Ny mpandinika ny virosy sy ny mpikaroka momba ny fiarovana amin'ny solosaina dia mihazakazaka manangona santionany amin'ny botnets vaovao betsaka araka izay azo atao. Mampiasa tantely ho an'ny tanjony manokana izy ireo ... Ahoana anefa raha te-hijery ny malware amin'ny toe-javatra tena izy ianao? Ataovy tandindomin-doza ny mpizara na ny router? Ahoana raha tsy misy fitaovana mety? Ireo fanontaniana ireo no nanosika ahy hamorona bhunter, fitaovana ahafahana miditra amin'ny node botnet.
hevi-dehibe
Misy fomba maro hanaparitahana malware hanitarana ny botnets: manomboka amin'ny phishing ka hatramin'ny fitrandrahana ny vulnerability 0 andro. Saingy ny fomba mahazatra indrindra dia ny tenimiafina SSH manery mafy.
Tsotra be ilay hevitra. Raha misy botnet node manandrana manenjika tenimiafina ho an'ny mpizara anao, dia azo inoana fa io node io dia nosamborin'ny tenimiafina tsotra manerena. Midika izany fa raha te hahazo izany ianao dia mila mamaly fotsiny.
Izany indrindra no fomba fiasan'ny bhunter. Mihaino ny seranan-tsambo 22 (serivisy SSH) ary manangona ny fidirana sy tenimiafina rehetra izay ezahin'izy ireo hifandraisana aminy. Avy eo, amin'ny fampiasana ny tenimiafina voaangona, dia manandrana mifandray amin'ny nodes manafika.
Algorithm algorithm
Ny programa dia azo zaraina ho ampahany lehibe 2, izay miasa amin'ny kofehy misaraka. Ny voalohany dia honeypot. Manao andrana fidirana, manangona fidirana sy tenimiafina tokana (amin'ity tranga ity, ny mpivady fidirana + tenimiafina dia heverina ho iray manontolo), ary manampy adiresy IP izay nanandrana mifandray amin'ny filaharana ho fanafihana fanampiny.
Ny tapany faharoa kosa dia tomponβandraikitra mivantana aminβny fanafihana. Ankoatr'izay, ny fanafihana dia atao amin'ny fomba roa: BurstAttack (fanafihana mipoaka) - fidirana an-tsokosoko sy tenimiafina avy amin'ny lisitra ankapobeny ary SingleShotAttack (fanafihana tifitra tokana) - tenimiafina mahery vaika izay nampiasain'ny node voatafika, saingy mbola tsy nisy. ampiana amin'ny lisitra ankapobeny.
Mba hananana angon-drakitra momba ny fidirana sy tenimiafina avy hatrany aorian'ny fandefasana azy, ny bhunter dia atomboka amin'ny lisitry ny rakitra /etc/bhunter/defaultLoginPairs.
interface tsara
Misy fomba maromaro hanombohana bhunter:
Toy ny ekipa ihany
sudo bhunter
Amin'ity fanombohana ity dia azo atao ny mifehy ny bhunter amin'ny alΓ lan'ny menio lahatsoratra: ampio ny fidirana sy tenimiafina ho an'ny fanafihana, manondrana angon-drakitra momba ny fidirana sy tenimiafina, mamaritra tanjona ho an'ny fanafihana. Ny node voajirika rehetra dia azo jerena ao amin'ny rakitra /var/log/bhunter/hacked.log
Mampiasa tmux
sudo bhunter-ts # ΠΊΠΎΠΌΠ°Π½Π΄Π° Π·Π°ΠΏΡΡΠΊΠ° bhunter ΡΠ΅ΡΠ΅Π· tmux
sudo tmux attach -t bhunter # ΠΏΠΎΠ΄ΠΊΠ»ΡΡΠ°Π΅ΠΌΡΡ ΠΊ ΡΠ΅ΡΡΠΈΠΈ, Π² ΠΊΠΎΡΠΎΡΠΎΠΉ Π·Π°ΠΏΡΡΠ΅Π½ bhunter
Tmux dia terminal multiplexer, fitaovana tena mety. Mamela anao hamorona varavarankely maromaro ao anatin'ny terminal iray, ary mizara ny varavarankely ho tontonana. Amin'ny fampiasana azy dia azonao atao ny miala amin'ny terminal ary avy eo miditra tsy manapaka ny fizotran'ny fandehanana.
Ny script bhunter-ts dia mamorona session tmux ary mizara ny varavarankely ho tontonana telo. Ny voalohany, lehibe indrindra, dia misy menio lahatsoratra. Ny ambony havanana dia misy diarin'ny honeypot, eto ianao dia afaka mahita hafatra momba ny fikasana hiditra ao amin'ny honeypot. Ny tontonana ambany havanana dia mampiseho fampahalalana momba ny fivoaran'ny fanafihana amin'ny node botnet sy ny hacks mahomby.
Ny tombony amin'ity fomba ity amin'ny voalohany dia ny ahafahantsika manidy soa aman-tsara ny terminal ary miverina any aoriana, tsy misy bhunter mampiato ny asany. Ho an'ireo izay tsy dia mahazatra loatra amin'ny tmux dia manoro hevitra aho
Toy ny fanompoana
systemctl enable bhunter
systemctl start bhunter
Amin'ity tranga ity dia avelanay ny bhunter autostart amin'ny fanombohana ny rafitra. Amin'ity fomba ity dia tsy omena ny fifandraisana amin'ny bhunter, ary azo alaina ao amin'ny /var/log/bhunter/hacked.log ny lisitry ny node voajirika.
fahombiazany
Raha niasa tamin'ny bhunter aho dia nahavita nahita sy nahazo fahafahana miditra amin'ny fitaovana hafa tanteraka: raspberry pi, router (indrindra fa mikrotik), mpizara tranonkala, ary toeram-piompiana fitrandrahana harena an-kibon'ny tany (indrisy fa ny fidirana amin'izany dia nandritra ny andro, ka tsy nisy mahaliana. tantara). Ity misy pikantsary amin'ny fandaharana, izay mampiseho lisitry ny node voajirika taorian'ny andro niasana:
Indrisy anefa fa tsy nahatratra ny fanantenako ny fahombiazan'ity fitaovana ity: bhunter dia afaka manandrana tenimiafina amin'ny nodes mandritra ny andro maromaro nefa tsy mahomby, ary afaka mijirika tanjona maromaro ao anatin'ny ora roa. Saingy ampy ho an'ny fidiran'ny santionany botnet vaovao izany.
Ny fahombiazany dia misy fiantraikany amin'ny mari-pamantarana toy ny: ny firenena misy ny mpizara miaraka amin'ny bhunter, ny fampiantranoana, ary ny faritra misy ny adiresy IP. Raha ny traikefako dia nisy tranga iray nanofa mpizara virtoaly roa avy amin'ny mpampiantrano iray aho, ary ny iray tamin'izy ireo dia notafihan'ny botnets in-2 matetika.
Bugs mbola tsy voafehiko
Rehefa manafika mpampiantrano voan'ny aretina, amin'ny toe-javatra sasany dia tsy azo atao ny mamaritra mazava tsara na marina na tsia ny tenimiafina. Ny tranga toy izany dia tafiditra ao amin'ny rakitra /var/log/debug.log.
Ny Module Paramiko, izay ampiasaina amin'ny SSH, dia mandeha amin'ny fomba diso indraindray: miandry valiny tsy misy farany avy amin'ny mpampiantrano izy rehefa manandrana mifandray aminy. Nanandrana tamin'ny timer aho, saingy tsy nahazo ny vokatra irina
Inona koa no tokony hatao?
Anarana serivisy
Araka ny RFC-4253, ny mpanjifa sy ny mpizara dia mifanakalo anaran'ny serivisy izay mampihatra ny protocol SSH alohan'ny hametrahana azy. Ity anarana ity dia voarakitra ao amin'ny saha "ANARAN'NY SERVICE", voarakitra ao amin'ny fangatahana avy amin'ny lafiny mpanjifa sy amin'ny valin'ny serivisy. Tady ny saha, ary azo jerena amin'ny alalan'ny wireshark na nmap ny sandany. Ity misy ohatra ho an'ny OpenSSH:
$ nmap -p 22 ***.**.***.** -sV
Starting Nmap ...
PORT STATE SERVICE VERSION
22/tcp open ssh <b>OpenSSH 7.9p1 Debian 10+deb10u2</b> (protocol 2.0)
Nmap done: 1 IP address (1 host up) scanned in 0.47 seconds
Na izany aza, amin'ny tranga Paramiko, ity sehatra ity dia misy tady toy ny "Paramiko Python sshd 2.4.2", izay mety hampatahotra ny botnets izay natao mba "hisorohana" fandrika. Noho izany, heveriko fa ilaina ny manolo ity tsipika ity amin'ny zavatra tsy miandany.
Vector hafa
Tsy SSH ihany no fomba fitantanana lavitra. Misy koa ny telnet, rdp. Tena ilaina ny mijery akaiky azy ireo.
fanitarana
Tena tsara ny manana fandrika maromaro any amin'ny firenena samihafa ary manangona ny fidirana, ny tenimiafina ary ny nodes voajirika avy amin'izy ireo ao anaty tahiry iombonana.
Aiza no azoko alaina?
Amin'ny fotoana anoratana, ny kinova fitsapana ihany no vonona, izay azo alaina amin'ny
Source: www.habr.com