Интернет под угрозой военных ботов!

Master-lame-master

Xakep, номер #056, стр. 056-050-1

Нашумевшие истории крупных взломов

Человеческая жизнь насыщена забавными вещами. Причем компьютерная жизнь тоже. Был случай, когда после сканирования одного сервера на наличие уязвимостей, взломщик наткнулся на нечто необычное... Это дало ему возможность взять под контроль тысячи серверов. Неожиданно? Несомненно! О том, как это произошло, я и расскажу.

Лиха беда начало

Все началось банально - кому-то по каким-то причинам не понравился какой-то сервер. От нечего делать взломщик, за спиной которого было порядка сотни порутанных систем, запустил свой любимый LANguard Scanner (http://www.gfisoftware.com/stats/adentry.asp?adv=58&loc=4). Через несколько минут программа показала хакеру около 80 живых адресов из сегмента просканенной сетки. Вяло перелистывая лог, взломщик начал понимать, что так просто тачку не взять, ибо бажных сервисов на ней не наблюдалось. Тогда наш герой решил осмотреть остальные адреса в сегменте. Тут-то и началось самое интересное...

Беспорядочно тыкая в "плюсики" ЛАНгарда с целью просмотра баннеров каждого сервиса, хакер нашел живой ircd (демон ирки). Казалось бы, что тут такого? Людям свойственно общаться, и найти в инете живой ирк-сервак не составляет большого труда. Вот только вертелся он на порту 33333, и адрес сервера не был прописан в обратной зоне DNS (ip -> domain.name). Это показалось хакеру странным, поэтому он решил подцепиться к демону клиентом, чтобы узнать, на кой фиг, собственно, этот демон там нужен.

Суем свой нос

Через несколько мгновений наш герой уже сконнектился с этим загадочным ircd. По его баннеру он сразу догадался, что это был Unreal-ircd (для справки: Unreal всегда юзался в русской сети DalNetRU и имел огромное количество команд и всяких дополнительных примочек). После просмотра состояния сервера у хакера появилась мысль: "Я нашел огромную irc-сеть", потому как на сервере сидело без малого 2 тысячи юзеров (для сравнения: в самой крупной российской сети IRCNetRU в онлайне находится 2-3 тысячи человек). "Ну да ладно, посмотрим, чем тут народ занимается", - сказал себе взломщик и набрал /list. После этого у него отвисла челюсть - листинг показал всего один канал, на котором обитали те самые две тыщи пользователей. Ткнув по записи, хакер попал... да-да, хакер именно попал ;). В комнате тусили боты. Только боты и никого кроме ботов. Зачем кому-то понадобилось заводить столько искусственных экземпляров на один канал? Это удивило взломщика, и, зацепив свой любимый PsyBNC на этот сервер и врубив логирование канала, он решил подождать денек, чтобы понять смысл этой аномалии. Зашел он с рандомным ником и айдентом, т.к. не хотел выделяться из толпы ;).

Ахтунг! Это враги!

Как и предполагалось, через некоторое время в IRC пришел папка-админ. Для начала он заставил ботов узнать его ;). Чел кинул в канал странноватую строку вида "!start число", где число состояло из 40-50 цифр. После этого ВСЕ боты радостно поприветствовали своего хозяина! "Боже! Сколько флуда!" - прокричал хакер. Немного подождав, хозяин набрал команду "!udp ip-адрес". Смысл ее вполне ясен: указанный адрес в команде подвергся жесткому флуду по UDP протоколу. Теперь стало понято, что здесь происходит. Эти боты были созданы для проведения DDoS-атак. Но откуда были взяты несколько тысяч уязвимых серваков? Этот вопрос до сих пор оставался открытым.