Мне нравятся ботнеты.
Нет, не делайте (это плохо), а изучайте! Создать ботнет на самом деле не так уж и сложно (это сложно сделать и НЕ отстать от #).
Гораздо более интересная задача — получить контроль над чужим ботнетом и обезвредить его.
Работая в этом направлении, я обнаружил в составе ботнета сервер, название которого мне пока неизвестно.
Этот сервер имел высокие характеристики и принадлежал не очень крупному зарубежному хостингу.
Альтруизм, который я проявил в одном месте, заставил меня сообщить об угрозе владельцам серверов.
Сегодня расскажу, что из этого получилось.
Можно ли сделать какие-то выводы из этой истории – думайте сами.
Вся переписка велась на английском языке.Зайдя на сервер и посмотрев имя хоста, я сразу понял, кому принадлежит этот сервер.Из-за большой разницы часовых поясов разговор длился несколько дней.
При переводе на русский язык я опустил часть критической информации, стараясь при этом не потерять основной смысл.
Зайдя на главную страницу хостинга, я нашел два способа связи со службой поддержки: форму обратной связи и ссылку на чат в мессенджере.
Поскольку мне не хотелось регистрироваться, я выбрал второй вариант. Перейдя по ссылке, я попал в публичный чат, поэтому сразу не раскрыл всех подробностей.
Я: Добрый день, я обнаружил в вашей инфраструктуре узел, зараженный ботнетом.
С кем я могу связаться для уточнения подробностей? РМ: Как он заразился? Какие доказательства вы можете предоставить, что он заражен? .
Пауза.
РМ: Вы можете написать об этом в @PT, но я сильно сомневаюсь, что какая-либо из наших нод является частью ботнета.
Я: test1.domain.com — ваш узел? РМ: О, этот узел, скорее всего, больше не используется.
Все веб-клиенты с него были перенесены на другой хостинг.
На этом этапе диалог с @RM приостановился, пока я разговаривал с @PT. Но @PT оказался не очень дружелюбным, на все мои предупреждения он отвечал отговорками «этот сервер никем не используется» и утверждал, что помощь им не нужна.
Поэтому я продолжил общение с @RM, но уже в личном чате.
Я: На вашем сервере есть пользователь с очень простой парой логин/пароль.
Это стало точкой входа для программного обеспечения ботнета.
Чтобы убедиться, что сервер действительно заражен, зайдите на него по ssh и посмотрите список запущенных процессов.
Среди процессов вы увидите много процессов с именем «tsm».
Это программное обеспечение ботнета.
Чтобы избавиться от него, попробуйте удалить каталоги /tmp/.
ts и /tmp/.
zx, а затем перезагрузить сервер.
Не забудьте сменить пароль.
РМ: Здравствуйте, этот сервер уже отключен.
Так что, если там что-то было, это уже не представляет никакой проблемы.
Я ценю, что вы пытаетесь помочь, но эта машина больше не представляет угрозы.
Я: Хм.
Что ты скажешь на это? прилагаю фото, где я успешно подключился к серверу 
После моего сообщения последовала пауза в несколько минут, что добавило моменту немного драматизма.РМ: Вы знаете, что совершили противоправное действие, верно? Это несанкционированный доступ, и я должен уведомить об этом отдел контроля.
Я: Надеюсь, вы понимаете, что у меня не было злого умысла и я просто пытаюсь вам помочь? РМ: Я понимаю, но мне все равно нужно сообщить об этом инциденте.
Тебе никогда не следовало этого делать.
Простого пинга будет достаточно, чтобы доказать, что он онлайн.
Я: Что такое отдел комплаенса? Это федеральная служба или отдел вашей компании? РМ: Отдел компании.
Отдел комплаенс занимается нарушениями условий обслуживания, жалобами и юридическими вопросами.
Я: ФБР придет за мной? "=" РМ: Нет я так не думаю.
Мы не сотрудничаем с данным сервисом.
Я: Я хочу рассказать вам немного о себе, чтобы вы поняли мои мотивы.
Я исследователь информационной безопасности (белая шляпа).
В данный момент я разрабатываю инструмент для поиска зараженных узлов ботнета и дальнейшего их анализа.
Моя программа содержит приманку (ловушку ботнета).
Ваш сервер попал в эту ловушку, когда пытался меня атаковать.
Образцы такого вредоносного ПО я уже видел, поэтому примерно знаю, как с ними бороться.
Вы первый, кому я предложил свою помощь.
Надеюсь, этот инцидент закончится хорошо для меня и для вас.
РМ: В любом случае, спасибо, что сообщили нам об этом сервере.
В ближайшее время мы выведем энергоблок из эксплуатации, как и должны были сделать ранее.
P.S. На момент написания статьи сервер был доступен, но получить к нему доступ уже не удалось.
Теги: #информационная безопасность #ботнет #Хостинг #хостинг #информационная безопасность
-
Отслеживание Вашего Партнерского Дохода
19 Oct, 24 -
Является Ли Ie9 Современным Браузером?
19 Oct, 24 -
Переведена Документация Nuxt.js
19 Oct, 24
