Хабрахабр

У вас завелся ботнет… (или как я начал бояться ФБР)

Мне нравятся ботнеты. Нет, не делать (это плохо), а изучать! Сделать ботнет, на самом деле не так сложно (сложно сделать, и при этом НЕ сесть за #). Куда более интересная задача — получить контроль над чужим ботнетом и обезвредить его.

Данный сервер имел высокие характеристики и принадлежал не очень крупному зарубежному web-хостингу. Работая в данном направлении, я обнаружил сервер в составе ботнета, название которого мне пока неизвестно. Что из этого получилось, я сегодня расскажу. Игравший у меня в одном месте альтруизм вынудил меня сообщить об угрозе владельцам сервера. Можно ли из этой истории сделать какие-либо выводы — думайте сами.

image

В связи с большой разницей в часовых поясах беседа растянулась на несколько дней. Вся переписка происходила на английском языке. При переводе на русский опустил часть критичной информации, при этом стараясь не потерять основной смысл.

Зайдя на сервер, и посмотрев hostname, я сразу понял, кому принадлежит данный сервер. Перейдя на главную страницу хостинга я нашел два способа связаться со службой поддержки: форма обратной связи и ссылка на чат в мессенджере. Так как я не хотел регистрироваться, то выбрал второй вариант. Перейдя по ссылке я попал в публичный чат, поэтому не стал сразу раскрывать все детали.

я нашел узел в вашей инфраструктуре зараженный ботнетом. Я: Добрый день! С кем мне можно связаться, чтобы сообщить подробности?

Какие доказательства вы можете предоставить, что он заражен?
… пауза…
RM: Вы можете написать об этом @PT, но я очень сомневаюсь, что какой то из наших узлов является частью бот-сети. RM: Как он был заражен?

Я: test1.domen.com ваш узел?

Все web-клиенты с него были переведены на другой хостинг. RM: О, этот узел уже не используется, скорее всего.

Но @PT оказался не очень приветлив, на все мои предупреждения отвечал отговорками «этот сервер никем не используется» и утверждал, что помощь им не требуется. На этом диалог с @RM приостановился на время, пока я общался с @PT. Поэтому я продолжил диалог с @RM, но уже в личном чате.

Это стало точкой входа для программного обеспечения ботнета. Я: На Вашем сервере есть пользователь с очень простой парой логин/пароль. Среди процессов увидите множество процессов с именем «tsm». Чтобы убедиться, что сервер действительно заражен, зайдите на него по ssh и посмотрите список запущенных процессов. Чтобы избавиться от него, попробуйте удалить каталоги /tmp/.ts и /tmp/.zx, а затем перезагрузить сервер. Это и есть программное обеспечение ботнета. При этом не забудьте поменять пароль.

Так что, если там что-то и было, то уже не представляет никакой проблемы. RM: Здравствуйте, этот сервер уже offline. Я ценю, что вы пытаетесь помочь, но эта машина больше не угроза

Я: Хм… Что вы скажете на счет этого?

приложенное фото, где я успешно подключился к серверу


После моего сообщения последовала пауза в несколько минут, которая придала немного драмматичности моменту.

Это несанкционированный доступ, и я обязан уведомить об этом Compliance Department. RM: Вы ведь знаете, что совершили незаконное деяние?

Я: Надеюсь, Вы понимаете что у меня не было никакого злого умысла и я просто пытаюсь вам помочь?

Вы ни в коем случае не должны были так делать. RM: Я понимаю, но мне все равно необходимо сообщить об этом инциденте. Простого ping было бы достаточно, чтобы доказать, что он онлайн.

Это федеральная служба или отдел вашей компании? Я: Что такое Compliance Department?

RM: Отдел компании.
Compliance Department занимается нарушениями условий обслуживания, жалобами и юридическими вопросами.

=) Я: ФБР приедет за мной?

Мы не сотрудничаем с этой службой. RM: Нет, не думаю.

На данный момент я занимаюсь разработкой инструмента для поиска зараженных узлов ботнета и дальнейшего их анализа.
Моя программа содержит honeypot (ловушка для ботнета). Я: Я хочу вам немного рассказать о себе, чтобы вы поняли мои мотивы.
Я исследователь информационной безопасности (white hat). Я уже видел образцы такого вредоносного программного обеспечения, поэтому примерно знаю, как с ними бороться. Ваш сервер попал в эту ловушку, когда пытался атаковать меня. Вы первый, кому я предложил свою помощь.
Я надеюсь, что этот инцидент закончится хорошо для меня и для вас.

В ближайшее время мы выведем узел из эксплуатации, как должны были сделать ранее RM: В любом случае, благодарю Вас за то что сообщили нам об этом сервере.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть