J'aime les botnets. Non, non (c'est mauvais), mais étudie! Faire un botnet n'est en fait pas si difficile (c'est difficile à faire, et NE PAS se mettre derrière #). Une tâche beaucoup plus intéressante consiste à prendre le contrôle d'un autre botnet et à le rendre inoffensif.
En travaillant dans ce sens, j'ai découvert un serveur dans le cadre d'un botnet, dont je ne connais pas encore le nom. Ce serveur avait des caractéristiques élevées et appartenait à un hébergement Web étranger peu important. L'altruisme jouant au même endroit m'a obligé à signaler la menace aux propriétaires du serveur. Qu'en est-il venu, je vais vous le dire aujourd'hui. Est-il possible de tirer des conclusions de cette histoire - pensez par vous-même.
Toute la correspondance s'est déroulée en anglais. En raison de la grande différence de fuseaux horaires, la conversation a duré plusieurs jours. Lors de la traduction en russe, j'ai omis une partie des informations critiques, tout en essayant de ne pas perdre le sens principal.
Après être entré sur le serveur et avoir regardé le nom d'hôte, j'ai immédiatement réalisé à qui appartient le serveur donné. En accédant à la page principale de l'hébergement, j'ai trouvé deux façons de contacter le support: un formulaire de commentaires et un lien de discussion dans le messager. Comme je ne voulais pas m'inscrire, j'ai choisi la deuxième option. Après le lien, je suis entré dans un chat public, donc je n'ai pas immédiatement divulgué tous les détails.
Moi:
Bonjour! J'ai trouvé un nœud dans votre infrastructure infecté par un botnet. Qui puis-je contacter pour plus de détails?RM:
Comment a-t-il été infecté? Quelles preuves pouvez-vous fournir qu'il est infecté?... pause ...
RM:
Vous pouvez écrire @PT à ce sujet, mais je doute beaucoup que l'un de nos nœuds fasse partie du botnet.I:
test1.domen.com est votre site?RM:
Oh, ce nœud n'est plus utilisé, très probablement. Tous les clients Web de celui-ci ont été transférés vers un autre hébergement.Sur ce point, le dialogue avec
@RM s'est interrompu pendant un certain temps pendant que je discutais avec
@PT . Mais
@PT n'était pas très accueillant, il a répondu à tous mes avertissements par des excuses «ce serveur n'est utilisé par personne» et a déclaré qu'ils n'avaient pas besoin d'aide. J'ai donc poursuivi le dialogue avec
@RM , mais déjà en chat privé.
Moi:
Il y a un utilisateur sur votre serveur avec une paire nom d'utilisateur / mot de passe très simple. C'est devenu un point d'entrée pour le logiciel de botnet. Pour vous assurer que le serveur est vraiment infecté, accédez-y via ssh et consultez une liste des processus en cours d'exécution. Parmi les processus, vous verrez de nombreux processus avec le nom «tsm». Ceci est le logiciel botnet. Pour vous en débarrasser, essayez de supprimer les répertoires /tmp/.ts et /tmp/.zx, puis redémarrez le serveur. Dans ce cas, n'oubliez pas de changer le mot de passe.RM:
Bonjour, ce serveur est déjà hors ligne. Donc, si quelque chose était là, cela ne pose plus de problème. J'apprécie que vous essayiez d'aider, mais cette machine n'est plus une menaceMoi:
Hmm ... Qu'en dites-vous?
photo jointe, où je me suis connecté avec succès au serveur Mon message a été suivi d'une pause de plusieurs minutes, ce qui a donné un petit drame au moment.
RM:
Vous savez que vous avez commis un acte illégal? Il s'agit d'un accès non autorisé et je dois en informer le service de conformité.Moi:
J'espère que vous comprenez que je n'avais aucune intention malveillante et j'essaie juste de vous aider?RM:
Je comprends, mais je dois encore signaler cet incident. Tu n'aurais jamais dû faire ça. Un simple ping suffirait pour prouver qu'il est en ligne.
Moi:
Qu'est-ce que le département Conformité? S'agit-il d'un service ou d'un ministère fédéral de votre entreprise?RM:
Département de l'entreprise.
Le département Conformité s'occupe des violations des conditions de service, des plaintes et des problèmes juridiques.Moi: Le
FBI viendra pour moi? =)RM:
Non, je ne pense pas. Nous ne coopérons pas avec ce service.Moi:
Je veux vous parler un peu de moi pour que vous compreniez mes motivations.
Je suis chercheur en sécurité de l'information (chapeau blanc). En ce moment, je développe un outil pour rechercher des nœuds de botnet infectés et les analyser plus en détail.
Mon programme contient un pot de miel (piège à botnet). Votre serveur est tombé dans ce piège en essayant de m'attaquer. J'ai déjà vu des exemples de ces logiciels malveillants, donc je sais à peu près comment les traiter. Vous êtes le premier à qui j'ai offert mon aide.
J'espère que cet incident se terminera bien pour moi et pour vous.RM:
Quoi qu'il en soit, merci de nous avoir fait connaître ce serveur. Dans un avenir proche, nous déclasserons l'unité, comme nous aurions dû le faire plus tôt.PSAu moment de l'écriture, le serveur était disponible, mais il n'était plus possible d'y accéder.