[...] Продолжение истории о массовых попытках взлома в июле 2025 года: из каких стран, с каких интернет-компаний, с каких IP-адресов в сентябре – и это уже закономерности

Дополнено... Да, рассказ о продолжительных попытках взлома и массовой кибератаке в июле месяце на сайт, выложенный в его статейно-новостном разделе, всё же получил своё продолжение. Очень мы надеялись, что что-то подобное всё-таки не повторится. Но как бы не так. В период после тех июльских событий до 9 сентября затем были лишь одиночные "поползновения". 9 и 10 сентября атаки продолжились тем же самым образом, что и в июле. Затем наступил период "фронтового" затишья, а 20 сентября попытки возобновились несколько в ином уже ключе на период в восемь дней. И что оказалось интересным: это были почти те же сетки IP-адресов, те же хостинги, интернет-провайдеры и интернет-компании, те же территории государств. И это уже говорит больше о "ручном" характере данных кибератак.

В этот раз мы не будем останавливаться на многочисленных теоретических вопросах – о них можно прочитать в первой статье, ссылка на неё – в предыдущем абзаце. Отметим важное фактическое обстоятельство изменения: в этот раз характер попыток взлома стал другим – не непрерывно в течение трёх дней (как в июле), а сериями в разное время суток в течение восьми дней. С другой стороны, неизменным осталось другое обстоятельство: злоумышленники (или ботнет) всё так же на прямом взломе используют всё те же "тупые" логины: admin, Admin, manager, editor и т.п. Довольно грубая и странная работа, не правда ли? Неужели они думают, что владельцы веб-сайтов уж совсем такие простачки, так глупы и безалаберны, что допускают такие уж совсем непрофессиональные промахи? Но, тем не менее, в компьютерной прессе в последний месяц продолжились публикации о безответственности работников отделов информационной безопасности российских компаний – например, вот и вот. Хотя именно безалаберность в логинах и паролях – это самый первый уровень уязвимостей. И для простого пользователя, и для контент-редактора большого серьёзного веб-сайта.

У этой "глупости" в применении взломщиками простых логинов может быть только одно объяснение: это проба сил, проба уязвимостей, проба ответственности. Это – разведка. Всё как на войне. Не работаете со своими уязвимостями, не закрываете наши атакующие IP-адреса, не собираете статистику о наших атаках, – значит, мы однажды нанесём вам реально сильный и серьёзный удар и сломаем, положим, заразим вашу ИТ-систему, подчиним её себе, загрузив в неё ботнет или какой-то другой нужный и выгодный нам функционал или сценарий. В кинофильме "Сноуден" главному персонажу и действующему лицу, когда тот работал в так называемом "Региональном центре управления секретными операциями по обеспечению безопасности" (англ. RSOC) на Гавайях (или это филиал АНБ в Оаху, Гавайи?), однажды по телесвязи говорит его друг, учитель и наставник по АНБ (выдуманный персонаж) Корбин О'Брайен (актёр Рис Иванс): "Да, 200 выявленных китайских IP – это действительно результат". Ибо, как мы упоминали в первой статье, – взломщики, обнаружив серьёзное сопротивление, обычно уходят.

Хакерские взломы не беспредельны, не безграничны. У них тоже есть свой ресурс, ограничения, граничные условия и различные обстоятельства. Они не ведутся из ниоткуда, у них всегда есть источник. Или, по крайней мере, последнее звено источника, которое как раз и выходит на конкретный веб-сайт или ИТ-систему. Выходит с определёнными параметрами, признаками и свойствами, которые и фиксирует панель управления вашей ИТ-системы. И вот с этими данными и необходимо работать.

Собирайте и изучайте статистику этих данных – это поможет выстроить ваши сценарии безопасности и предотвратить многие нежелательные события. Придумайте сложные логины и пароли. Регулярно меняйте их. Никогда и ни при каких условиях не пользуйтесь логинами типа admin, editor – этим вы на порядок облегчите взломщикам выполнение их задачи. Обязательно храните предыдущую пару логина-пароля – при восстановлении системы со старым паролем вы можете его и не помнить. Ведите дневник изменения контента сайта. При резервной его архивации всегда фиксируйте число файлов в очередной копии – это практически 100%-способ отслеживания появлений посторонних элементов в системе, своего рода контрольная сумма сайта. Один важный нюанс, который вообще не учитывают множество ИТ- и ИБ-специалистов: практически каждодневно вычищайте в CMS сайта так называемый кэш сайта – в нём могут оставаться всякие неведомые и непредсказуемые элементы. Кроме того, компьютер в офисе, с которого специалист занимается с сайтом, не должен быть "общественным компьютерным местом".

В заключение приведём обновлённый список интернет-компаний и стран, откуда исходят киберугрозы. В нём появились два-три-четыре новых европейских "фигуранта" (страны указаны), но сохранились и предыдущие (страны не указаны). Что довольно характерно, ожидаемо и объясняемо. И что как раз и говорит больше о ручном характере кибератак, чем о вездесущих "ботнетах". А по сему, лучше выявляемых и купируемых. Можете сравнить данный список с тем списком, который присутствует в первой статье. Напомним, ссылка на неё – в начале статьи. Отметим, самый "борзый" из них в прошлый раз – французский OVH SAS – почти отсутствовал в этот. Возможно, поняли, что от них ловить у нас больше нечего. В общем, у нас тоже – и своя – война.

• M247 Europe SRL
• Cogent Communications (Datacamp Limited)
• SURF B.V.
• Blix Solutions
• Fibergrid (Orion Network Limited)
• GleSYS Internet Services AB (GleSYS AB)
• 1337 Services GmbH – Нидерланды, Польша
• NFOrce Entertainment B.V. – Нидерланды
• Zencurity ApS – Дания
• AltusHost B.V. – Швейцария, Люксембург

Что ж, имеет смысл добавить некоторые дополнительные сведения и выводы. Ещё одну отдельную публикацию оформлять нецелесообразно, новую важную и значимую информацию лучше просто добавить. Вот так, прямо в исходном тексте, с маркером о дополнении/обновлении. Итак, продолжительная атака, о которой речь шла выше, была купирована блокировкой IP-адресов и прекратилась 29 сентября. После этого панель управления (ПУ) зафиксировала пять одиночных попыток взлома-доступа в ПУ: 4, 6, 13, 28 и 29 октября. И наши изложенные выше предположения подтвердились: теперь это были совершенно новые по IP-принадлежности сетки адресов и интернет-компании. Страны в этот раз: те же ушлые Нидерланды, Норвегия. Появилась Индонезия (её ранее не было вообще). Но именно интернет-компании и дата-центры – совсем другие. Иными словами, взломщики ищут новые IP-источники для своих кибератак. Что как раз и укладывается в сделанный выше вывод (а также в первой публикации): серии "рядом стоящих" IP-адресов кибератак, коллеги, следует закрывать один за другим и не лениться. В какой-то момент взломщики бросают эти диапазоны и более не тратят на них своё время и усилия, предполагая их полную диапазонную блокировку.

Подтверждая также наши опасения, продолжаются в компьютерной прессе публикации о нарастающих киберугрозах для веб-сайтов и ИТ-систем российских бизнес-компаний. Вот здесь специалисты пишут, что "один из ключевых инструментов – веб-фаервол (WAF), который позволяет фильтровать вредоносный трафик, блокировать попытки эксплуатации уязвимостей и предотвращать атаки до того, как они достигнут серверов". Собственно, его разновидность мы и пытаемся применить в защите сайта от взлома. Здесь поддерживается наша точка зрения о том, что это проба сил и разведка: "подобные атаки кратковременны и длятся не более 15 минут. Они используются хакерами для разведки, с целью определения реакции систем защиты, уровня автоматизации и "порогов срабатывания". С другой стороны, в публикациях по данной теме присутствуют сожаления о недостаточной степени ответственности ИТ- и ИБ-специалистов: "малый и средний бизнес сегодня максимально не подготовлен и не защищён от кибератак и кибермошенничества, так как не имеет ресурсов и системных знаний для оперативного реагирования". Что ж, коллеги, всё же не ленитесь и пытайтесь применять вышеизложенные методики, средства и возможности. Таким образом мы сможем коллективно противостоять данным киберугрозам и сводить их уровень к минимальным значениям – это попросту настоящая кибервойна, и она уже конкретно наша.

21-26 ноября случилась новая серия кибератак на сайт и попыток его взлома через непосредственно вход в панель управления (ПУ), используя подбор логинов и паролей. В этот раз мы наблюдали несколько иную тактику: сначала с трёх IP-адресов произошли единичные такие как бы "невинные" пробы доступа. (Ну, зашли не в ту дверь, оно самое.) Всё те же "глупые" слова в качестве логина: admin, admin2, seoadmin, senokosilka, edit, editor, content и т.п. Мы решили их чуток "прикормить" и не блокировать – в интересе за их последующими действиями. Но которые не заставили себя слишком долго ждать. Через несколько часов – с них же – обрушились настойчивые, но не слишком частные попытки доступа и подбора паролей. В течение последующих трёх-четырёх суток их заменили четыре других новых IP-адреса. То есть, в этот раз мы тщательно заблокировали безусловный в сумме доступ семи IP-адресам. И это происходило, как и раньше: сначала разведка, потом удар. И в этот раз мы решили вообще не стесняться и публикуем их список: IP-адрес, страна, город, интернет-компания. Обратите внимание: всё та же "M247" – по-видимому, реально рассадник ботов-взломщиков и полулегальных абонентов с намерениями "джентльменов удачи" и войны с веб-сайтами российских компаний:

• 89.208.107.124 – Нидерланды, Амстердам – Aeza International Ltd
• 146.70.198.60 – Канада, Монреаль – M247 Europe SRL
• 85.208.139.104 – ФРГ, Франкфурт – Stark Industries Solutions Ltd
• 185.90.60.212 – Финляндия, Хельсинки – EstNOC-Global (EstNOC OY)
• 109.111.197.138 – Бруней (Борнео), Бандар-Сери-Бегаван – M247 UK Ltd
• 130.195.221.163 – Финляндия, Хельсинки
• 37.0.12.227 – Малайзия, Джохор-Бару

Потом вскоре мы, как обычно, сделали регулярной процедурой очередное резервное архивное копирование всего сайта по разработанному нами авторскому протоколу с отслеживанием и фиксацией всех получающихся при этом показателей контрольных сумм. Они все совпали с их предыдущими значениями, которые были до этой последней серии кибератак и попыток взлома. Вывод: веб-сайт "чист", ничего внутрь его и в систему управления не проникло. Вот так это работает.

Итак, у нас новый эпизод кибератак. Воскресенье, вечер 7 декабря 2025 года. Ничто не предвещало как бы, с одной стороны. Да, приходится и в воскресенье держать руку на пульсе безопасности сайта. Мы уже практически начали вести в этой статье попросту блог безопасности сайта и дневник попыток его взлома. Хотя, почему ж не предвещало? Именно предвещало. Видимо, в воскресенье, а для кого-то и ранее в субботу, – пошла новая волна кибератак и попыток взлома сайтов российских компаний, организаций и учреждений. Почему предвещало? Мы уже который раз, который раз за последние полгода фиксируем просто поразительную синхронизацию с происходящей переговорно-политической стороной СВО. Две недели была тишина – взломщики сайт не трогали. Это было время анонса, подготовки и проведения очередного раунда переговоров – в Москве. Там вчера закончилось, сегодня началось в Интернете. Делаем или не делаем выводы. Ладно, оставим эти предположения и обратимся к фактам.

И в этот раз – вновь новая тактика: в качестве источника вредоносного трафика первый диапазонно-разрядный слой 45.99.22.0 – 45.99.22.255. Это уже хорошо знакомая M247 Europe SRL. Из городу Парижу. Они уже даже не стесняются. Причём – смотрите, это же Франция. Не участвующая в переговорах Франция. Знаете ли, наводит на очень невесёлые размышления. Как вам такая конспирология? Но вернёмся к действительности. И вот в этом случае нужно действовать быстро. Дело в том, что перебор IP-адресов из первой разрядности система может воспринять не как попытки чужеродного взлома, а как совершенно штатное перелогинивание реального администратора сайта по самым обычным каскадным IP-номерам его интернет-провайдера в случае штатных сбоев, обрывов или нестабильности интернет-подключения. В наше время всего уже следует ожидать: от воздействия солнечных вспышек до проблем с самим Интернетом. Поэтому блокировку в этот раз мы произвели с помощью так называемой бесклассовой адресации (англ. Classless Inter-Domain Routing, CIDR) – метода выделения и маршрутизации IP-адресов, позволяющего гибко управлять пространством IP-адресов, не используя жёсткие рамки обычной классовой адресации. Данный диапазон записывается в виде: 45.99.22.0/24 и помещается в стоп-листинги системного файла, о котором мы рассказывали ранее. "Захлопнув" сразу все 256 последовательных источниковых IP-адресов одной из парижских сеток данного хостера и провайдера M247 Europe SRL. ВЫ ЗАБЛОКИРОВАНЫ!

И вот в ночь с воскресенья на понедельник: 161.178.140.190, ec2-161-178-140-190.compute-1.amazonaws.com, США, Нью-Джерси, Piscataway, Amazon.com, попытки внедрения PHP. США, Амазон! ("Какие ваши доказательства?!"). "С удовольствием" включаем вас в блокировки.

Что ж, наверное, данная статья действительно начинает напоминать небольшой блог о безопасности сайта. А сама обстановка – театр военных действий. В ночь со среды на четверг 10-11 декабря 2025 года вновь "заокеанская" исходная точка кибератаки: 77.110.127.224, fibonacci.ptr.network, США, Северная Каролина, Шарлотт, компания Aeza International Ltd. У данной организации соответствующая IP-сетка: 77.110.120.0/21. ЗАБЛОКИРОВАНО. Кстати говоря, из числа IT-специалистов – любителям задавать "неудобные" вопросы заранее отвечаем: из "Журнала событий" панели управления (ПУ) сайтом мы подробно, по каждому случаю кибератак, тщательно сохраняем архивным образом все скриншоты, иллюстрирующие и подтверждающие данные факты. Всё закрепляется, документируется и протоколируется.

В этот тихий воскресный день 14 декабря 2025 года так же тихо к нам в панель управления (ПУ) сайтом постучались с 194.110.207.62, Норвегия, Саннефьорд, компания "TerraHost". Но мы им вежливо отказали. И так же вежливо заблокировали эти источниковые данные. Теперь же это была единичная проба. Видимо, в надежде, что эта одиночная запись в "Журнале событий" затеряется среди других. В расчёте на последующую потом более серьёзную кибератаку. Не-а, ребята, вы не на тех напали. Обратим внимание: после разнообразных шквальных попыток выломать дверь ПУ этакая невинная единичная "просьба". Чем дальше идут все эти кибератаки и попытки взлома, тем больше у нас уверенность об их совершенно планомерных и продуманных алгоритмах и методиках навредить сайтам российских компаний. Эти алгоритмы и методики никогда не повторяются и всегда каждый раз имеют новую тактику и содержание. Дескать, мы вас возьмём не так, так этак. Нет, не возьмёте.

А вот эта попытка взлома стала немного неожиданной. 20.12.2025, 22:23 (время московское), IP-адрес 94.19.10.143, полный адрес 94.19.10.143.pool.sknt.ru, сетка 94.19.0.0/16, Россия, Санкт-Петербург, SkyNet Ltd., сайт sknt.ru. Хотя исходные российские IP-адреса "засвечивались" эпизодически и раньше – с весны по осень 2025 года. Совсем немного, но были, – с десяток. Так же заблокировано. Решил, видимо, соригинальничать: логин для взлома выбрал – admin1. Ха-ха-ха!.. Коллеги, что у вас в хозяйстве творится? Или у вас завёлся крайне любопытный специалист либо клиент, который прочитав данную статью, решил попробовать, что ли? А он не думал о возможных последствиях? Мы, как видите, совсем не церемонимся со "страждущими". Сразу же показываем их "лицом". Хотя тут подойдёт больше именно "противоположная" часть тела. А он не думал, что мы можем написать официальный запрос в руководство компании, а также в Роскомнадзор? Прямая попытка неправомерного доступа и взлома в нашем российском уголовном законодательстве – статья. Статья 272 УК РФ от 13.06.1996 N 63-ФЗ (ред. от 17.11.2025, с изм. от 17.12.2025 – на момент написания данного абзаца). В ней срока – до семи лет.

Следующий инцидент произошёл уже на следующий день. Старая добрая старушка Европа, – ну как же без неё-то в таких делах! Дата 21.12.2025, время (также московское) 08:05, IP-адрес 5.178.101.252, страна – ФРГ, населённый пункт – Франкфурт, компания – Itm Nord As. Характер кибератаки – попытка внедрения PHP. Этим, как говорится, всё мало. Что ж, любуйтесь теперь здесь вашей вывеской. Также к позорному столбу на всеобщее обозрение. Как говорится, до скочнания времён. Чтобы о вас знали честные и благородные люди. Заблокировано.

Новый эпизод – уже через два дня. Да, мы понимаем, – выполнение и перевыполнение предновогодних планов и замыслов. Дата 23.12.2025, время (московское) 13:24, IP-адрес 185.229.221.161, их локальная диапазонная сетка – 185.229.221.0/24. Местоположение: Швеция, Стокгольм. А вот компания оказалась та же – Itm Nord As. Характер кибератаки – всё та же попытка внедрения PHP. Ну вы и "умники"! Грубо работаете. Заблокировано.

Ну, а эти отпраздновали в этот момент, надо полагать, Рождество. С индейкой. Под конец, видимо, решили вот так своеобразно подразвлечься. Дата 26.12.2025, время (московское) 16:38, IP-адрес 45.38.20.104, локальная сетка 45.38.20.0/24. Местоположение: США, штат Вашингтон, населённый пункт – Liberty Lake. "Озеро Свободы", куда уж там! Компания – Aokigahara SRL. Заблокировано.

Ну, а по поводу этого инцидента у нас даже попросту нет эмоциональных реакций. Сразу выложим сведения. Дата 29.12.2025, время (московское) 05:46, IP-адрес 176.99.251.44, полный адрес 176.99.251.44.inetcom.ru, сетка 176.99.128.0/17 – довольно крупная сетка. Местоположение: Россия, Москва, ГИМ. Компания: Intercom Carrier LLC, ООО "Инетком". Сайт: inetcom.ru. Характер кибератаки: попытка атаки через XSS: $_SERVER["REQUEST_URI"], $_SERVER["QUERY_STRING"]. Да, это вновь российский интернет-провайдер. Что такое ГИМ? Вы будете удивлены: это – Государственный исторический музей. Да, тот самый, который на Красной площади в Москве. IP-геолокация на одном из IP-анализаторе показала именно это здание. Кстати тоже, пару раз это же показывалось летом 2025 года.

Мы хотим спросить: ребята, вы совсем с ума сошли с этой вашей попыткой взлома? Успешно отработана и заблокировано. Зачем вы это делаете? Это не вы, вас используют как прокси враги из-за рубежа? Ну, тогда всё ещё хуже – ваша система феерически дырявая. У вас такой спортивный интерес? Это ваш клиент или ваш сотрудник? Это мальчик, который в красной кофточке на заставке сайта? Или который в нелепой позе на велосипеде для малышей? Или девочка в кресле? Вы зачем нам и нашим клиентам пытаетесь создать проблемы? Людям, которые производят сельхозтехнику и люди, которые выращивают и собирают с её помощью урожай? Которые работают для того, чтобы у таких зумерков, как вы, на столе каждый день были хлеб, молоко, мясо, картошка! Другие, такие как вы, атакуют, к примеру, управление российскими энергосетями. Чтобы погибли ваши же близкие – в железнодорожных экспрессах и авиалайнерах? Или что? А по времени – это уже совсем знаково совпадает с событием на Валдае. Это уже не компьютерное хулиганство, это уже статьи посерьёзней – которые вплоть до пожизненного.

Открываем счёт в новом, 2026 году. Первый инцидент уже 6 января. Точные данные следующие. Дата: 06.01.2026, вторник. Время (московское): 02:40. IP-адрес: 195.226.194.95, локальная текущая IP-сетка: 195.226.194.0/24. Местоположение: Нидерланды, Амстердам. Компания: Hostkey B.v., Snowd Security Ou. Сайт/домен: snowd.com. Попытка взлома через XSS. Плюс ко всему на этот счёт на сайте специальная защита по этому способу атаки. Ну, и конечно же, как же без вас, – пресловутые Нидерланды. Во всё последнее время с ваших "айпишников" немало ломилось идиотов в нашу панель управления. Заблокировано. Пока один IP-адрес. Ежели рискнёте ещё раз - закроем всю данную эту IP-сетку. И привет.

Итак, наконец-то что-то совсем нестандартное случилось вечером 8 января. Ну прямо пришествие какое-то явилось. Весь вечер ломились с 4-х российских IP-адресов. И подумать только: взломщики использовали в качестве логинов антироссийские лозунги! Ну зачем же так позорно себя обнаруживать?.. Спасибо, мы посмеялись. Думается, хорошо мы посмеялись, потому что персонал и руководство наших соответствующих "засвеченными" IP-адресами российских телеком-компаний смеяться уже не будет. Это: Moscow City Telephone Network – Москва; Grand Ltd, Умные Сети – Москва; CJSC ER-Telecom Holding – Тула и PJSC Rostelecom. Сами IP-адреса и подробности не приводим "из вежливости". Пока не заблокировали, но при первом же повторе этого позора отправим в блокировку не задумываясь, а также изложим все подробности. Всё-таки недаром на cnews.ru немало статей про "квалификацию" ваших работников.