Saya suka botnet. Tidak, jangan (ini buruk), tapi belajarlah! Membuat botnet sebenarnya tidak terlalu sulit (sulit dilakukan, dan JANGAN ketinggalan #). Tugas yang jauh lebih menarik adalah untuk mendapatkan kontrol atas botnet lain dan menjadikannya tidak berbahaya.
Bekerja ke arah ini, saya menemukan server sebagai bagian dari botnet, nama yang saya belum tahu. Server ini memiliki karakteristik tinggi dan milik hosting web asing yang tidak terlalu besar. Bermain altruisme di satu tempat memaksa saya untuk melaporkan ancaman kepada pemilik server. Apa yang terjadi, saya akan memberi tahu Anda hari ini. Apakah mungkin untuk menarik kesimpulan dari cerita ini - pikirkan sendiri.
Semua korespondensi dilakukan dalam bahasa Inggris. Karena perbedaan besar dalam zona waktu, percakapan berlangsung selama beberapa hari. Ketika menerjemahkan ke dalam bahasa Rusia, saya menghilangkan sebagian informasi penting, sambil berusaha untuk tidak kehilangan makna utamanya.
Setelah memasuki server dan melihat hostname, saya segera menyadari siapa server yang diberikan. Pergi ke halaman utama hosting, saya menemukan dua cara untuk menghubungi dukungan: formulir umpan balik dan tautan obrolan di messenger. Karena saya tidak ingin mendaftar, saya memilih opsi kedua. Setelah tautan, saya masuk ke obrolan publik, jadi saya tidak segera mengungkapkan semua detail.
Saya:
Selamat siang! Saya menemukan sebuah simpul di infrastruktur Anda yang terinfeksi botnet. Siapa yang dapat saya hubungi untuk perincian?RM:
Bagaimana dia terinfeksi? Bukti apa yang dapat Anda berikan bahwa itu terinfeksi?... jeda ...
RM:
Anda dapat menulis @PT tentang itu, tapi saya sangat meragukan bahwa salah satu node kami adalah bagian dari botnet.I:
test1.domen.com adalah situs Anda?RM:
Oh, simpul ini tidak lagi digunakan, kemungkinan besar. Semua klien web dari itu ditransfer ke hosting lain.Mengenai hal ini, dialog dengan
@RM berhenti sebentar sementara saya berbicara dengan
@PT . Tapi
@PT tidak ramah, dia menjawab semua peringatan saya dengan alasan "server ini tidak digunakan oleh siapa pun" dan mengklaim bahwa mereka tidak memerlukan bantuan. Karena itu, saya melanjutkan dialog dengan
@RM , tetapi sudah dalam obrolan pribadi.
Saya:
Ada pengguna di server Anda dengan pasangan nama pengguna / kata sandi yang sangat sederhana. Ini telah menjadi titik masuk untuk perangkat lunak botnet. Untuk memastikan bahwa server benar-benar terinfeksi, buka melalui ssh dan lihat daftar proses yang sedang berjalan. Di antara prosesnya Anda akan melihat banyak proses dengan nama "tsm". Ini adalah perangkat lunak botnet. Untuk menghilangkannya, coba hapus direktori /tmp/.ts dan /tmp/.zx, lalu restart server. Dalam hal ini, jangan lupa untuk mengubah kata sandi.RM:
Halo, server ini sudah offline. Jadi, jika sesuatu ada di sana, maka itu tidak lagi menimbulkan masalah. Saya menghargai Anda mencoba membantu, tetapi mesin ini tidak lagi menjadi ancamanSaya:
Hmm ... Apa yang Anda katakan tentang ini?
foto terlampir, di mana saya berhasil terhubung ke server Pesan saya diikuti dengan jeda beberapa menit, yang memberikan sedikit drama saat ini.
RM:
Anda tahu Anda telah melakukan tindakan ilegal? Ini adalah akses tidak sah, dan saya harus memberi tahu Departemen Kepatuhan.Saya:
Saya harap Anda mengerti bahwa saya tidak memiliki niat jahat dan saya hanya berusaha membantu Anda?RM:
Saya mengerti, tapi saya masih harus melaporkan kejadian ini. Anda seharusnya tidak melakukan itu. Ping sederhana akan cukup untuk membuktikan bahwa dia sedang online.
Saya:
Apa itu Departemen Kepatuhan? Apakah ini layanan federal atau departemen perusahaan Anda?RM:
Departemen perusahaan.
Departemen Kepatuhan menangani pelanggaran ketentuan layanan, keluhan, dan masalah hukum.Saya:
FBI akan datang untuk saya? =)RM:
Tidak, saya rasa tidak. Kami tidak bekerja sama dengan layanan ini.Saya:
Saya ingin memberi tahu Anda sedikit tentang diri saya sehingga Anda memahami motif saya.
Saya seorang peneliti keamanan informasi (topi putih). Saat ini, saya sedang mengembangkan alat untuk mencari node botnet yang terinfeksi dan menganalisis lebih lanjut.
Program saya berisi honeypot (botnet trap). Server Anda jatuh ke dalam perangkap ini ketika mencoba menyerang saya. Saya sudah melihat sampel perangkat lunak berbahaya tersebut, jadi saya kira-kira tahu cara menghadapinya. Anda adalah orang pertama yang saya tawarkan bantuan saya.
Saya harap kejadian ini berakhir baik untuk saya dan untuk Anda.RM:
Bagaimanapun, terima kasih telah memberi tahu kami tentang server ini. Dalam waktu dekat kami akan menonaktifkan unit, seperti yang seharusnya kami lakukan sebelumnya.PSPada saat penulisan, server tersedia, tetapi tidak mungkin lagi mengaksesnya.