В борьбе с яйцеголовыми

Master-lame-master

Xakep, номер #059, стр. 059-066-1

История поломки эггдропов

Боты eggdrop всегда славились своей стабильностью и безопасностью в работе. В течение нескольких лет их юзало, юзает и будет юзать множество народа. И все бы хорошо, но так случилось, что этими самыми ботами пользуются яйцеголовые люди. А ведь известно, что слабое звено любой системы – это человек. Поэтому при помощи различных методов социальной инженерии можно порулить абсолютно безбажной системой.

Незваный botnet

Вся история началась с банального флуда и вообще могла бы не произойти. Заджойнившись на IRC-баунсер, взломщик увидел, что к нему пришли приватные сообщения. Только после их прочтения хакер понял, что был зафлужен сетевым ботнетом. Он получил около сотни сообщений от разных ботов. Почесав затылок, взломщик набрал команду /ERASEPRIVATELOG, для того чтобы стереть все сообщения. Когда хакер увидел список ников на своем канале, он удивился еще больше - там сидели одни лишь боты, славшие ему спам-мессаги.

"Что за черт, зачем кому-то понадобилось спамить меня приватами?" - подумал хакер и хотел уже выследить флудера и заDoSить его по самые помидоры. Но спамер объявился сам (он сидел на этом же канале). Как оказалось, ботовод узнал, что наш злодей является хозяином 20 шустрых ботов. Недолго думая, он привел свой выводок на канал к хакеру, а затем показал мощь своих питомцев. И когда хакер вернулся в онлайн, тот просто предложил ему слинковать два ботнета.

Поначалу такой расклад хакеру не понравился - больших прав дать не обещали, а тратить ресурсы своих ботов на чужие нужды без мазы. Но потом он все-таки согласился, так как хотел протестить одну замечательную особенность ботнета, обнаруженную пару недель назад.

Прикидываемся ботом

Как-то раз, заглянув в юзер-файл eggdrop, хакер заметил, что пароли ботов не шифруются, в отличие от юзеров. Этот факт подтолкнул взломщика к исследованию обмена данными между двумя ботами. Как оказалось, после пересылки имени пользователя бот требует ввести пароль (запрос passreq), а затем версию. Если все верно, эггдроп успешно залинковывается в ботнет. На первый взгляд, в этом нет ничего особенного, если бы не один нюанс. Ботмастеры очень любят использовать скрипт botnet.tcl. Он позволяет пересылать команды всей цепочке ботов. С помощью этого скрипта наш герой и был зафлужен. Так вот, после того как eggdrop передает строчку "botnet cmd команда" (cmd может принимать различные значения, как, например: msg, say, ping), искусственный интеллект послушно выполнит запрос сам и передаст дальше по цепочке. Таким образом, ничто не мешает прикинуться эггдропом, а затем передать botnet-команду следующему в линке. Для этого достаточно лишь знать незакриптованный пароль бота. Но все это лишь теория. Хакеру удалось протестить задумку только на своем выводке ботов.

По логам партилайна наш пионер увидел, что ботовод вовсю юзает эггдропов для флуда каких-то адресов. После того как флуд наконец-то прекратился, а мастер ушел, взломщик приступил к экспериментам. Разлинковав ботнеты, он зателнетился на удаленный bots-порт. Между сторонами произошел следующий диалог:

Содержание  Вперед на стр. 059-066-2
ttfb: 3.2329559326172 ms