Eu gosto de botnets. Não, não (isso é ruim), mas estude! Criar uma botnet na verdade não é tão difícil (é difícil de fazer e NÃO fica atrás de #). Uma tarefa muito mais interessante é obter controle sobre outra botnet e torná-la inofensiva.
Trabalhando nessa direção, descobri um servidor como parte de uma botnet, cujo nome ainda não sei. Este servidor possuía características elevadas e pertencia a uma hospedagem estrangeira não muito grande. O altruísmo em um só lugar me forçou a denunciar a ameaça aos proprietários do servidor. O que aconteceu, eu vou te dizer hoje. É possível tirar conclusões dessa história - pense por si mesmo.
Toda a correspondência ocorreu em inglês. Devido à grande diferença de fuso horário, a conversa durou vários dias. Ao traduzir para o russo, omiti parte das informações críticas, tentando não perder o significado principal.
Depois de entrar no servidor e olhar o nome do host, percebi imediatamente a quem o servidor fornecido pertence. Indo para a página principal de hospedagem, encontrei duas maneiras de entrar em contato com o suporte: um formulário de feedback e um link de bate-papo no messenger. Como não queria me registrar, escolhi a segunda opção. Seguindo o link, entrei em um bate-papo público e não divulguei todos os detalhes imediatamente.
Eu:
Boa tarde! Encontrei um nó na sua infraestrutura infectado com uma botnet. Com quem posso entrar em contato para obter detalhes?RM:
Como ele foi infectado? Que evidência você pode fornecer de que está infectado?... pausa ...
RM:
Você pode escrever @PT sobre isso, mas duvido muito que algum de nossos nós faça parte da botnet.I:
test1.domen.com é o seu site?RM:
Oh, este nó não está mais em uso, provavelmente. Todos os clientes da Web foram transferidos para outra hospedagem.Nisso , o diálogo com o
@RM parou por um tempo enquanto eu conversava com o
@PT . Mas o
@PT não foi muito amigável, ele respondeu a todos os meus avisos com desculpas "este servidor não é usado por ninguém" e alegou que não precisava de ajuda. Portanto, continuei o diálogo com o
@RM , mas já em bate-papo particular.
Eu:
existe um usuário no seu servidor com um par muito simples de nome de usuário / senha. Isso se tornou um ponto de entrada para o software botnet. Para garantir que o servidor esteja realmente infectado, acesse-o via ssh e veja uma lista dos processos em execução. Entre os processos, você verá muitos processos com o nome "tsm". Este é o software botnet. Para se livrar dele, tente excluir os diretórios /tmp/.ts e /tmp/.zx e, em seguida, reinicie o servidor. Nesse caso, não esqueça de alterar a senha.RM:
Olá, este servidor já está offline. Portanto, se algo estava lá, ele não apresenta mais nenhum problema. Agradeço por você tentar ajudar, mas esta máquina não é mais uma ameaçaEu:
Hmm ... O que você diz sobre isso?
foto anexada, onde me conectei com sucesso ao servidor Minha mensagem foi seguida por uma pausa de vários minutos, o que deu um pouco de drama ao momento.
RM:
Você sabe que cometeu um ato ilegal? Este é um acesso não autorizado, e devo notificar o Departamento de conformidade.Eu:
espero que você entenda que eu não tinha nenhuma intenção maliciosa e só estou tentando ajudá-lo?RM:
Entendo, mas ainda preciso relatar esse incidente. Você nunca deveria ter feito isso. Um simples ping seria suficiente para provar que ele está online.
Eu:
O que é o Departamento de Compliance? Este é um serviço ou departamento federal da sua empresa?RM:
Departamento da empresa.
O Departamento de Compliance lida com violações dos termos de serviço, reclamações e questões legais.Eu: O
FBI virá atrás de mim? =)RM:
Não, acho que não. Nós não cooperamos com este serviço.Eu:
quero lhe contar um pouco sobre mim para que você entenda meus motivos.
Sou pesquisador de segurança da informação (chapéu branco). No momento, estou desenvolvendo uma ferramenta para procurar nós de botnet infectados e analisá-los melhor.
Meu programa contém um honeypot (armadilha botnet). Seu servidor caiu nessa armadilha ao tentar me atacar. Já vi amostras de software mal-intencionado e, portanto, sei como lidar com eles. Você é o primeiro a quem eu ofereci minha ajuda.
Espero que este incidente termine bem para mim e para você.RM:
De qualquer forma, obrigado por nos informar sobre este servidor. Em um futuro próximo, vamos desativar a unidade, como deveríamos ter feito anteriormente.PSNo momento da redação, o servidor estava disponível, mas não era mais possível acessá-lo.