Ich mag Botnets. Nein, nicht (das ist schlecht), sondern lernen! Das Erstellen eines Botnetzes ist eigentlich nicht so schwierig (es ist schwer zu machen und NICHT hinter # zu kommen). Eine viel interessantere Aufgabe ist es, die Kontrolle über ein anderes Botnetz zu erlangen und es unschädlich zu machen.
Als ich in diese Richtung arbeitete, entdeckte ich einen Server als Teil eines Botnetzes, dessen Namen ich noch nicht kenne. Dieser Server hatte hohe Eigenschaften und gehörte zu einem nicht sehr großen ausländischen Webhosting. Der Altruismus an einem Ort zwang mich, die Bedrohung den Serverbesitzern zu melden. Was dabei herausgekommen ist, erzähle ich Ihnen heute. Kann man aus dieser Geschichte Rückschlüsse ziehen - überlegen Sie es sich.
Der gesamte Schriftverkehr fand in englischer Sprache statt. Aufgrund des großen Zeitunterschieds dauerte das Gespräch mehrere Tage. Bei der Übersetzung ins Russische habe ich einen Teil der kritischen Informationen ausgelassen und versucht, die Hauptbedeutung nicht zu verlieren.
Nachdem ich den Server betreten und mir den Hostnamen angesehen hatte, wurde mir sofort klar, wem der angegebene Server gehört. Auf der Hosting-Hauptseite habe ich zwei Möglichkeiten gefunden, um den Support zu kontaktieren: ein Feedback-Formular und einen Chat-Link im Messenger. Da ich mich nicht registrieren wollte, entschied ich mich für die zweite Option. Nach dem Link kam ich in einen öffentlichen Chat, sodass ich nicht sofort alle Details preisgab.
Ich:
Guten Tag! Ich habe einen Knoten in Ihrer Infrastruktur gefunden, der mit einem Botnetz infiziert ist. An wen kann ich mich wenden, um Einzelheiten zu erfahren?RM:
Wie war er infiziert? Welche Beweise können Sie vorlegen, dass es infiziert ist?... Pause ...
RM:
Sie können @PT darüber schreiben, aber ich bezweifle sehr, dass einer unserer Knoten Teil des Botnetzes ist.I:
test1.domen.com ist deine Seite?RM:
Oh, dieser Knoten wird höchstwahrscheinlich nicht mehr verwendet. Alle Web-Clients davon wurden auf ein anderes Hosting übertragen.Daraufhin wurde der Dialog mit
@RM für eine Weile
unterbrochen, während ich mit
@PT sprach. Aber
@PT war nicht sehr freundlich, er beantwortete alle meine Warnungen mit Ausreden "Dieser Server wird von niemandem benutzt" und behauptete, dass sie keine Hilfe brauchten. Deshalb habe ich den Dialog mit
@RM fortgesetzt , aber schon im privaten Chat.
Ich:
Auf Ihrem Server befindet sich ein Benutzer mit einem sehr einfachen Benutzername / Passwort-Paar. Dies ist zu einem Einstiegspunkt für Botnet-Software geworden. Um sicherzustellen, dass der Server wirklich infiziert ist, rufen Sie ihn über ssh auf und sehen Sie eine Liste der ausgeführten Prozesse. Unter den Prozessen sehen Sie viele Prozesse mit dem Namen "tsm". Dies ist die Botnet-Software. Um dies zu beheben, löschen Sie die Verzeichnisse /tmp/.ts und /tmp/.zx und starten Sie den Server neu. Vergessen Sie in diesem Fall nicht, das Passwort zu ändern.RM:
Hallo, dieser Server ist bereits offline. Wenn also etwas da war, dann ist es kein Problem mehr. Ich weiß es zu schätzen, dass Sie versuchen zu helfen, aber diese Maschine ist keine Bedrohung mehrMe:
Hmm ... Was sagst du dazu?
angehängte Foto, wo ich erfolgreich mit dem Server verbunden Auf meine Nachricht folgte eine Pause von mehreren Minuten, die dem Moment ein wenig Drama verlieh.
RM:
Sie wissen, dass Sie eine illegale Handlung begangen haben? Dies ist ein nicht autorisierter Zugriff, und ich muss die Compliance-Abteilung benachrichtigen.Ich:
Ich hoffe du verstehst, dass ich keine böswillige Absicht hatte und ich versuche nur, dir zu helfen?RM:
Ich verstehe, aber ich muss diesen Vorfall noch melden. Das hättest du niemals tun sollen. Ein einfacher Ping würde ausreichen, um zu beweisen, dass er online ist.
Ich:
Was ist die Compliance-Abteilung? Ist das ein Bundesdienst oder eine Abteilung Ihres Unternehmens?RM:
Unternehmensabteilung.
Die Compliance-Abteilung befasst sich mit Verstößen gegen die Nutzungsbedingungen, Beschwerden und rechtlichen Fragen.Ich: Das
FBI wird für mich kommen? =)RM:
Nein, das glaube ich nicht. Mit diesem Service kooperieren wir nicht.Ich:
Ich möchte Ihnen ein wenig über mich erzählen, damit Sie meine Motive verstehen.
Ich bin ein Informationssicherheitsforscher (weißer Hut). Momentan entwickle ich ein Tool, um nach infizierten Botnetzknoten zu suchen und diese weiter zu analysieren.
Mein Programm enthält einen Honeypot (Botnet-Trap). Ihr Server ist in diese Falle geraten, als er versucht hat, mich anzugreifen. Ich habe bereits Beispiele solcher bösartiger Software gesehen, daher weiß ich ungefähr, wie ich damit umgehen soll. Sie sind der erste, dem ich meine Hilfe angeboten habe.
Ich hoffe, dieser Vorfall endet gut für mich und für Sie.RM:
Wie auch immer, danke, dass Sie uns über diesen Server informiert haben. In naher Zukunft werden wir die Einheit außer Betrieb nehmen, wie wir es früher hätten tun sollen.PSZum Zeitpunkt des Schreibens war der Server verfügbar, es war jedoch kein Zugriff mehr möglich.