորեցի Սահակի հետ, պարզվեց իրենց կայքը ստեղծող ու կայքին հետևող ֆիրմաի կայքն էլ են կոտրել, այս անգամ արդեն թուրքերը:
- Կարենի հետ ստուգեցինք կայքի էջերի կոդը- պարզվեց վնասակար կոդը դեր այնտեղ է ու հղումները տանում են ադրբեջանցի «բարեկամների» կողմերը:
Փաստորեն 90 օրից ավել է, ինչ իրանք կոնտրոլի տակ են պահում:
- Արդեն երկրորդ անգամ զանգահարեցի դեսպանատուն, ասեցի որ փաստացի ապացույց կա, ու ամենակարևորը թուրքերն ու ադերբեջանա-թուրքերն են զբաղվում դրանով: Հարցրեցի ինչևէ բան արե՞լ եք: Ո՞վ է webmaster-ը, իրա հետ մեկն-ու-մեկը կապնվել է՞: Ինչքան հասկացա, դերևս ոչ մի բան չէր արվել (չնայած կարող է որ սխալվում եմ), բայց ինձ խնդրեցին ես նամակ էլ գրեմ դեսպանատուն:
- Գրեցի մանրամասն նամակ անգլերենով, տալով բոլոր հղումները, բացատրելով հեշտ և մատչելի ձևով, այնպես որ հասկանան: Իրենց հարկավոր ամբողչ ինֆորմացիան տվեցի ձեռքները:
Հուլիսի 9
- Նկատեցի որ ոչ մի բան չի փոխվել:
- Որոշեցի ինքս գտնեմ webmaster-ին ու կապնվեմ հետը: Պարզեցի որ այդ կայքի սպասարկումը կատարող ընկերությունը (որի կայքը նույնպես կոտրել էին) պատկանում է ոմն Արմեն Կ.-ին (ազգանունը հատուկ չեմ գրում), որը գրանցված է Վաշինգտոնում:
ա) Ավելի խորը փորելուց նկատեցի, որ այդ նույն անձը ստեղծել է մի շարք կայքեր հայկական տարբեր օֆիցիալ մարմինների համար. Այքինքն պոտենցիալ վտանգ կա, որ շատ կայքեր են նույն վիճակում::
բ) Գթա նրա կոնտակտերը և զանգահարեցի, հաղորդագրություն թողեցի: Հետո էլեկտրոնային նամակ էլ գրեցի:
- Նամակս գրելու պահին արդեն Արմեն Կ-ն իրեն պատկանող ընկերության կայքը մաքրել էր (այսինքն մեր բարձրացրած աղմուկը հասել էր իր հասցեյով), բայց դեսպանատան կայքը, որը շատ ավելի կարևոր է, դեր նույն վիճակում էր: (Հարկ է նշել, որ ես տեղյակ չեմ դեսպանատան և կայքի սպասարկումը կատարող ընկերության աշխատանքային հարաբերություններից, այնպես որ չեմ ուզում հետևումներ անել, բայց իրավիճակը հիասթափեցմնող է:)
Հուլիսի 10
- Եկավ պատասխան Արմեն Կ.-ից, որտեղ նա հայտնեց, որ տեղյակ է իրավիճակից: Սակայն դեսպանատան էջերը դեռ վարակված են:
- Պատասխանեցի Արմենին, որ տեղյակ լինելը քիչ է, պետք է հարցը լուծել: Առաջարկեցի օգնությունս, եթե ինքը չի կարողանում: ՈՒղարկեցի վնասակար կոդից մի տող որպես օրինակ:
- Պարզեցի, որ ինձնից նույնիսկ երկու որ առաջ, Հուլիսի 6-ին, Սահակի ընկեր Վազգեն Շեկոյանը արդեն դեսպանատանը հայտնել էր վիրուսների մասին: !!!!!
- Սահակը կրկին զանգահարեց դեսպանատան, այս անգամ անձնական հարցով: Երբ խնդրեց որոշակի ինֆորմացիա, իրեն խորհուրդ տվեցին գնալ կայք, հենց այն վարակված վնասակար էջերը այցելել այդ ինֆորմացիան քաշելու համար: Նրա ակնարկին, թե այդ էջը վարակված է, դեսպանատան աշխատողյ ասեց որ ոչինչ, մենք տեղեկացված ենք:
Այսինքն գիտեն, բայց շարունակում են մարդկանց ուղարկել այդ էջերից նյութ քաշելու:
- Այս պահին իմ զգուշացնելուց հետո 50 ժամից ավել է անցել (իսկ Վազգենի զգուշացնելուց հետո՝ 4 օր), բայց կայքը դեռ վարակված է: Արդեն վարակված է առնվազն 90 օր, ամենայն հավանականությամբ նաև ավել:
Հուլիսի 11-15
- Ստացա պատասխան վեբմաստերից, որ հասկանում են իրավիճակի կարևորությունը, սակայն հարցի լուծման համար իրենց ավելի շատ ժամանակ է հարկավոր: Պատասխանեցի այդ նամակին, խորհուրդ տալով շատ արագ այս հարցը լուծել և փոխել բոլոր հնարավոր գաղտնագրերը, նամանավանդ հաշվի առնելով որ նույն վեբմաստերը պատասխանատու է մի շարք ուրիշ հայկական կայքերի համար:
- Շարունակեցի նամակագրվել, (մանրամասները հայտնելը անիմաստ է), խորհուրդներ տալով ու կոչեր անելով որ վիրուսները մաքրեն: Բոլոր ջանքերս ապարդյուն էին:
Հուլիսի 16
- Հայկի միջոցով իմացանք որոշ մանրամասություններ վիրուսի մասին: Մանրամասությունները իր գրառմամբ բերում եմ ստորև:
В коде, через аякс запрос обращаются к файлу
http**://www.daymoihk.info/amuse.php - он отдает вирус WIN32/PSW.LdPinch
trojan (это троян, который банально ворует пароли к асе, мылу, фтп и
т.д.), этот файл затем сохраняется с именем imageviewer.exe, а затем
он запускается. Все - система заражена.
Затем уже бот, получив с зараженной трояном системы пароли, по фтп
заходит туда, ищет индексный файлы и пихает в них джаваскриптовый код
для заражения компов.
- Մանրամասությունները միանգամից ուղարկեցի վեբմաստերին: Ավելացրեցի, որ քանի որ այսքան օր հետո հարցը դեր լուցված չէ, ես ստիպված եմ աղմուկ բարձրացնել հայկական թերթերում:
- ՈՒրիշ ճանապարհներով ընկերներիս փորձերը այս խնդիրը ներկայացնել պետական մարմիններին կարծես թե ինչ-որ արդյունքներ է տալիս, սակայն կոնկրետ հետևանքներ դեռ չկան- վիրուսը դեռ առկա է կայքում:
Հուլիսի 17
- Պատասխան է գալիս վեբմաստերից որ ինքը մուտք չունի կայքի կառավարմանը: Հավատացնում է, որ պետքական մարդկանց հայտնել է, որ փոփոխությունները մտցնեն: Իրավիճակը անհասկանալի: Արդյոք ու՞մ պատասխանատվությունն ու պարտականությունն է մաքրել կայքը: Ամեն դեպքում դեսպանատունը պարտավոր է քայլեր ձեռնարկել:
Հուլիսի 18
- Լռանում է
ա) 10 օր ինչ ես հայտնել եմ և՛ դեսպանատանը, և՛ վեբմաստերին վիրուսների մասին, բայց կայքը դեր չի մաքրվել և նոր այցելուներին դեսպանատան աշխատողները շարունակում են ուղարկել կայքի վարակված էջերից փաստաթղթեր քաշելու:
բ) Առնվազն 100 օր ինչ կայքը վարակված է (հնարավոր է որ շատ ավել):
գ) Առնվազն 100 օր ինչ կայքը համարվում է վնասակար Google-ի կողմից
Հուլիսի 19-21
- Ոչ մի փոփոխություն:
- Երկար տարակուսանքներից հետո հասկանում ենք, որ չունենք ուրիշ որևիցե ճանապարհ, քան թե բոլոր լեզուներով բոլոր հայկական թերթերին տեղեկացնենք իրավիճակի մասին: Հույս ունենք որ գոնե դա կստիպի պատասխանատու մարդկանց կատարել իրենց ուղիղ պարտականությունը: