ProHoster > Π‘Π»ΠΎΠ³ > Maamulka > Bhunter - jabsiga qanjidhada botnet

Bhunter - jabsiga qanjidhada botnet

Falanqeeyayaasha fayraska iyo cilmi-baarayaasha amniga kumbuyuutarka ayaa u tartamaya sidii ay u ururin lahaayeen muunado badan oo ah botnets cusub intii suurtagal ah. Waxay u isticmaalaan malabyada ujeeddooyinkooda ... Laakiin ka waran haddii aad rabto inaad u fiirsato malware-ka xaaladaha dhabta ah? Khatar geli serverkaaga ama routerkaaga? Maxaa dhacaya haddii aysan jirin qalab ku habboon? Waxay ahayd su'aalahan kuwa igu dhaliyay inaan abuuro bhunter, qalab lagu helo helitaanka qanjidhada botnet.

Bhunter - jabsiga qanjidhada botnet

Fikradda ugu weyn

Waxaa jira siyaabo badan oo loo faafiyo malware si loo ballaariyo botnets: laga bilaabo phishing ilaa ka faa'iidaysiga dayacanka 0-maalin. Laakiin habka ugu caansan ayaa weli ah furayaasha sirta ah ee SSH.

Fikraddu waa mid aad u fudud. Haddii qaar ka mid ah noodhka botnet ay isku dayayaan in ay ku qasbaan furaha sirta ah ee server-kaaga, markaa waxay u badan tahay in noodhkan laftiisa lagu qabtay furaha sirta ah ee fudud. Tani waxay ka dhigan tahay si aad u hesho, waxaad u baahan tahay oo kaliya inaad ka jawaabto.

Tani waa sida dhabta ah bhunter u shaqeeyo. Waxay dhegaysataa dekedda 22 (adeegga SSH) oo ururisa dhammaan login-yada iyo furaha sirta ah ee ay isku dayaan inay ku xidhmaan. Kadib, adoo isticmaalaya furaha sirta ah ee la ururiyay, waxay isku daydaa inay ku xidho noodhka weerarka.

Algorithm Work

Barnaamijka waxaa loo qaybin karaa 2 qaybood oo waaweyn, kuwaas oo ka shaqeeya qaybo kala duwan. Midda kowaad waa malab. Waxay qabataa isku dayga gelitaanka, waxay ururisaa logins iyo ereyada sirta ah ee gaarka ah (kiiskan, login + lamaanaha sirta ah ayaa loo tixgaliyaa inay yihiin hal dhan), waxayna sidoo kale ku daraan cinwaannada IP-yada ee isku dayay inay ku xidhaan safka weerarka dheeraadka ah.

Qaybta labaad waxay si toos ah uga masuul tahay weerarka. Intaa waxaa dheer, weerarka waxaa loo fuliyaa laba qaab: BurstAttack (weerar qarxis) - login xoog ah iyo furaha sirta ah ee liiska guud iyo SingleShotAttack (hal toogasho ah) - furaha sirta ah ee loo adeegsaday noodhka la weeraray, laakiin aan weli la helin. lagu daray liiska guud.

Si loo helo ugu yaraan xog ururin iyo ereyada sirta ah isla markiiba ka dib marka la bilaabo, bhunter waxaa lagu bilaabay liiska faylka /etc/bhunter/defaultLoginPairs.

interface

Waxaa jira dhowr siyaabood oo lagu bilaabi karo bhunter:

Sida koox ahaan

sudo bhunter

Furitaankan, waxaa suurtagal ah in lagu xakameeyo bhunter iyada oo loo marayo menu-ka qoraalka: ku dar galitaanka iyo furaha sirta ah ee weerarka, dhoofinta kaydka macluumaadka gelitaanka iyo ereyada sirta ah, qeex bartilmaameedka weerarka. Dhammaan noodhadhka la jabsaday waxaa lagu arki karaa faylka /var/log/bhunter/hacked.log

Isticmaalka tmux

sudo bhunter-ts # ΠΊΠΎΠΌΠ°Π½Π΄Π° запуска bhunter Ρ‡Π΅Ρ€Π΅Π· tmux  
sudo tmux attach -t bhunter # ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π°Π΅ΠΌΡΡ ΠΊ сСссии, Π² ΠΊΠΎΡ‚ΠΎΡ€ΠΎΠΉ Π·Π°ΠΏΡƒΡ‰Π΅Π½ bhunter

Tmux waa terminal multiplexer, qalab aad u habboon. Kuu ogolaanayaa inaad dhawr daaqadood ka dhex abuurto hal terminal, oo aad u kala qaybiso dariishadaha qaybo. Adigoo isticmaalaya, waxaad ka bixi kartaa terminalka ka dibna waxaad geli kartaa adigoon kala goyn hababka socodsiinta.

Qoraalka bhunter-ts wuxuu abuuraa kalfadhi tmux wuxuuna u kala qaybiyaa daaqada saddex qaybood. Kan ugu horreeya, ee ugu weyn, wuxuu ka kooban yahay liiska qoraalka. Midigta sare waxay ka kooban tahay diiwaannada malabka, halkan waxaad ku arki kartaa fariimaha ku saabsan isku dayga lagu galo malabka. Qaybta midig ee hoose waxay soo bandhigaysaa macluumaadka ku saabsan horumarka weerarka ee qanjidhada botnet iyo ku saabsan jabsiga guuleysta.

Faa'iidada habkan marka hore waa in aan si ammaan ah u xiri karno terminalka oo aan dib ugu soo laaban karno, iyada oo aan bunni joojin shaqadiisa. Kuwa aan aqoon u lahayn tmux, waxaan u soo jeedinayaa xaashidan khiyaamada.

Adeeg ahaan

systemctl enable bhunter
systemctl start bhunter

Xaaladdan oo kale, waxaan awood bhunter autostart at bilowga nidaamka. Habkan, la dhexgalka bhunter lama bixiyo, liiska noodhka la jabsadayna waxaa laga heli karaa /var/log/bhunter/hacked.log

Waxtarka

Intii aan ka shaqeynayey bhunter, waxaan ku guuleystey inaan helo oo aan helo qalabyo kala duwan oo kala duwan: raspberry pi, router (gaar ahaan mikrotik), server-yada webka, iyo mar beerta macdanta (nasiib darro, helitaanka waxay ahayd maalintii, sidaas darteed ma jirin wax xiiso leh). sheeko). Halkan waxaa ah sawirka barnaamijka, kaas oo muujinaya liiska noodhka la jabsaday ka dib dhowr maalmood oo shaqo ah:

Bhunter - jabsiga qanjidhada botnet

Nasiib darro, waxtarka qalabkani ma gaadhin filashooyinka: bhunter waxa uu isku dayi karaa furaha sirta ah ee noodhka dhawr maalmood guul la'aan, oo wuxuu jabin karaa bartilmaameedyo dhowr ah dhowr saacadood gudahood. Laakiin tani waxay ku filan tahay qulqulka joogtada ah ee muunado botnet cusub.

Waxtarka waxaa saameeya cabbirada sida: dalka uu ku yaal server-ka bhunter, martigelinta, iyo inta u dhexeysa ciwaanka IP-ga loo qoondeeyay. Waayo-aragnimadayda, waxaa jiray kiis markii aan ka kiraystay laba adeegayaal macmal ah hal hoster, mid ka mid ahna waxaa weeraray botnets 2 jeer marar badan.

Kutaanno aanan weli hagaajin

Marka la weeraro martigaliyayaasha cudurka qaba, xaaladaha qaarkood suurtagal maaha in si aan mugdi lahayn loo go'aamiyo in erayga sirta ah uu sax yahay iyo in kale. Kiisaska noocan oo kale ah ayaa la galiyay faylka /var/log/debug.log.

Qaybta Paramiko, oo loo isticmaalo in lagula shaqeeyo SSH, mararka qaarkood waxay u dhaqmaan si khaldan: waxay si aan dhammaad lahayn u sugtaa jawaabta martigeliyaha marka uu isku dayo inuu ku xidho. Waxaan tijaabiyay waqti-bixiyeyaasha, laakiin ma aanan helin natiijada la rabay

Maxaa kale oo loo baahan yahay in laga shaqeeyo?

Magaca adeegga

Marka loo eego RFC-4253, macmiilka iyo adeegaha waxay isweydaarsadaan magacyada adeegyada fulinaya borotokoolka SSH ka hor inta aan la rakibin. Magacani waxa uu ka kooban yahay goobta " MAGACA ADEEGA ", oo ka kooban labadaba codsiga dhinaca macmiilka iyo jawaabta dhinaca serverka. Goobtu waa xadhig, qiimihiisana waxa laga heli karaa iyadoo la isticmaalayo wireshark ama nmap. Waa kuwan tusaale OpenSSH:

$ nmap -p 22 ***.**.***.** -sV
Starting Nmap ...
PORT   STATE SERVICE VERSION
22/tcp open  ssh     <b>OpenSSH 7.9p1 Debian 10+deb10u2</b> (protocol 2.0)
Nmap done: 1 IP address (1 host up) scanned in 0.47 seconds

Si kastaba ha noqotee, marka laga hadlayo Paramiko, goobtani waxay ka kooban tahay xarig sida "Paramiko Python sshd 2.4.2", kaas oo ka bajin kara botnets kuwaas oo loogu talagalay inay "iska ilaaliyaan" dabinka. Sidaa darteed, waxaan qabaa inay lama huraan tahay in xariiqan lagu beddelo wax dhexdhexaad ah.

Qaybaha kale

SSH maaha habka kaliya ee maaraynta fog. Waxa kale oo jira telnet, rdp. Waxaa habboon in si dhow loo eego.

kordhinta

Way fiicnaan lahayd in dhawr dabin oo wadamo kala duwan lagu haysto oo si dhexe laga soo ururiyo loins, furaha sirta ah iyo noodhka la jabsado iyaga oo la galo xog guud

Xagee ka soo dejisan karaa?

Waqtiga qorista, kaliya nooca tijaabada ayaa diyaar ah, kaas oo laga soo dejisan karo kaydka Github.

Source: www.habr.com

Add a comment