Tá anailísithe víreas agus taighdeoirí slándála ríomhaire ag rásaíocht chun an oiread samplaí de bhotnets nua agus is féidir a bhailiú. Úsáideann siad potaí meala chun a gcríoch féin ... Ach cad más mian leat an malware a urramú i bhfíorchoinníollacha? Cuir do fhreastalaí nó ródaire i mbaol? Cad a tharlaíonn mura bhfuil aon fheiste oiriúnach ann? Ba iad na ceisteanna seo a spreag mé Bunter a chruthú, uirlis chun rochtain a fháil ar nóid botnet.
gur cuid lárnach
Tá go leor bealaí ann chun malware a scaipeadh chun botnets a leathnú: ó phishing go dtí leas a bhaint as leochaileachtaí 0-lá. Ach is é an modh is coitianta fós pasfhocail SSH brute-forcing.
Is é an smaoineamh an-simplí. Má tá nód botnet éigin ag iarraidh pasfhocail a bhrú chun cinn do do fhreastalaí, is dóichí gur gabhadh an nód seo féin le pasfhocail shimplí brúidiúla. Ciallaíonn sé seo go bhfuil d'fhonn rochtain a fháil air, is gá duit ach a chómhalartú.
Seo go díreach conas a oibríonn Bunter. Éisteann le port 22 (seirbhís SSH) agus bailíonn sé gach logáil isteach agus pasfhocal a ndéanann siad iarracht nascadh leis. Ansin, ag baint úsáide as na pasfhocail a bailíodh, déanann sé iarracht nascadh le nóid ionsaí.
Algartam oibre
Is féidir an clár a roinnt ina 2 phríomhchuid, a oibríonn i snáitheanna ar leith. Is é an chéad phota meala. Próiseálann iarrachtaí logáil isteach, bailíonn logáil isteach agus pasfhocail uathúla (sa chás seo, meastar an péire logáil isteach + pasfhocal ina iomláine amháin), agus cuireann sé seoltaí IP leis freisin a rinne iarracht ceangal leis an scuaine le haghaidh tuilleadh ionsaí.
Tá an dara cuid freagrach go díreach as an ionsaí. Ina theannta sin, déantar an t-ionsaí i dhá mhodh: BurstAttack (ionsaí pléasctha) - logáil isteach fórsa brute agus pasfhocail ón liosta ginearálta agus SingleShotAttack (ionsaí lámhaigh amháin) - pasfhocail fórsa brute a d'úsáid an nód ionsaí, ach nach bhfuil fós ann. curtha leis an liosta ginearálta.
Ionas go mbeidh ar a laghad roinnt bunachar sonraí logáil isteach agus pasfhocail ann díreach tar éis seoladh, cuirtear tús le Bunter le liosta ón gcomhad /etc/bhunter/defaultLoginPairs.
Comhéadan
Tá roinnt bealaí ann chun bunter a sheoladh:
Díreach mar fhoireann
sudo bhunterLeis an seoladh seo, is féidir bunter a rialú trína roghchlár téacs: cuir logins agus pasfhocail le haghaidh ionsaí, onnmhairiú bunachar sonraí de logins agus pasfhocail, sonraigh sprioc le haghaidh ionsaí. Is féidir le gach nóid hacked a fheiceáil sa chomhad /var/log/bhunter/hacked.log
Ag baint úsáide as tmux
sudo bhunter-ts # команда запуска bhunter через tmux
sudo tmux attach -t bhunter # подключаемся к сессии, в которой запущен bhunter
Is ilphléacsóir teirminéil é Tmux, uirlis an-áisiúil. Ligeann sé duit roinnt fuinneoga a chruthú laistigh de chríochfort amháin, agus na fuinneoga a roinnt ina bpainéil. Agus é á úsáid, is féidir leat an teirminéal a fhágáil agus logáil isteach ansin gan cur isteach ar phróisis reatha.
Cruthaíonn an script bhunter-ts seisiún tmux agus scoilteann sé an fhuinneog i dtrí phainéal. Tá roghchlár téacs ar an gcéad cheann, an ceann is mó. Ar an mbarr ar dheis tá logaí an phota meala, anseo is féidir leat teachtaireachtaí a fheiceáil faoi iarrachtaí logáil isteach sa phota meala. Taispeánann an painéal ar dheis íochtair faisnéis faoi dhul chun cinn an ionsaí ar nóid botnet agus faoi hacks rathúla.
Is é an buntáiste a bhaineann leis an modh seo thar an gcéad cheann ná gur féidir linn an críochfort a dhúnadh go sábháilte agus filleadh air níos déanaí, gan stop a chur lena chuid oibre. Dóibh siúd nach bhfuil mórán cur amach acu ar tmux, molaim .
Mar sheirbhís
systemctl enable bhunter
systemctl start bhunterSa chás seo, cumasaimid bunter autostart ag am tosaithe an chórais. Sa mhodh seo, ní sholáthraítear idirghníomhú le bunter, agus is féidir liosta na nóid hacked a fháil ó /var/log/bhunter/hacked.log
Éifeachtacht
Agus mé ag obair ar bhunter, d'éirigh liom feistí go hiomlán difriúil a aimsiú agus a fháil: pi sú craobh, ródairí (go háirithe mikrotik), freastalaithe gréasáin, agus uair amháin feirme mianadóireachta (ar an drochuair, bhí rochtain air i rith an lae, mar sin ní raibh aon suimiúil ann. scéal). Seo gabháil scáileáin den chlár, a thaispeánann liosta de na nóid hacked tar éis roinnt laethanta oibre:
Ar an drochuair, níor shroich éifeachtacht an uirlis seo m'ionchais: is féidir le bunter pasfhocail a thriail chuig nóid ar feadh roinnt laethanta gan rath, agus féadann sé roinnt spriocanna a hack i gceann cúpla uair an chloig. Ach is leor é seo le haghaidh sní isteach rialta samplaí botnet nua.
Bíonn tionchar ag paraiméadair den sórt sin ar an éifeachtacht mar: an tír ina bhfuil an freastalaí le bunter suite, a óstáil, agus an raon óna leithdháiltear an seoladh IP. I mo thaithí féin, bhí cás ann nuair a chíos mé dhá fhreastalaí fíorúla ó óstach amháin, agus ionsaíodh botnets 2 uair níos minice ar cheann acu.
Bugs nach bhfuil socraithe agam go fóill
Nuair a ionsaítear óstaigh ionfhabhtaithe, i gcásanna áirithe ní féidir a chinneadh gan athbhrí an bhfuil an focal faire ceart nó nach bhfuil. Déantar cásanna den sórt sin a logáil sa chomhad /var/log/debug.log.
Uaireanta iompraíonn an modúl Paramiko, a úsáidtear chun oibriú le SSH, go mícheart: fanann sé gan stad le freagra ón ósta nuair a dhéanann sé iarracht ceangal a dhéanamh leis. Rinne mé turgnamh le hamadóirí, ach ní bhfuair mé an toradh inmhianaithe
Cad eile ar gá oibriú air?
Ainm seirbhíse
De réir RFC-4253, malartaíonn an cliant agus an freastalaí ainmneacha na seirbhísí a chuireann prótacal SSH i bhfeidhm roimh shuiteáil. Tá an t-ainm seo sa réimse “SEIRBHÍS AINM”, atá san iarratas ó thaobh an chliaint agus sa fhreagra ó thaobh an fhreastalaí. Is teaghrán é an réimse, agus is féidir a luach a fháil ag baint úsáide as sreangshark nó nmap. Seo sampla do OpenSSH:
$ nmap -p 22 ***.**.***.** -sV
Starting Nmap ...
PORT STATE SERVICE VERSION
22/tcp open ssh <b>OpenSSH 7.9p1 Debian 10+deb10u2</b> (protocol 2.0)
Nmap done: 1 IP address (1 host up) scanned in 0.47 seconds
I gcás Paramiko, áfach, tá teaghrán sa réimse seo cosúil le “Paramiko Python sshd 2.4.2”, a chuireann eagla ar bhotnets atá deartha chun gaistí a “sheachaint”. Dá bhrí sin, is dóigh liom go bhfuil sé riachtanach rud éigin níos neodrach a chur in ionad na líne seo.
Veicteoirí eile
Ní hé SSH an t-aon mhodh cianbhainistíochta. Tá telnet, rdp ann freisin. Is fiú féachaint níos dlúithe orthu.
síneadh
Bheadh sé iontach roinnt gaistí a bheith agat i dtíortha éagsúla agus logáil isteach, pasfhocail agus nóid hackáilte a bhailiú go lárnach uathu i mbunachar sonraí coitianta
Cá háit is féidir liom a íoslódáil?
Agus é seo á scríobh, níl ach leagan tástála réidh, ar féidir é a íoslódáil ó .
Foinse: will.com