Geekly articles weekly

حصلت على الروبوتات ... (أو كيف شعرت بالخوف من مكتب التحقيقات الفيدرالي)

أنا أحب الروبوتات. لا ، لا (هذا أمر سيء) ، ولكن الدراسة! صنع الروبوتات في الواقع ليس بهذه الصعوبة (من الصعب القيام به ، ولا تتخلى عن #). مهمة أكثر إثارة للاهتمام هي السيطرة على الروبوتات الأخرى وجعلها غير ضارة.

بالعمل في هذا الاتجاه ، اكتشفت خادمًا كجزء من شبكة الروبوتات ، التي لا أعرف اسمها بعد. يتمتع هذا الخادم بخصائص عالية وينتمي إلى استضافة ويب أجنبية ليست كبيرة جدًا. الإيثار اللعب في مكان واحد أجبرني على الإبلاغ عن التهديد لأصحاب الخادم. ما الذي حدث ، سأخبرك اليوم. هل من الممكن استخلاص أي استنتاجات من هذه القصة - فكر بنفسك.

صورة

تمت جميع المراسلات باللغة الإنجليزية. نظرًا للاختلاف الكبير في المناطق الزمنية ، استمرت المحادثة لعدة أيام. عند الترجمة إلى اللغة الروسية ، حذفت جزءًا من المعلومات الهامة ، مع محاولة عدم فقد المعنى الرئيسي.
بعد أن دخلت الخادم ونظرت إلى اسم المضيف ، أدركت على الفور الجهة التي ينتمي إليها الخادم المحدد. بالانتقال إلى الصفحة الرئيسية للاستضافة ، وجدت طريقتين للاتصال بالدعم: نموذج الملاحظات ورابطًا للدردشة في برنامج المراسلة. بما أنني لم أرغب في التسجيل ، اخترت الخيار الثاني. بعد الارتباط ، دخلت في دردشة عامة ، لذلك لم أفصح على الفور عن كل التفاصيل.

أنا: مساء الخير! لقد وجدت عقدة في البنية التحتية الخاصة بك مصابة الروبوتات. بمن يمكنني الاتصال للحصول على التفاصيل؟

RM: كيف كان مصابا؟ ما الدليل الذي يمكن أن تقدمه على أنه مصاب؟
... توقف مؤقت ...
RM: يمكنك كتابة PT حول هذا الموضوع ، لكنني أشك كثيرًا في أن أي من العقد لدينا هي جزء من الروبوتات.

أنا: test1.domen.com هو موقعك؟

RM: أوه ، هذه العقدة لم تعد قيد الاستخدام ، على الأرجح. تم نقل جميع عملاء الويب منه إلى استضافة أخرى.

حول هذا ، توقف الحوار مع RM لفترة من الوقت بينما تحدثت مع PT . ولكن PT لم تكن ودية للغاية ، أجاب على كل تحذيراتي بأعذار "هذا الخادم لا يستخدمه أي شخص" وادعى أنهم لا يحتاجون إلى مساعدة. لذلك ، واصلت الحوار مع RM ، ولكن بالفعل في دردشة خاصة.

أنا: هناك مستخدم على الخادم الخاص بك مع زوج اسم مستخدم / كلمة مرور بسيط للغاية. لقد أصبح هذا نقطة دخول لبرامج الروبوتات. للتأكد من إصابة الخادم بالفعل ، انتقل إليه عبر ssh وشاهد قائمة بالعمليات الجارية. من بين العمليات سترى العديد من العمليات التي تحمل اسم "tsm". هذا هو برنامج الروبوتات. للتخلص منه ، حاول حذف الدلائل /tmp/.ts و /tmp/.zx ، ثم أعد تشغيل الخادم. في هذه الحالة ، لا تنسَ تغيير كلمة المرور.

RM: مرحبًا ، هذا الخادم غير متصل بالفعل. لذلك ، إذا كان هناك شيء ما ، فلن يمثل أي مشكلة. أقدر لك محاولة المساعدة ، لكن هذا الجهاز لم يعد يمثل تهديدًا

أنا: هم ... ماذا تقول عن هذا؟
الصورة المرفقة ، حيث قمت بالاتصال بنجاح إلى الخادم


تبعت رسالتي وقفة عدة دقائق ، والتي أعطت القليل من الدراما في الوقت الراهن.


RM: أنت تعرف أنك ارتكبت فعل غير قانوني؟ هذا الوصول غير مصرح به ، ويجب أن أبلغ قسم الامتثال.

أنا : أرجو أن تفهم أنني لم يكن لدي أي نية خبيثة وأنني أحاول مساعدتك فقط؟

RM: أنا أفهم ، لكن ما زلت بحاجة للإبلاغ عن هذا الحادث. يجب أن لا تفعل ذلك أبدا. سيكون الأمر بسيطًا كافيًا لإثبات أنه متصل بالإنترنت.


أنا: ما هي إدارة الامتثال؟ هل هذه خدمة اتحادية أو قسم لشركتك؟

RM: قسم الشركة.
تتعامل إدارة الامتثال مع انتهاكات شروط الخدمة والشكاوى والمسائل القانونية.

لي: سوف يأتي مكتب التحقيقات الفيدرالي بالنسبة لي؟ =)

RM: لا ، لا أعتقد ذلك. نحن لا نتعاون مع هذه الخدمة.

أنا : أريد أن أخبركم قليلاً عن نفسي حتى تفهم دوافعي.
أنا باحث في أمن المعلومات (القبعة البيضاء). في الوقت الحالي ، أقوم بتطوير أداة للبحث عن عُقد الروبوتات المصابة ومزيد من تحليلها.
يحتوي برنامجي على مصيدة لشبكة (مصيدة الروبوتات). وقع الخادم الخاص بك في هذا الفخ عند محاولة مهاجمتي. لقد رأيت بالفعل عينات من هذه البرامج الضارة ، لذلك أعرف كيف أتعامل معها تقريبًا. أنت أول من قدمت مساعدتي له.
آمل أن ينتهي هذا الحادث بشكل جيد بالنسبة لي ولكم.

RM: على أي حال ، شكرًا لك على إعلامنا بهذا الخادم. في المستقبل القريب ، سنقوم بإيقاف تشغيل الوحدة ، كما كان ينبغي لنا فعله سابقًا.

PS
في وقت كتابة هذا التقرير ، كان الخادم متاحًا ، لكن لم يعد من الممكن الوصول إليه.

Source: https://habr.com/ru/post/ar476058/

More articles:


All Articles