आपको एक बॉटनेट मिला ... (या एफबीआई से मैं कैसे डर गया)

मुझे बॉटनेट पसंद है। नहीं, नहीं (यह बुरा है), लेकिन अध्ययन! एक बॉटनेट बनाना वास्तव में इतना मुश्किल नहीं है (यह करना मुश्किल है, और # के पीछे मत जाओ)। एक और अधिक दिलचस्प कार्य एक अन्य बॉटनेट पर नियंत्रण हासिल करना और इसे हानिरहित करना है।

इस दिशा में काम करते हुए, मैंने एक बोटनेट के हिस्से के रूप में एक सर्वर की खोज की, जिसका नाम मुझे अभी तक नहीं पता है। इस सर्वर में उच्च विशेषताएं थीं और यह बहुत बड़ी विदेशी वेब-होस्टिंग के लिए नहीं था। एक स्थान पर खेलने वाले Altruism ने मुझे सर्वर मालिकों को खतरे की रिपोर्ट करने के लिए मजबूर किया। यह क्या हुआ, मैं आज आपको बताऊंगा। क्या इस कहानी से कोई निष्कर्ष निकालना संभव है - अपने लिए सोचें।

सारा पत्राचार अंग्रेजी में हुआ। समय क्षेत्र में बड़े अंतर के कारण, बातचीत कई दिनों तक चली। रूसी में अनुवाद करते समय, मैंने मुख्य जानकारी को न खोने की कोशिश करते हुए महत्वपूर्ण जानकारी का हिस्सा छोड़ दिया।

सर्वर में प्रवेश किया और hostname को देखा, मुझे तुरंत एहसास हुआ कि दिया गया सर्वर किसका है। होस्टिंग मुख्य पृष्ठ पर जाने पर, मुझे समर्थन से संपर्क करने के दो तरीके मिले: एक फीडबैक फॉर्म और मैसेंजर में एक चैट लिंक। चूंकि मैं पंजीकरण नहीं करना चाहता था, इसलिए मैंने दूसरा विकल्प चुना। लिंक के बाद, मैं एक सार्वजनिक चैट में शामिल हो गया, इसलिए मैंने तुरंत सभी विवरणों का खुलासा नहीं किया।

मैं: शुभ दोपहर! मुझे आपके बुनियादी ढांचे में एक बॉटनेट से संक्रमित एक नोड मिला। मैं विवरण के लिए किससे संपर्क कर सकता हूं?

RM: वह कैसे संक्रमित था? आप क्या सबूत दे सकते हैं कि यह संक्रमित है?
... रोकें ...
RM: आप इसके बारे में @PT लिख सकते हैं, लेकिन मुझे बहुत संदेह है कि हमारा कोई भी नोड बॉटनेट का हिस्सा है।

I: test1.domen.com क्या आपकी साइट है?

आरएम: ओह, यह नोड अब उपयोग में नहीं है, सबसे अधिक संभावना है। इससे सभी वेब-क्लाइंट दूसरी होस्टिंग पर स्थानांतरित कर दिए गए थे।

इस पर, @RM के साथ बातचीत थोड़ी देर के लिए रुकी जब मैंने @PT के साथ बात की। लेकिन @PT बहुत अनुकूल नहीं था, उसने "इस सर्वर का किसी के द्वारा उपयोग नहीं किया गया" बहाने के साथ मेरी सभी चेतावनियों का जवाब दिया और दावा किया कि उन्हें मदद की आवश्यकता नहीं है। इसलिए, मैंने @RM के साथ बातचीत जारी रखी , लेकिन पहले से ही निजी चैट में।

Me: आपके सर्वर पर एक उपयोगकर्ता एक बहुत ही साधारण उपयोगकर्ता नाम / पासवर्ड जोड़ी है। यह बोटनेट सॉफ्टवेयर के लिए एक प्रवेश बिंदु बन गया है। यह सुनिश्चित करने के लिए कि सर्वर वास्तव में संक्रमित है, ssh के माध्यम से उस पर जाएं और चल रही प्रक्रियाओं की सूची देखें। प्रक्रियाओं में आप "tsm" नाम के साथ कई प्रक्रियाएँ देखेंगे। यह बॉटनेट सॉफ्टवेयर है। इससे छुटकारा पाने के लिए, /tmp/.ts और /tmp/.zx निर्देशिकाओं को हटाने का प्रयास करें, और फिर सर्वर को पुनरारंभ करें। इस मामले में, पासवर्ड बदलना न भूलें।

RM: नमस्ते, यह सर्वर पहले से ही ऑफ़लाइन है। इसलिए, अगर कुछ था, तो यह अब किसी भी समस्या को प्रस्तुत नहीं करता है। मैं आपकी मदद करने की कोशिश कर रहा हूं, लेकिन यह मशीन अब खतरा नहीं है

मैं: हम्म ... आप इस बारे में क्या कहते हैं?

मेरा संदेश कई मिनटों के विराम के बाद आया, जिसने इस क्षण को थोड़ा नाटक दिया।

आरएम: आप जानते हैं कि आपने एक गैरकानूनी काम किया है? यह अनधिकृत पहुंच है, और मुझे अनुपालन विभाग को सूचित करना चाहिए।

मैं: मुझे आशा है कि आप समझ गए होंगे कि मेरा कोई दुर्भावनापूर्ण इरादा नहीं था और मैं सिर्फ आपकी मदद करने की कोशिश कर रहा हूँ?

आरएम: मैं समझता हूं, लेकिन मुझे अभी भी इस घटना की रिपोर्ट करने की आवश्यकता है। आपको ऐसा कभी नहीं करना चाहिए था। एक साधारण पिंग यह साबित करने के लिए पर्याप्त होगा कि वह ऑनलाइन है।


मैं: अनुपालन विभाग क्या है? क्या यह आपकी कंपनी की संघीय सेवा या विभाग है?

RM: कंपनी विभाग।
अनुपालन विभाग सेवा की शर्तों, शिकायतों और कानूनी मुद्दों के उल्लंघन से संबंधित है।

मैं: एफबीआई मेरे लिए आएगी? =)

आरएम: नहीं, मुझे ऐसा नहीं लगता। हम इस सेवा में सहयोग नहीं करते हैं।

मैं: मैं आपको अपने बारे में थोड़ा बताना चाहता हूं ताकि आप मेरा मकसद समझें।
मैं एक सूचना सुरक्षा शोधकर्ता (सफेद टोपी) हूं। फिलहाल, मैं संक्रमित बोटनेट नोड्स की खोज करने के लिए एक उपकरण विकसित कर रहा हूं और उनका विश्लेषण कर रहा हूं।
मेरे कार्यक्रम में एक हनीपोट (बॉटनेट ट्रैप) शामिल है। मुझ पर हमला करने की कोशिश में आपका सर्वर इस जाल में गिर गया। मैंने पहले से ही ऐसे दुर्भावनापूर्ण सॉफ़्टवेयर के नमूने देखे हैं, इसलिए मुझे मोटे तौर पर पता है कि उनसे कैसे निपटना है। आप पहली बार हैं, जिनकी मैंने मदद की।
मुझे उम्मीद है कि यह घटना मेरे और आपके लिए अच्छी तरह से समाप्त होगी।

आरएम: वैसे भी, हमें इस सर्वर के बारे में बताने के लिए धन्यवाद। निकट भविष्य में हम इकाई का विघटन करेंगे, जैसा कि हमें पहले करना चाहिए था।

पुनश्च
लेखन के समय, सर्वर उपलब्ध था, लेकिन इसे एक्सेस करना अब संभव नहीं था।