Основан 26 Июля 2013 года
freehacks.ru fhacks.me fhacks.pw fhacksnplmzxaaoo.onion
HashFlare

Показано с 1 по 3 из 3
  1. #1
    Trust
    TopicStarter
    Админ негодует :3
    Аватар для admin

    Статус
    Offline
    Регистрация
    27.07.2013
    Сообщений
    1,449
    Репутация
    159 + / -
    Безопасность

    Сокет? Нет проблем БРО | itsoknoproblembro

    [Только зарегистрированные могут видеть это. ]

    Большинство веб-разработчиков даже не задумываются над тем, что может случиться с сайтом после взлома. И в данной статье я хочу рассмотрить один из возможных сценариев. А именно - зомбирование сайта при помощи инструмента itsoknoproblembro. Данный инструмент позволяет проводить довольно мощные DDoS атаки, но об этом чуть позже. Вообще, первые упоминания про itsoknoproblembro были еще в конце 2011 - начале 2012 года. Но если честно, то говорили как-то скромно. В конце 2012 года американцев (а именно компанию Prolexic) прорвало. Но прорвало не просто так. В конце 2012 года на клиентов компании Prolexic была организована DDoS-атака мощностью примерно 70 Гбит/с из более 30 млн. пакетов/с. В результате расследования, экспертам Prolexic удалось установить, что один из инструменов который использовался во время DDoSа был вышеупомянутый itsoknoproblembro.

    Prolexic Technologies
    К слову, компания Prolexic Technologies с 2003 года предоставляет услуги защиты и нейтрализации последствий DDoS атак. Центральный офис Prolexic находится в Голливуде. А центры отчистки DDoS расположены почти во всех точках земного шара (Европа, Азия, Северная и Южная Америка). Этой организации доверилось уже несколько десятков крупных банков всего мира (Wells Fargo, U.S. Bancorp, PNC Financial Services Group, Citigroup, Bank of America и JPMorgan Chase и т.д.), а так же SaaS сервисы, сайты занимающиеся обработкой платежей, online игры и т.д. Prolexic способна выдерживать DDoS атаки более чем в 500 Гбит/с.

    Что такое itsoknoproblembro?
    Но вернемся к самому тулкиту. Он позволяет совершать DDoS-атаки различного уровня. Itsoknoproblembro позволяет DDoSить различные порты включая ICMP, UDP и SSL, как с использованием прокси-серверов, так и без них. Атаки типи HTTP flood могут быть комбинированными с чередованием GET и POST запросов. Но характерным признаком является огромный поток UDP-запросов на DNS. Как видно, это довольно многофункциональный инструмент, серверная часть которого состоит из php-скрипта в 50-200 строчек (если говорить про исходный вариант).

    Залив такой php скрипт, злоумышленник протроянивает ваш сервер и вы долго можете не догадываться, что ваш сайт скомпромитирован. И будете долго не догадываться, если используете абузоустойчивый обычный шаред-хостинг, т.к. реального вреда вашему сайту как бы нет. А хостер игнорирует жалобы. В остальных же случаях хостер либо отключает ваш сайт/сервер до выяснения обстоятельств. Либо вы платите деньги за исходящий трафик который сливается во время DDoS'a на другие сервера (хотя как правило, чтобы не выдать факт протроянивания сайта раньше времени, особо часто и особо большые пакеты не отправляются).

    Поиск вредоносного скрипта
    Что происходит со скомпромитированным сайтом мы разобрались. Давайте теперь посмотрим как найти itsoknoproblembro.

    • Способ 1: Искать по кускам исходного кода. Самое примитивное - сделать поиск обращения к функциям exec, passthru, shell_exec, system, popen. Но если скрипт зашифрован, то вы ничего не найдете, т.к. зашифровать можно по разному...
    • Способ 2: В логах доступа сделать выборку по скриптам к которым обращались с GET параметром action в значениях status, start.php, startphp.php, infection, module, jboss или stpf. Отсортировать скрипты по частоте обращений и начать анализировать исходники.


    Экстренное реагирование
    Если нужно экстренно отреагировать на жалобу, то в php.ini необходимо заблокировать не только функции exec, passthru, shell_exec, system и popen (а это должно быть сделано изначально), но и stream_socket_client, stream_set_write_buffer, stream_socket_sendto. Эти функции как раз и используются скриптом для UDP флуда. Хочу добавить, что [Только зарегистрированные могут видеть это. ] функции на 95% сайтов практически не нужны. И это несмотря на то, что я видел несколько движков, в коде которых подобные функции использовались (в основном движки написаные при помощи Zend Framework).

    К сведению
    Если заблокировать функцию popen, то попытки отправить письма через sendmail будут отдавать ошибку типа:
    Код:
    Could not execute: /usr/sbin/sendmail
    Таким образом, прежде чем блокировать popen, вы обязаны научить ваши скрипты отправлять почту через SMTP сервер.

    [Только зарегистрированные могут видеть это. ]
    Последний раз редактировалось admin; 14.11.2013 в 15:07.
    [Только зарегистрированные могут видеть это. ]
    JID: [Только зарегистрированные могут видеть это. ] - пока не сижу там, только ЛС.

  2. Пользователь сказал cпасибо:
    SyGaK
  3. #2
    Аватар для SyGaK

    Статус
    Offline
    Регистрация
    09.11.2013
    Сообщений
    144
    Репутация
    41 + / -
    Безопасность
    Итог: покупаем шеллы-пустышки, льем туда этот софт и получаем охеренную ддос сеть за копейки, не зависящуюю от загрузок.

    P.s. Статью сам писал?
    Последний раз редактировалось SyGaK; 11.12.2013 в 10:45.

  4. #3
    Trust
    TopicStarter
    Админ негодует :3
    Аватар для admin

    Статус
    Offline
    Регистрация
    27.07.2013
    Сообщений
    1,449
    Репутация
    159 + / -
    Безопасность
    Цитата Сообщение от SyGaK Посмотреть сообщение
    P.s. Статью сам писал?
    Собрал инфу с разных сайтов и объеденил.
    Сам код еле нашел.
    [Только зарегистрированные могут видеть это. ]
    JID: [Только зарегистрированные могут видеть это. ] - пока не сижу там, только ЛС.

Метки этой темы

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Информация на сайте предоставлена исключительно в ознакомительных целях, использование знаний в противозаконных целях преследуется по закону! Администрация не несет ответственности за ваши деяния.