TUROK_DNEPR
Владимирович
Библиотекарь клуба
Группы:
Репутация: 29
Пол: 
Зарегистрирован: 16.05.2007
 Возраст: 49
Сообщения: 811
Откуда: Днепропетровск 12 квартал
1976 ВАЗ 2101
|
 Добавлено: Ср Янв 13, 2010 09:59:14 |
 |
|
7:00 Проснулся с тревожным предчувствием. еще не открыв глаза понял, что-то не так. Где-то внутри бурлила мысль "вставай проверь аську!!!". Она не давала покоя и возможности поспать еще чуть-чуть выбросила окончательно из сна.
7:10 Почесывая пузо подошел к ноуту обнаружил что аську таки рвет. Большая толпа огорченных клиентов жаловалась что хост лежит. Всем раздав обещания в скорой починке раздав бонусы начал смотреть что происходит. а происходило вот что: широкополосный ддос по icmp всей подсетки айпишников одного из хостов на котором жили виртуалы... нехорошо как-то... зло... как же меня это задрало... раз в неделю какой-то хостер решит что я зло во всем мире и во всех его проблемах виноват почему-то я, и я один должен понести ответственность за его проблемы...
7:30 ладно, просыпаемся окончательно и приступаем за дело
фильтруем на свиче весь icmp заправляя его обратно или в нуль...
смотрим что заправлять обратно не сильно получается... у противника ботнет... ладно ставим фильтры вычисляем самого толстого кто шлет больше чаще и быстрее... так что имеем.. бот за натом.. ладно ищем следующего большого и толстого...
7:45 вот и нашелся бот не за натом... на наше счастье у бота в носителях хп сп2 с открытым 139-м портом.. "чудо" просто конфетка для хакеров и всяких злоумышленников
далее в кратце и без техничесикх подробностей: используем их технологии против них самих, вскрываем порт, цепляем бэкдор, фильтруем траф, локализуем бота, отдаем прогерам на реверсинг...
ждем.. курим... пьем кофе
8:30 получены результат реверсинга... бот "блэк енержи" админка в мухосрани... что-ж идем в мухосрань изучаем систему управления.. в админку не попасть... ну да и ладно нам это не сильно надо... ставим скан уязвимостей, получаем в результах дырку в фтп, нам не надо рут доступа нам нужны только логи, если они ведутся то дело в шляпе 
8:45 аллах акбар логи ведутся и мы смогли их вытащить, что-ж видим заходы с конкретного ру-айпи в админку, как не осторожно не юзать впн…
8:55 звоним провайдеру ру-айпи, объясняем ситуацию, просим поставить монитор, дабы не нагнетать обстановку просим ничего не предпринимать пока не будет финала
9:20 ставим айпишник на монитор и ждем когда ддосер проснется...
нервно пьем кофе с мыслями кому это все надо...
11:25 айпишник начал проявлять активность.. .внимательно следим и изучаем все действия... так вконтакте.. одноклассники.. почитал почту... пробежался по форумам... аська... вот она то нам и надо... включаем логирование мониторим читаем ждем...
11:50 вот и золотая рыбка, аська заказчика суппорт из одного хостинга "на коленке"... что-ж это можно было предположить
"исполнитель"
хая, бро, процесс идет как-бы деньжат вперед получить хотя-бы за неделю
"заказчик"
добрый день, не вопрос, вечером скину
12:00 чтож аська заказчика есть.. стучим...
"мы" добры день, какого хрена ддосите мой хост ?
"заказчик" добрый, с чего Вы взяли и кто Вы?
цитирую часть их беседы с исполнителем, заказчик уходит в офф
вижу в мониторе исполнителя:
"заказчик" долбоеб тебя спалили, три все хистори, денег тебе не видать
"исполнитель" эээээ
жизнь налаживается за окном радостно заблестело солнышко.. подул с моря легкий бриз, ддос снят, заказчик известен...
остается только вопрос, суппорт сам организовал от лютой ненависти или по указанию начальства...
постскриптум:
1. всегда, ВСЕГДА используйте впн
2. если не юзаете впн в квипе например есть кнопочка шифровать сообщения
3. не плюй в колодец...
Варнинг!
1. Все использованные нами технологии апсолютно законны и есть в свободном доступе.
2. Никакого отношения к органам, я не имею.
3. ддосер сдан в отдел "К" с потрохами.
_________________
В помощь рыбаку более 800 статей http://billibons.com/ |
|
