# Форум на русском языке  > Новости  > Новости интернет-пространства  >  Взломан QIP.ru

## Shu_b

*Взломан QIP.ru*

Сегодня ночью был взломан официальный сайт популярного мессенджера мговенных сообщений qip.ru.

На главной странице сайта были опубликованы нецензурные выражения в адрес админов портала. Возможно также был подменен дистрибутив QIP IM клиента.

На сайте были выложены пароли к административному интерфейсу портала, в связи с чем главная страница на некоторое время была превращена в чат, в котором любой зашедший пользователь мог добавить произвольное сообщение.

securitylab.ru

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Rudel

http://www.xakep.ru/post/47864/default.asp

"..."Топовые" программные продукты, распространяемые на бесплатной основе, зачастую пользуются такой популярностью, что пользователи доверяют их авторам всецело, совершенно забывая о собственной безопасности. Чтобы разрушить весьма распространенный миф о том, что "популярно - значит надежно", мы займемся исследованием раскрученного на территории СНГ интернет-пейджера QIP.
Пробиваем "непробиваемую" броню

В одном из выпусков рубрики "Easyhack" я рассказывал, как модифицировать QIP так, чтобы он выдавал введенный пароль при помощи использования MessageBoxA. Естественно, я не стал раскрывать все карты сразу и описывать обход защитных механизмов – исключительно для того, чтобы разработчики залатали дыры, а хакеры не использовали информацию в корыстных целях, для создания "нового релиза" QIP с функцией воровства аккаунтов.

Прошло достаточно времени, и я решил углубиться в увлекательную исследовательскую работу. Вместе с тобой мы попробуем пропатчить qip.exe таким образом, чтобы он записывал введенные пользователем пароли в файл..."

***************
К вопросу "а зачем".

----------


## Damien

> попробуем пропатчить qip.exe


так поэтому и говорят, что софт надо качать с оф. сайтов, не пользоваться чужими сборками XP и т.д.
В принципе - в любую программу можно встроить любой механизм.
Гораздо проще это сделать если есть исходники. Взял исходники миранды, настроил отправку логов по фильтрам слов и рекламируй как самую удобную сборку  :Smiley:

----------


## anton_dr

> так поэтому и говорят, что софт надо качать с оф. сайтов


Что и делали сегодня ночью многие пользователи. Как знать, какая версия была в тот момент доступна... Хотя, скорей всего, не патчили. В этом случае пароли бы стал выкладывать только дурак. Ведь чем незаметнее - тем дольше оставалась бы модифицированная версия в свободном доступе.

----------


## Muzzle

вот она проблема популяризации  :Smiley:

----------


## SDA

скриншот взломанного сайта http://www.xakep.ru/post/48139/default.asp

----------


## Damien

> Что и делали сегодня ночью многие пользователи


есть такая отечественная пословица - утро вечера мудренее.




> скриншот взломанного сайта http://www.xakep.ru/post/48139/default.asp


есть более подробный скрин с объяснениями:

http://xmages.net/out.php/i215238_qip.png

----------


## Shark

На сервере Jabber.ru есть конференция в которой высказывалось недовольство Infium'ом и его пользователями, а также высказывались намерения уничтожить Qip.ru.

Chat :@: conference.jabber.ru

*Добавлено через 13 минут*

Damien, а откуда у Вас сведения о подробностях?
Очень странно это всё....
Но вполне понимаемо. Передайте своим друзьям, что вне зависимости от того, куда и как Вы спрячетесь за Вами всё равно придут. Рано или поздно.

*Добавлено через 43 минуты*

*Внимание всем!*
Текущий дистрибутив Инфиума скачан и будет отправлен на исследование. Результаты будут выложены здесь же!

----------


## Shark

В связи с опубликованием новости о взломе сайта мессенджера QIP.ru мной было проведено небольшое расследование.

Убедительная просьба ко всем читающим школьникам: *не нужно спекулировать на чужой беде и рекламировать Миранду. Это наносит вред самой Миранде и приводит к многочисленным конфликтам!
Просто нужно уяснить раз и навсегда: труд одного человека стоит труда тысячи человек! И человек, способный на это в одиночку, стоит тысячи людей!*

_[Пользуясь случаем,хочу принести публичные извинения группе разработчиков проекта Miranda IM и извиниться перед Вами за причинённые Вам неудобства.]_




> Что и делали сегодня ночью многие пользователи. Как знать, какая версия была в тот момент доступна...



Была доступна *оригинальная* версия QIP Infum 9030.
Двухсторонняя, неразрушающая проверка файла показала, что целостность Архива QIP Infium 9030 сохранена.

Ответ Инфа:



> Доступа к download.qip.ru из http://www.qip.ru нет, поэтому никто и не сможет заменить дистрибутивы из CMS.


Вы можете проверить Правоту этих слов при помощи контроля MD5 (требуемый файл прикреплён как вложение в этом посте.)

С 8:00 MCK по настоящее время все сервисы , предоставляемые qip.ru через Клиент QIP Infium, *функционируют в полном объёме.*
Подозрительных манипуляций с Аккаунтом @qip.ru и другими аккаунтами замечено не было.




> Хотя, скорей всего, не патчили. В этом случае пароли бы стал выкладывать только дурак. Ведь чем незаметнее - тем дольше оставалась бы модифицированная версия в свободном доступе.


Судя по результатам  проверки действовал дилетант. По сведениям из осведомлённых источников пострадал только Форум.




> >Уважаемый Inf скажите пожалуста почему лежит форум квип, это как-то связано с
> >ночным происшествием?
> 
> Форум пока отключен, потому что пароль одного из админов был также сохранен в этой злосчастной админке новостей и в него успели запустить свои ручки горе-хацкеры. Его надо приводить в порядок, но у всех сейчас выходной, так что возможно его начнут приводить в порядок после 11 числа. Ссылка на оригинал


*Подтверждённая контрольная сумма дистрибутива: ac0994e7b9969bcf9b4cc127c315ea6a*

----------


## ALEX(XX)

Спасибо за информацию

----------


## Shark

Пожайлуста. Просто ресурс наш читают многие и было бы неплохо, если итоги моего расследования станут известны.

----------


## VirCode

> Судя по результатам проверки действовал дилетант.


Сомневаюсь скорее всего целью был просто дефейс, потому что доступ к админке был получен.



А так же взломан блог одного из администраторов: 
Картинка

По сведениям пароль являлся номером сотового телефона администратора.

Кстати после данного случая на сайте плати.ру в продаже появилась база данных пользователей qip.ru - http://www.plati.ru/asp/pay.asp?idd=776222 
(на данный момент он удалён, но как видно из заголовка товар существовал. И на момент моего посещения было 2-ое покупателей). 
Однако есть подозрения что это был просто фейк и база не утекла (да насколько мне известно пароли находятся на другом сервере (storage.qip.ru), поэтому скорее всего пароли не были "украдены"). Это подтвержает и сам администратор (он же INF):



> >Вопрос №1: утекла ли база паролей пользователей QIP Infium?
> Нет, админка CMS сделана для управления новостями, страницами, пользователями (которые пишут новости, модерят странички), которые в ней созданы. Это локальная система управления сайтом, которая не выходит дальше http://www.qip.ru. Учетные записи джаббера и прочие сервисы никак не связаны с CMS http://www.qip.ru.


Его блог: http://www.inf.ru.


P.S c днём победы и с выходом России в финал чемпионата мира по хоккею  :Smiley:

----------


## petyanamlt

> Судя по результатам проверки действовал дилетант.


Ну да, конечно. Это значит что у вас работают дилетанты (мягко сказано).



> С 8:00 MCK по настоящее время все сервисы , предоставляемые qip.ru функционируют в полном объёме.


Не правда, форум до сих пор не работает. 21:45

----------


## Shark

> Ну да, конечно. Это значит что у вас работают дилетанты (мягко сказано).
> 
> Не правда, форум до сих пор не работает. 21:45


Неплохо для Juniora. Вы хоть знаете, о чём эта новость?
*О том, что QIP Infium 9030.exe изменениям не подвергался!* 

Если Вы считаете по-другому, пожалуйста, снимите MD5 и выложите сюда!

----------


## petyanamlt

> С 8:00 MCK по настоящее время все сервисы , предоставляемые qip.ru функционируют в полном объёме.


Это для кого написали а?

----------


## Shark

Для людей, которые будут юзать QIP - Infium с полным набором: SIPNet, Jabber, GTalk и прочих Сервисов!

*Добавлено через 6 минут*




> Однако есть подозрения что это был просто фейк и база не утекла (да насколько мне известно пароли находятся на другом сервере (storage.qip.ru), поэтому скорее всего пароли не были "украдены")


Подтверждаю. Все сервисы клиента Фукнционируют в обычном режиме.

----------


## petyanamlt

Во вторых писать 


> Судя по результатам проверки действовал дилетант.


 это нечто, вас поимели на весь рунет, а это оказываеться был дилетант. В таком случае вам очень повезло, что это был не профессионал, страшно подумать что бы он мог натворить.  Да и безопастность вашего сайта не внушает доверия, тем более что инфиум по умолчанию хранит пароли на своем сервере, завтра к примеру и его похакают, опять скажете пработал дилетант? В любом случае квипом не пользуюсь и другим не советую.
И почему вы так резко на критику реагируете? Сразу обзываться, конструктивно тяжело ответить? Вы случайно не один из админов форума qip? Они точно также реагируют.
За сим откланяюсь.

----------


## Shark

Я случайно просто Пользователь. А Вы случайно не Миранду юзаете?
Читать надо, о чём Вам пишут. Я тоже не прочь откланяться.

*Добавлено через 7 минут*

VirCode, скажем так: дефейс давно баян. Детская забавка для зудящих прыщей. А если протрояненный дистриб подкинули - это уже серъёзно. Речь шла именно об этом.

----------


## ALEX(XX)

*Shark* прав, логичнее было бы подменить дистр клиента и напихать в него, чего душа пожелает.. И сделать это очень тихо, очень-очень  :Smiley:

----------


## Shark

*Добавлено через 4 часа 56 минут*




> Не правда, форум до сих пор не работает. 21:45






> Asus пишет:
> >Уважаемый Inf скажите пожалуста почему лежит форум квип, это как-то связано с
>  >ночным происшествием?
> 
> Форум пока отключен, потому что пароль одного из админов был также сохранен в этой злосчастной админке новостей и в него успели запустить свои ручки горе-хацкеры. Его надо приводить в порядок, но у всех сейчас выходной, так что возможно его начнут приводить в порядок после 11 числа. Ссылка на оригинал


Убедительная просьба ко всем читающим школьникам: *не нужно спекулировать на чужой беде и рекламировать Миранду. Это наносит вред самой Миранде и приводит к многочисленным конфликтам!
Просто нужно уяснить раз и навсегда: труд одного человека стоит труда тысячи человек! И человек, способный на это в одиночку, стоит тысячи людей!*

----------


## DoSTR

А вот так выглядела взломанная страница форума forum.qip.ru:

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Shark

Школьнеги.... И это хотят выдать за что - то серъёзное? Просто смешно!
Настоящие короли взлома так не поступают! Они из этого выросли!
Вот комп по ветру дымом пустить - это да! А со страничками так заморачиваться - ну глупо просто даже думать об этом!

----------


## Trurl

Моё мнение что взлом был ради "развлечения"
Помойму это очевидно, судя по ярким надписям. Несоотвествие получаеться... если бы хацкер настолько тупой был, что бы не причинить вреда и/или не использовать взлом в корыстных целях он бы и взломать не смог мне кажеться..
А так - навредить целью не являлось, зато "повеселился".
И сам хацкер наверное qip-ом пользуеться... :Cheesy:

----------


## valho

static.pochta.ru при заходе из firefox всегда автоматом пытаются поставить с data.addons.qip.ru/download/downbar.xpi тулбар, зачем?

----------


## Shark

Результаты исследования и комментарии из первых рук: Взлом QIP.ru : итоги независимого расследования. Ответы на вопросы.

----------


## Shark

> Моё мнение что взлом был ради "развлечения"
> Помойму это очевидно, судя по ярким надписям. Несоотвествие получаеться... если бы хацкер настолько тупой был, что бы не причинить вреда и/или не использовать взлом в корыстных целях он бы и взломать не смог мне кажеться..
> А так - навредить целью не являлось, зато "повеселился".
> И сам хацкер наверное qip-ом пользуеться...


Ломал не опытный хакер. Это был малолетний взломщик.  Судя по картинке дефейса. В пользу моей версии говорит и тот факт, что дефейс не практикуется в среде опытных хакеров. Они иногда компы жгут, если они им мешают. И данные воруются очень тихо и незаметно, а не напоказ.

*Добавлено через 3 часа 46 минут*




> static.pochta.ru при заходе из firefox всегда автоматом пытаются поставить с data.addons.qip.ru/download/downbar.xpi тулбар, зачем?


Ответы Вы можете найти здесь.
Официальных упоминаний о данном плагине на сайте qip.ru нет.
Сам Аддон абсолютно безопасен и бесполезен

*Добавлено через 8 часов 45 минут*

Удивительно, но многие Сервисы не имеют к QIP никакого отношения.
Сервис МикроБлогов, Аддон к FireFox - *всё это "заслуга" партнёра проекта: компании РБК*.
Пользуясь предоставленной возможностью хочу принести Вам извинения за причинённые неудобства.

----------


## steelrat

> Ломал не опытный хакер. Это был малолетний взломщик.  Судя по картинке дефейса. В пользу моей версии говорит и тот факт, что дефейс не практикуется в среде опытных хакеров. Они иногда компы жгут, если они им мешают. И данные воруются очень тихо и незаметно, а не напоказ.


Иногда и на показ ломают. А вот рассказы о соженных компах - это страшилки малолетних школьников для малолетних школьников.

----------


## valho

На nm.ru тоже любят ставить этот тулбар

----------


## Shark

> На nm.ru тоже любят ставить этот тулбар


Везде будут пихать. Где хостер РБК. Это их самодеятельность. Кстати, о всех нововведениях в Сервис разработчики сообщают на сайте. И всегда сообщали. Очень жаль, что такое безобразие со стороны РБК имеет место.

*Добавлено через 25 минут*




> Иногда и на показ ломают. А вот рассказы о соженных компах - это страшилки малолетних школьников для малолетних школьников.


Как знать: всё бывает в нашем странном, удивительном мире....  :Cool: 

Только не говорите мне, что Ачат - пристань взрослых взломщиков. Я в это никогда не поверю.

----------


## TANUKI

Взлом сайта можно назвать оздоровительной оплеухой (которой обычно лечат обмороки). Может наконец-то дойдет до команды QIP, что ошибки, на которые им указывались годами пора бы исправить. 

Это только добавит популярности Миранде, Крысе и официальному ICQ. 

Судя по результатам, команда QIP сплошь дилетанты, раз многолетние дырки, на которые им уже все задолбались указывать закрыть не могут. 
И ломали их just for fun (наверняка двачеры, их стиль). И сделано это для двух задач:

1. Встряхнуть разжиревшие мозги команды, что бы она наконец-то начала что-то делать, а не клепать свисто софтины под чутким руководством маркетологов из РБК.

2. Показать грамотным людям, что пользоваться этим продуктом очень не безопасно. Сегодня just for fun из-за ротозейства админов сломали главную, а завтра тихо-тихо подсунут в обновления протрояненый дистрибутив и базы сольют. 

И не пионеры-школота ломала, а вполне опытные люди. Просто задача троянить дистр и сливать базы не стояла, а вот привселюдно опустить - да. И задача была достигнута. 




> По сведениям пароль являлся номером сотового телефона администратора.


Дополню, что по словам самого INF пароль был украден из новостной админки qip.ru, по причине того, что тех служба не скрыла админку надлежащим образом. Это полный алесс цурюк! Один создает типа-пароль, другие не могут его даже нормально спрятать.

О какой серъезной защите может идти речь? Неужели в QIP не осознают, что подвергают опасности не только себя, но и своих пользователей? 




> Да и безопастность вашего сайта не внушает доверия, тем более что инфиум по умолчанию хранит пароли на своем сервере


Этот факт прогиба и тупое набивание базы перед инвестором меня тоже всегда улыбал. Опять же, о безопасности пользователей никто не думает. QIP считает, что у них серваки надежней, чем у AOL. Это при том, что на одном сервере с QIP лежит куча эдальт-сайтов с порно, что тоже как бы намекат нам... 




> Очень жаль, что такое безобразие со стороны РБК имеет место.


удобно обвинить во всех бедах сволоч-хозяина. 

P.S. В очередной раз убедился, что нормальный QIP закончился на версии 8. Дальше пошли маркетинговая фигня, хранение базы непойми где и полной пофигизм к privacy пользователей. 

В срочном порядке удалил его из нетбука девушки и строго-настрого запретил пользоваться этой опасной поделкой. Благо есть Крыса и официальный ICQ (ей нравится ICQ Lite). Да-да, я гордый пользователь ICQ 6.5, ибо кайф от сбора Миранды по кирпичам уже прошел  :Smiley:

----------


## ALEX(XX)

Qip — Очередной взлом или… 
http://habrahabr.ru/blogs/infosecurity/59811/

----------


## Shark

Взлома не было. Сервисы функционируют в штатном режиме. Имхо, просто нагнетание Истерии.

Ссылки никуда не годятся. Ни на Хабр, ни на СекуЛаб. Исполнитель прокололся.
Ничего личного - просто ссылка на дефейсе уже не даст откреститься.

----------


## Shark

Кстати, есть вполне правдоподобная версия, говорящая о том, что за этим ссылочным инцидентом может стоять AOL, недополучающая львиную долю прибыли от клиентов, не поддерживающих рекламу. Ребят просто подставили.

----------


## SDA

Поподробнее:
Сайт популярного мессенджера QIP снова подвергся атаке. Как и в прошлый раз, злоумышленники настоятельно рекомендуют пользователям отказаться от использования ненадежного ПО.
Официальный интернет-портал программы для обмена мгновенными сообщениями QIP был повторно взломан. В отличие от первой атаки, когда хакеры не меняли структуры главной страницы, а только внесли изменения в наполнение сайта, на этот раз злоумышленники пошли еще дальше.

Сегодня ночью qip.ru был полностью видоизменен: глазам посетителей предстало сообщение неизвестных авторов, скрашенное мрачным изображением персонажа из триллера «Пила». В своем послании они настоятельно советуют пользователям прекратить использовать мессенджер QIP Infium, так как он по умолчанию хранит пароли на своих серверах, из-за чего важные данные могут попасть в руки «плохих людей».

«Доброжелатели», так и не назвавшие своих имен, оставили пользователям последний шанс, правда, так и не назвав сроков и условий своего загадочного ультиматума. В качестве альтернативы робин гуды предложили пользователям перейти на протокол Jabber и IM-мессенджер Miranda (и Miranda, и Jabber являются свободными для распространения и используют открытые исходные коды).

Совершенно непонятно, какую истинную цель преследовали хакеры. Даже несмотря на то, что они осознанно предлагали пользователям перейти на конкретные технологии и программы, маловероятно, что эта акция имеет какое-либо отношение к Miranda или Jabber. Скорее всего, подобная травля имеет «благотворительные» цели: уберечь или хотя бы проинформировать посетителей о потенциальной опасности.

Стоит отметить, что хотя злоумышленники и используют зловредные методы, чтобы донести свои слова до широкой общественности, их слова небезосновательны. Так, вместо обращения в своем письме они используют номер ICQ посетителя сайта, что лишний раз доказывает, что технологии хранения пользовательских данных сайта qip.ru несовершенны. 
Как и в прошлый раз, последствия атаки были оперативно устранены и сейчас главная страница ресурса нормально функционирует. Правда, разработчики QIP умалчивают об инциденте – последняя запись в разделе подфорума «От администрации» датирована февралем 2009 года.
опубликовано 18 мая ‘09 14:17
http://www.infox.ru/hi-tech/internet...wn_again.phtml

----------


## altai-online

После первого инцидента я отказался от использования qip infium и поменял везде пароли (как теперь видно не зря). Мне не трудно запускать 2-3 программы: Icq lite, Psi, Mail Agent. Да и знакомым теперь не буду ставить qip по двум причинам:
- принудительное хранение паролей
- смена протокола icq

----------


## DVi

Mail Agent я бы тоже не рекомендовал. Ровно по тем же причинам, что и QIP.

----------


## ScratchyClaws

Не хочется поддерживать холивар кип vs. миранда, но в случае с неколькими мессенджерами *в одном флаконе* считаю миранду идеальным решением.
меил агент в ней тоже есть.

а как связанны кип и смена протокола icq??

----------


## Shark

Перестаньте нагнетать панику. Последний дефейс был оперативно ликвидирован средствами дежурных Администраторов. Давайте не будем походить на Хабр и Секулаб- они уже поперёк горла сидят.




> а как связанны кип и смена протокола icq??


Квип, как и Миранда, - альтернативный клиент. С этим идёт борьба. AOL борется за "чистоту" рядов.




> Mail Agent я бы тоже не рекомендовал. Ровно по тем же причинам, что и QIP.


Не могли бы Вы озвучить свои рекомендации?  :Cheesy: 

Нет скрытой рекламе табака!  :Cool: 




> - принудительное хранение паролей


Самый простой способ: перестать пользоваться электронной почтой и любыми сервисами, которые требуют обязательной регистрации. Есть способ проще: уничтожить всё сетевое оборудование вместе с компьютером.
Кстати, локальное хранение паролей не убережёт Вас от их утери.




> - смена протокола icq


Извините - это не к нам. А то, что Миранда вставала лишь однажды не говорит ни о чём.

*Добавлено через 52 минуты*

Господа Мирандовцы!
Очень не хочется ещё один сюрприз публиковать. Поэтому давайте воздержимся от скрытой рекламы и смакования чужих мелких пакостей.

*Добавлено через 8 минут*




> Правда, разработчики QIP умалчивают об инциденте


Они делом заняты. Разносить новости - Ваша прерогатива.

Воздержитесь от реплик - они не изменят моей позиции по данному вопросу.

----------


## Орион

Все ерунда, все уже нормально. Что раздувать пустой ветер  :Smiley:

----------


## priv8v

Хоть я и пользуюсь квипом, но с удовольствием бы узнал *как* их хакнули второй раз...
 :Smiley:

----------


## ScratchyClaws

> Господа Мирандовцы!
> Очень не хочется ещё один сюрприз публиковать. Поэтому давайте воздержимся от скрытой рекламы и смакования чужих мелких пакостей.


честно говоря не имею ничего против кипа-не-инфиум. Но ваши сообщения против миранды откровенно раздражают. Вместо того, чтобы придерживаться темы обсуждения - взлома страницы qip.ru и связанных с этим угроз, вы уже на втором форуме (а может и ещё на нескольких) об****те альтернативные клиенты, особенно миранду (своего основного конкурента). Более того, позволяете себе угрозы и практически *шантаж*.

Вас так разозлило мое упоминание миранды? Я считаю, что человек имеет полное право знать, что кроме кипа есть другие альтернативные клиенты. Никто его не принуждает их использовать.

Очень рекомендую пересмотреть свою политику поведения на этом форуме.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Shark

Про угрозы я упомянул в Самом начале. Если хотите, могу предоставить скриншот, в котором Миранда упоминается в связи с Квип. Негативной связи. Хотите?
Ничего личного.

*Добавлено через 2 минуты*

Just a moment, pleace.

----------


## Shark

Вот это вот что? Галлюцинация?
К Вашему сведению: Миранда у меня тоже живёт. И благополучно с Квипом соседствует.

----------


## Shark

Пусть мнение будет. Зачем его навязывать? Вот таким вот способом?
И было бы красиво поступить так с Мирандой? Думаю нет.
_Вот теперь всё окончательно понятно.... А всё действительно закончилось - правда не для всех, видимо.
Where is objectivity? Not Answer...._

*Добавлено через 20 минут*




> Я считаю, что человек имеет полное право знать, что кроме кипа есть другие альтернативные клиенты. Никто его не принуждает их использовать.


Что мешает создать специальную тему? Обязательно делать это в теме с говорящим названием? Или я что - то не понимаю?

----------


## anton_dr

Тема закрыта.

----------

