Me gustan las botnets. No, no lo hagas (esto es malo), ¡pero estudia! Hacer una botnet en realidad no es tan difícil (es difícil de hacer, y NO te quedes atrás #). Una tarea mucho más interesante es obtener el control sobre otra botnet y hacerla inofensiva.
Trabajando en esta dirección, descubrí un servidor como parte de una botnet, cuyo nombre aún no conozco. Este servidor tenía altas características y pertenecía a un alojamiento web extranjero no muy grande. Altruismo jugando en un lugar me obligó a informar la amenaza a los propietarios del servidor. Lo que sucedió, te lo diré hoy. ¿Es posible sacar conclusiones de esta historia? Piensa por ti mismo.
Toda la correspondencia tuvo lugar en inglés. Debido a la gran diferencia en las zonas horarias, la conversación duró varios días. Al traducir al ruso, omití parte de la información crítica, mientras trataba de no perder el significado principal.
Una vez que ingresé al servidor y miré el nombre de host, inmediatamente me di cuenta de a quién pertenece el servidor dado. Al ir a la página principal de hosting, encontré dos formas de contactar al soporte: un formulario de comentarios y un enlace de chat en el messenger. Como no quería registrarme, elegí la segunda opción. Siguiendo el enlace, entré en un chat público, por lo que no revelé de inmediato todos los detalles.
Yo:
Buenas tardes! Encontré un nodo en su infraestructura infectado con una botnet. ¿A quién puedo contactar para más detalles?RM:
¿Cómo fue infectado? ¿Qué evidencia puede proporcionar que está infectada?... pausa ...
RM:
Puedes escribir @PT al respecto, pero dudo mucho que alguno de nuestros nodos sea parte de la botnet.I:
test1.domen.com es tu sitio?RM:
Oh, este nodo ya no está en uso, lo más probable. Todos los clientes web de él fueron transferidos a otro hosting.Sobre esto, el diálogo con
@RM se detuvo por un tiempo mientras hablaba con
@PT . Pero
@PT no fue muy acogedor, respondió todas mis advertencias con excusas "este servidor no es utilizado por nadie" y afirmó que no necesitaban ayuda. Por lo tanto, continué el diálogo con
@RM , pero ya en el chat privado.
Yo:
hay un usuario en su servidor con un par de nombre de usuario / contraseña muy simple. Esto se ha convertido en un punto de entrada para el software de botnet. Para asegurarse de que el servidor está realmente infectado, vaya a través de ssh y vea una lista de procesos en ejecución. Entre los procesos, verá muchos procesos con el nombre "tsm". Este es el software de botnet. Para deshacerse de él, intente eliminar los directorios /tmp/.ts y /tmp/.zx, y luego reinicie el servidor. En este caso, no olvide cambiar la contraseña.RM:
Hola, este servidor ya está fuera de línea. Entonces, si algo estaba allí, entonces ya no presenta ningún problema. Aprecio que intentes ayudar, pero esta máquina ya no es una amenazaYo:
Hmm ... ¿Qué dices de esto?
foto adjunta, donde me conecté con éxito al servidor Mi mensaje fue seguido por una pausa de varios minutos, lo que dio un pequeño drama al momento.
RM:
¿Sabes que has cometido un acto ilegal? Este es un acceso no autorizado, y debo notificar al Departamento de Cumplimiento.Yo:
Espero que entiendas que no tuve ninguna intención maliciosa y que solo estoy tratando de ayudarte.RM:
Entiendo, pero todavía necesito informar este incidente. Nunca deberías haber hecho eso. Un simple ping sería suficiente para demostrar que está en línea.
Yo:
¿Qué es el Departamento de Cumplimiento? ¿Es este un servicio federal o departamento de su empresa?RM:
departamento de la empresa.
El Departamento de Cumplimiento se ocupa de violaciones de los términos de servicio, quejas y problemas legales.Yo: ¿El
FBI vendrá por mí? =)RM:
No, no lo creo. No cooperamos con este servicio.Yo:
Quiero contarte un poco sobre mí para que entiendas mis motivos.
Soy un investigador de seguridad de la información (sombrero blanco). Por el momento, estoy desarrollando una herramienta para buscar nodos de botnet infectados y analizarlos más a fondo.
Mi programa contiene un honeypot (trampa de botnet). Su servidor cayó en esta trampa cuando intentaba atacarme. Ya he visto muestras de este tipo de software malicioso, así que aproximadamente sé cómo lidiar con ellos. Eres el primero a quien le ofrecí mi ayuda.
Espero que este incidente termine bien para mí y para ti.RM:
De todos modos, gracias por informarnos sobre este servidor. En un futuro cercano, desmantelaremos la unidad, como deberíamos haber hecho antes.PSEn el momento de la escritura, el servidor estaba disponible, pero ya no era posible acceder a él.