Как вычислить контролер ботнета?

На самом деле как показывает практика ddos атаки организовывают не всегда профессионалы. Зачастую это такие же ламеры как и хозяева компьютеров зараженных ботами. Вы можете сами попробовать свои силы в качестве продвинутого хакера и попробовать вычислить сервер который контролирует ddos ботнет. Привожу простейшие шаги с помощью которых вы можете это сделать.
Нам понадобится …

  • Логи http сервера
  • мИРЦ // необезательно
  • IRIS Sniffer
  • Пару сплойтов
  • Ну и конечно же МОЗГ

И так, у вас есть логи. Скажем с них мы взяли IPшники: 231.32.32.211, 4.5.6.7, 6.7.8.9, 12.13.14.15, 23.24.25.26. Теперь у нас есть 50/50 шанс того что эти машины были зомбированы с помощью любого бота типа пхатБот, ериксБот и другие ламерские ddos боты.

Значит нам прежде всего нужны сплойты для LSASS, PnP, DCOM135, DCASS . Их можно найти на – securitylab

Прежде всего, мы берем эти IP и поочереди проверяем их на дырявость сплойтами. Если вам удалось войти в систему – считайте что Вы уже уничтожили пол-кулхакера. Теперь нам надо поставить rAdmin или любую другую тулузу remote administrating. Поставили, запустили и готово.

Теперь вам надо подключится рАдмином к машине, и дождатся полного затишья на ней. Тоесть что бы там никого не было. После чего вызовите Task Manager и посмотрите на подозрительные проги типа ezkiyeq.exe , svcroot.exe, update001.exe, winupdt0.exe etc…

Найдите этот файл. Скопируйте к себе. Теперь вам надо будет протроянить самих себя. Вам нужен будет IRIS Sniffer. Запускайте сниффер, выставляйте снифф-фильтр на слова USER IRC SERVER NICK IDENT 6667 и активируйте сниффер. После чего запускайте трой и следите за сниффом. Он вам скажет что происходит – куда трой коннектится, на какой канал заходит.

Впринципе этой инфы достаточно что бы отрапортавать ФБР, или ФСБ. Просто напишите им письмо.. После чего сеть пропадет.

Для извратов, попробуйте подключится к серверу юзая мирку и зайти на тот канал. Если его mode не +m, то вам повезло smile.gif Главное изначально прикинутся ботом. Ждите комманд от ботовода. Когда он пошлет что то типа .login mylamepassword, набирите тоже самое и наберите .remove smile.gif
. – место . может быть ! @ # $ % ^ & * ( ) ` etc …

Главное используйте прокси. .remove уничтожит весь его ботнет (ботовода).

Рейтинг материала
[Голосов: 1 Рейтинг: 5]
21 декабря 2015, 15:33

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *