我喜欢僵尸网络。 不,不要(这很不好),但要学习! 创建一个僵尸网络实际上并不那么困难(很难做到,也不要落后于#)。 一个更有趣的任务是获得对另一个僵尸网络的控制并使它变得无害。
在这个方向上工作,我发现了一个服务器作为僵尸网络的一部分,其名称我还不知道。 该服务器具有很高的特性,属于不太大的国外Web托管。 利他主义在一个地方发挥作用迫使我向服务器所有者报告威胁。 这是怎么回事,我今天告诉你。 是否可以从这个故事中得出任何结论-自己考虑。
所有通信均以英语进行。 由于时区差异很大,因此对话持续了几天。 在翻译成俄语时,我省略了部分关键信息,同时尽量不失去主要含义。
进入服务器并查看主机名后,我立即意识到给定服务器属于谁。 转到托管主页,我发现了两种联系支持人员的方法:反馈表单和Messenger中的聊天链接。 由于我不想注册,因此选择了第二个选项。 通过该链接,我进入了公共聊天室,因此没有立即透露所有详细信息。
我:
下午好! 我发现您的基础架构中的一个节点感染了僵尸网络。 我可以联系谁以获取详细信息?RM:
他是怎么被感染的? 您能提供什么证据证明它已被感染?...停顿...
RM:
您可以编写有关它的@PT ,但是我非常怀疑我们的任何节点都属于僵尸网络。我:
test1.domen.com是您的网站吗?RM:
很有可能不再使用此节点。 它的所有Web客户端都被转移到另一个主机。因此,在与
@PT交谈时,与
@RM的对话暂停了一段时间。 但是
@PT并不是很友善,他以借口“我的服务器没有被任何人使用”来回答我的所有警告,并声称他们不需要帮助。 因此,我继续与
@RM进行对话,但是已经在私人聊天中。
我:
您的服务器上有一个用户,用户名/密码对非常简单。 这已成为僵尸网络软件的切入点。 为了确保服务器确实受到感染,请通过ssh转到服务器,并查看正在运行的进程的列表。 在这些进程中,您会看到许多名为“ tsm”的进程。 这是僵尸网络软件。 要摆脱它,请尝试删除/tmp/.ts和/tmp/.zx目录,然后重新启动服务器。 在这种情况下,请不要忘记更改密码。RM:
您好,该服务器已经离线。 因此,如果有东西存在,那么它将不再存在任何问题。 感谢您的帮助,但此机器已不再是威胁我:
嗯...你怎么说?
我的信息后紧接着停了几分钟,此刻给了我一点戏剧性。
RM:
您知道您犯了非法行为吗? 这是未经授权的访问,我必须通知合规部。我:
希望您了解我没有任何恶意意图,而我只是想帮助您?RM:
我了解,但是我仍然需要报告此事件。 您绝对不应该那样做。 一个简单的ping足以证明他在线。
我:
什么是合规部门? 这是您公司的联邦服务部门吗?RM:
公司部门。
合规部处理违反服务条款,投诉和法律问题的行为。我:
联邦调查局会来找我吗? =)RM:
不,我不这么认为。 我们不配合这项服务。我:
我想告诉您一些关于我自己的信息,以便您了解我的动机。
我是一名信息安全研究员(白帽子)。 目前,我正在开发一种工具,以搜索受感染的僵尸网络节点并对其进行进一步分析。
我的程序包含一个蜜罐(僵尸网络陷阱)。 您的服务器在尝试攻击我时陷入了此陷阱。 我已经看过此类恶意软件的示例,因此我大致知道如何处理它们。 您是我提供帮助的第一人。
我希望这个事件对我和你都好。RM:
无论如何,谢谢您让我们知道此服务器。 正如我们早先应该做的那样,在不久的将来我们将使该装置退役。聚苯乙烯在撰写本文时,服务器已可用,但不再可以访问它。