Последние новости:
Популярные файлы:
Страница 1 из 11
Модератор форума: Crash, Zenden, Kote, CoBeCTb 
Форум » Основное » Вопросы по серверам. » Как создать ботнет за 5 дней или вся правда о проге HLServer (virus)
Как создать ботнет за 5 дней или вся правда о проге HLServer
WaNTeD Дата: Воскресенье, 19.06.2011, 16:53 | Сообщение # 1
Admin
Группа: Создатель
Сообщений: 397
Репутация: 81
Статус: Offline
Поскольку товарищ вконтаке продолжает пускать сопли и притворяться невинной целочкой, публикуется более подробный рассказ о том, как пасаны к успеху шли.

Главные действующие лица:

1) vkontakte (он же Mishel)

Страна: Украина | Город: Ильичевск | ICQ: 666848 | 444774444 | 493370973 (Сервера: 83.142.105.21:27016 (уже не работает) | 195.93.191.105:27016 | (личный IP адрес 195.93.191.6 ) | Профиль: http://vkontakte.ru/mishel7

2) ratwayer

Страна: Россия | Город: Киров | ICQ: 289012 | Личный IP 89.207.75.107 (вроде сейчас другой)

3) pumamd (он же 330863)

Страна: Республика Молдова | Город: Chisinau | Сервера: 95.65.90.91:27025 (личный IP адрес 89.28.17.208) | Профиль: http://c-s.net.ua/forum/user66105.html

Собственно. Что же сделали эти люди ? А сделали они очень хитрую штуку под названием «ботнет»

Короче говоря, Ботнет – это компьютеры пользователей зараженные вирусом. Вирус, они распространяли через MOTD окно, на своих серверах CS 1.6 (основным раздатчиком был сервер 83.142.105.21:7777 На него они перекидывали десятки тысяч игроков со всего мира). Как только человек заходил на сервер, у него сразу вылетала закачка файла-вируса.

Что представляет из себя их вирус ?

1) Вирус поднимал на зараженном компьютере ~1000 редирект серверов (они автоматически регистрировались на сетмастерах VALVE). Все эти редирект-сервера перенаправляли игроков на раздатчик 83.142.105.21:7777 (позднее на what.gcn.pp.ua:200). Фактически получалась замкнутая цепь и ботнет разрастался в геометрической прогрессии.

2) Вторая задача вируса – это UDP флуд или другими словами DDoS (можно было настраивать IP PORT количество потоков и ещё какую-то мелочь)

3) Кража файлов с зараженных компьютеров (можно было скачивать любые файлы, пароли, ключи, личные документы, сертификаты вебмани, и.т.д.). Тут всё ограничивалось лишь фантазией.

4) Вирус так же осуществлял автоматический флуд на сетмастера VALVE (именно по этому они не работали)

5) Следующим шагом было падение SETTI. В связи с этим, код редирект-сервера был переписан так ( версии 1.07), чтобы сканер сетти их не палил, оставалось сделать только регистрацию на сетти (как выяснилось в дальнейшем, они хотели сделать авто-скрипт).

6) Так же, вирус поднимал на компьютере игрока прокси-сервер (Hlproxy). Товарищ ratwayer, в теме http://fpteam..........php?showtopic=17342 (кто знает сайт, тот поймет, распространять его не хочу) как раз привел список зараженных компьютеров xD

Сам вирус написал ratwayer. Идея создания ботнета принадлежит vkontakte. Pumamd крутился на подхвате.
Т.к. товарищ ratwayer поленился защитить данные в самом вирусе, вся информация, команды и схема работы были получены очень быстро. Управлять ботнетом можно было только с четырех IP (83.142.105.21 | 95.65.64.90 | 89.207.75.107 | 127.0.0.1). Хочу заметить, что на IP 95.65.64.90:27010 и 95.65.64.90:1337 располагались сервисы, на который приходила информация от зараженных компьютеров. Именно так они узнавали IP адреса компьютеров в ботнете.
Основная цель всего мероприятия – это заработок денег.

Хочешь раскрутить свой сервер, платишь им денюжку (200р неделя | 500р месяц | 2500р “Вечная” раскрутка). Если вы с чем-то не согласны, много пантуетесь или ваш сервер хорошо поднимается в рейтингах (без их участия), они его просто Досят со своего ботнета. Если кто-то заказывает ваш сервер за $, то его тоже Досят. Как выяснилось в дальнейшем, планы у них были грандиозные... Т.е. фактически, хотели взять все топовые сервера “Под колпак” и рулить их рейтингами, сшибая бабло. В итоге, всем нормальным админам, оставалось довольствоваться объедками с барского стола и держать пустые сервера, в то время, как все игроки кидались через их редиректы на раскручиваемые сервера.

Когда товарищ vkontakte потерял свой IP 83.142.105.21 (только с него он мог управлять ботнетом), провайдер выдал ему другой IP 195.93.191.105 и всё управление перешло в руки pumamda. В связи с этим, началось создание ещё одного ботнета, был написан новый вирус и распространялся он так же, через MOTD окно, но уже с большого количества серверов (товарищ vkontakte подключил своих друзей/админов, чтобы они поставили на свои сервера MOTD с закачкой вируса). Представьте себе, каким надо быть уродом, чтобы распространять вирус своим же игрокам!

Вот видео всего процесса (показана раздача вируса через друзей товарища vkontakte):


Также ко мне в руки попала вся история переписки товарища vkontakte (из квипа и скайпа). Т.к. она весит более 40 мегабайт и содержит много информации личностного характера, пароли к форумам, ссылки на вирусы, списки серверов с украденными RCON, переписки с покупателями, публиковаться в полном объеме она не будет.

Безусловно, вся переписка, между (vkontakte, ratwayer и pumamd) была изучена, для выявления уязвимых мест в ботнете и дальнейшего его закрытия. Ниже, я приведу ряд цитат:

"Помимо редиректа надо еше и геймменю менять!":


"О эффективности подсадки:"


"О методах закачки бота:"


"Надо бы удп флудер прикрутить:"


"Убиваем фортим и Ракуна:"


"Пасаны к успеху идут:"


"фэйкплееры не пашут :"


"Планы по засиранию сетти:"


"О командах бота:"


"О дележке бабла:"


"Вот уже и бот, работающий с сетти распространяется:"


"Пасана досанули первый раз, но он намека не понял. А еще про вынос mvpro:"


"Хостинги идиоты! не дают вирусню распространять!:"


Это лишь малая доля информации. Есть много интересной инфы, которая будет полезна администрации фортима =) До глубины души поражает цинизм и обилие вранья, которое они выгружают на форумы. Поражает то, как эти люди общаются друг с другом, строят планы по захвату миру, обожествляют себя, продают дурачкам-админам нерабочий софт. Порой волосы вставали дыбом от их писанины... И что самое печально, их ботнет окончательно засрал сетмастера и этот процесс необратим, потому что вирус с компьютеров игроков могут удалить только сами игроки.

ДАННУЮ СТАТЬЮ ВЗЯЛ С CS.NET.UA


ДАВАЙТЕ РАССМОТРИМ ВЫВОДЫ:

1. Не качать файлы, которые появляются в MOTD окне как закачка.

Единственное, где подобное может быть исключением - проверенный сервер с UCP античитом, где не впускает без ucp.cmd файла. Но все равно - во избежание недоразумений лучше удалить после скачивания. =)

2. Не покупать/скачивать/использовать HLserver.

Ибо сама программа, возможно, открывает почти полный доступ к вашему компьютеру и добавляет вас в список прокси серверов, через которые злоумышленники потом дДосят/флудят сервера и создают фейковые редирект сервера. А кто-то за ваш хорошенький прокси им еще и деньги заплатит.

И так, думаем, зачем тогда нам нужна прога? Чтобы заходить через proxy на сервера, список которых ratwayer якобы для этого собирал (причем половина состоят из таких же как и вы)? И вы захотите играть анонимно с пингом в разы больше? Даже если так =), ну перебанят эти прокси на топовых серваках, половина отключатся, а за обновлениями прокси читор и следить не захочет, поскольку это редко. И точкой этому варианту я могу показать вам плагин, который блокирует подключение игроков через прокси именно с такой проги:


На лицензионной версии CS (Steam) в поиске вы эти сервера не увидите. Делаем вывод, что такие фейк-серва добавляются только в НОН-стим мастера.
Советую вам по возможности купить стим, ну или хотябы обновить версию игры (пропатчить) до 48 протокола с эмулятором, так как сейчас почти все топовые сервера начинают блокировать 47 протокол для избежания крашей от атак.

Выходит, все расчитано на каких-то лохов и вышеизложенный материал подтверждает это.

3. Удалить саму программу на компе.


HEY, WHAT'S UP?
 
WaNTeD Дата: Воскресенье, 19.06.2011, 16:56 | Сообщение # 2
Admin
Группа: Создатель
Сообщений: 397
Репутация: 81
Статус: Offline
Crash заинтересовал коментом. разбираюсь вот.

не знаю добавлять ли на сайт, пока добавил для себя просто


HEY, WHAT'S UP?
 
CoBeCTb Дата: Воскресенье, 19.06.2011, 17:22 | Сообщение # 3
Усердно помогает
Группа: Команда сайта
Сообщений: 490
Репутация: 57
Статус: Offline
Это ж они вроде setmasters переламали?

Добавлено (19.06.2011, 17:22)
---------------------------------------------
Если они, думаю людям надо знать что произошло с setmasters


Помог? Подари плюс)

прежде чем задать вопрос подумайте, А ОНО вообще НУЖНО?!
 
Crash Дата: Среда, 20.07.2011, 22:35 | Сообщение # 4
Усердно помогает
Группа: Проверенный
Сообщений: 345
Репутация: 43
Статус: Offline
Они это, они! Собираем народное ополчение, взяли вилы и пошли мочить гадов biggrin
Хотели они с сеттями покончить, а ведь только раскрутили) Половина сет мастеров уже востановлена, но уже думаю мастера канули в прошлое...
Теперь сетти за деньги раскручивает сервера, так что возможно это был пиар ход))
Кстати, я на лето нашел себе работу) Так что я пока очень мало времени могу уделить сайту, к учебному году исправлюсь smile


 
mantazh45 Дата: Четверг, 21.07.2011, 15:29 | Сообщение # 5
Стабильно помогает
Группа: Проверенный
Сообщений: 220
Репутация: 20
Статус: Offline
ахренеть я конешь мало что понял но кажись это что то жосткое=)))

 
CoBeCTb Дата: Четверг, 21.07.2011, 17:07 | Сообщение # 6
Усердно помогает
Группа: Команда сайта
Сообщений: 490
Репутация: 57
Статус: Offline
Пацаны через motd окно закидывали вирус игрокам, потом с компов раскручивали сервера (как я не понял), могли положить любой хостинг (тупо пинговали его), и еще по ходу setmasters положили что бы к ним за раскруткой обращались.

Помог? Подари плюс)

прежде чем задать вопрос подумайте, А ОНО вообще НУЖНО?!
 
Kote Дата: Четверг, 21.07.2011, 22:34 | Сообщение # 7
Усердно помогает
Группа: Проверенный
Сообщений: 428
Репутация: 33
Статус: Offline
положить бы их блин...
А еще лучше как в китае с ворами, там руки от рубают... так и тут надо! <_<


Помог? ставь +. Тебе не сложно, а мне приятно!
 
Zenden Дата: Четверг, 21.07.2011, 23:07 | Сообщение # 8
Стабильно помогает
Группа: Команда сайта
Сообщений: 280
Репутация: 53
Статус: Offline
Тема то не актуальна уже..Сие действие происходило в феврале, а вы только глаза открыли..
По теме - Ратваер - мозг. Придумать такое и реализовать не каждому под силу..
Я не вижу ничего плохого в том, что они слепили ботнет..Сейчас он есть у каждого второго школьника..
И да, раскрутка была замечательной..С ее помощью в топ 50 ГТ попал с пабликом =)
 
Crash Дата: Понедельник, 25.07.2011, 12:31 | Сообщение # 9
Усердно помогает
Группа: Проверенный
Сообщений: 345
Репутация: 43
Статус: Offline
Расскрутка происходила примерно так, в ПК школьников засовывали вирус autorun шифрующийся под процесс svchost.exe. Они могли контролировать ПК данного школьника, но перебирать вручную тысячи зараженных компьютеров было не актуально и была созданна программа которая упрощала все это дело. Вообщем цель этого вируса была в том, что как и программа HLServer поднять около тысячи фейковых серверов и непосредственно редектом направить всех игроков на 1 цельный сервер. Но когда зараженных ПК стало совсем много, они придумали как на этом заработать и начали продавать программу HLServer в которую были уже вписанны данные о зараженных ПК, пользователю оставалось только выбрать количество фейков и нажать старт, и вооАля с каждой зараженной машинки поднималось по 2 - 3 фейковых серверов, которые регистрировались в глобальной базе серверов и висели в ней переправля игроков при коннекте на сервер пользователя, который приобрел эту программу. Единственное что обидно, что сам пользователь становился частью ботнета и его ПК тоже работал "на благо обществу". Чем и платились? Так только высокой нагрузкой ЦП. Лично я не вижу в этом ничего ужасного. Да, было это давно, но вантед почему то вспомнил это именно сейчас smile
Я вот не давно наткнулся на эту дрянь)
Прикрепления: 1460751.jpg(454Kb)


 
Форум » Основное » Вопросы по серверам. » Как создать ботнет за 5 дней или вся правда о проге HLServer (virus)
Страница 1 из 11
Поиск: