mboost-dp1
unknown
226,585 unikke IP addresser fordelt over 35 aktive botnets... det er en pæn sjat. Og hvis der har været flere, som har været skjult for deres "drone" client, helt op til 1.000.000 inficerede computere, så er jeg MEGET bekymret!
Skræmmende, tror vist lige jeg skal have tygget hele dokumentationen igennem senere. Der er jo ikke tale om nørders PC'er der jo patcher ofte, blokerer oplagte porte og benytter Firefox. Der er istedet tale om "alle de andre" som ringer til os i ny og næ med problemer, men som vi ignorerer når det sker for tit og i sidste ende tror at de er beskyttet fordi de har antivirus (2 år gamle trials).
Tallet kan vel lyde ret stort, men hvis man tænker over hvor mange personer der lever uden nogen form for beskyttelse, så er det vel ikke overraskende? Mange klikker jo på alt som der normalvis ville være sund fornuft ikke at klikke på. Og i langt de fleste tilfælde har EULA jo noget med sagen at gøre da det kan misbruges på det kraftigste hvis brugeren ikke læser brugerbetingelserne igennem grundigt.
#3 EULA'en kan i visse tilfælde hænge sammen med det, men som der også står i rapporten, så var SDBot allerede inde på en ubeskyttet Win 2000, efter kun et par sekunder efter den kom på nettet. Så det er ikke kun EULA'er. Dvs. at du kan risikere at være inficeret INDEN du når at køre winupdate!
Jeg kommer også til at tænke på hvor tit jeg har fjernet agobot og sdbot, fra brugerenes maskiner her på min arbejdsplads. Og det er endda maskiner fra folk der ikke nødvendigvis falder ind under betegnelsen "hr. Jensen"
Jeg kommer også til at tænke på hvor tit jeg har fjernet agobot og sdbot, fra brugerenes maskiner her på min arbejdsplads. Og det er endda maskiner fra folk der ikke nødvendigvis falder ind under betegnelsen "hr. Jensen"
Hehe jeg har da også oplevet den slags ;) Men mit værste tilfælde var altså Blaster :P Den kom sgu hver gang (da jeg kørte win2K) med det samme jeg satte til for at opdatere :) Lidt provokerende, men man overlever jo den slags alligevel. Fik den imens jeg prøvede winupdate :P Fik den dog deaktiveret og hentet et blaster-removal ned :)
Men det er nu ikke sjovt når det sker 3 gang i træk ;)
Og nej, selv os g33ks kan lave fejl ;) Men IT-Administratorene på diverse firmaer kan oftest også klassificeres som en hr. jensen der har været på ekstra kursus :P Ihvertfald kan jeg nemt overgå den IT-ansvarlige på mit stedfars firma, han er bare pokkers stædig ^^
Men det er nu ikke sjovt når det sker 3 gang i træk ;)
Og nej, selv os g33ks kan lave fejl ;) Men IT-Administratorene på diverse firmaer kan oftest også klassificeres som en hr. jensen der har været på ekstra kursus :P Ihvertfald kan jeg nemt overgå den IT-ansvarlige på mit stedfars firma, han er bare pokkers stædig ^^
#4
Hvordan ser du at de er installeret? Er det bare inde under tilføj/fjern programmer?
Det er skræmmende og uhyggelig læsning synes jeg... Hvis jeg havde nosserne og kræfterne til det, ville jeg prøve at overtage nogle af de simple botnets, og vende dem mod dem som styrer dem. F*** hvor jeg dog ikke have sådanne "dregne" som leger med andres maskiner.
Hvordan ser du at de er installeret? Er det bare inde under tilføj/fjern programmer?
Det er skræmmende og uhyggelig læsning synes jeg... Hvis jeg havde nosserne og kræfterne til det, ville jeg prøve at overtage nogle af de simple botnets, og vende dem mod dem som styrer dem. F*** hvor jeg dog ikke have sådanne "dregne" som leger med andres maskiner.
For mig at se så har disse botnets en alvorlig arkilleshæl idet de alle benytter en central server af en eller anden slags til command & control.
Hvis det er en almindelig 'rigtig' IRC-server så kan operatøren let udelukke disse bots (det sker mange gange hver dag, for mange IRC-servere forbyder de fleste bots bortset fra placeholder-bots).
Hvis det er en dedikeret botnet-server (langt det mest hyppige) så har vi en hær af bots som alle er afhængige af en specifik server, og den kan så let skydes ned med deres egne metoder: DDoS.
Hvis disse honeynet-forskere ville offentliggøre en liste over de centrale servere for de omtalte 35 botnets så kender jeg en håndfuld folk som let kan skyde dem ned og holde dem nede. Det er næsten for let det her! :)
Vi (alle som ikke ejer et botnet) kan så let dræbe alle botnet hurtigere end de kan nå at blive sat op. Man kunne samtidig overveje at gå efter de zombificerede PC'er og skyde dem ned også. Så kunne folk lære at patche deres PC'ere eller holde sig fra nettet.
Hvis det er en almindelig 'rigtig' IRC-server så kan operatøren let udelukke disse bots (det sker mange gange hver dag, for mange IRC-servere forbyder de fleste bots bortset fra placeholder-bots).
Hvis det er en dedikeret botnet-server (langt det mest hyppige) så har vi en hær af bots som alle er afhængige af en specifik server, og den kan så let skydes ned med deres egne metoder: DDoS.
Hvis disse honeynet-forskere ville offentliggøre en liste over de centrale servere for de omtalte 35 botnets så kender jeg en håndfuld folk som let kan skyde dem ned og holde dem nede. Det er næsten for let det her! :)
Vi (alle som ikke ejer et botnet) kan så let dræbe alle botnet hurtigere end de kan nå at blive sat op. Man kunne samtidig overveje at gå efter de zombificerede PC'er og skyde dem ned også. Så kunne folk lære at patche deres PC'ere eller holde sig fra nettet.
#8 Jeps.. det er sandt nok, men jeg tror at grunden til man ikke gør det er, at de servere de kører på, også deler plads med alle mulige andre sites... f.eks. kunne man forestille sig, at mange kører på geocities. Jeg tror ikke Geocities er intereseret i at få lagt deres netværk ned! :)
Problemet er nok bare at de fleste bots i dag er spredt på mange forskellige servere.. og det er.. suk.. desværre ikke sværere end at script-kiddien finder en computer med en solid forbindelse og gør den til central server for en lille del af sit netværk.. med 3-4 backup servere og spredt ud over måske 10 uafhængige netværk der arbejder som et så er det stort set umuligt da et backtrack bare vil pege på en irc server et sted hvor der måske er 200 ( eller 500 ) computere connected til.. hver eneste af dem kan være botmasteren der sidder og kommandere sit netværk.. selv botmasteren kan også bare være en repeater der får kommandoer fra et irc netværk og genfortæller på et andet..
Lidt svært at forklare men alt vil ende i en måske ret offentlig irc server med masser af kanaler hvor der måske sidder 10 repeaters.. disse 10 repeaters genfortæller ud til andre private irc servere hvor der igen sidder 100-1000 bots og lytter.
Prøv lige at spore en person igennem så mange netværk hvor de er meget adskilt.. og naturligvis vil script kiddien i sidste ende selv sidde bag en proxy.. det er alt for nemt at skjule sig bag trejeverdens computere med ringe sikkerhed og umulige love..
Bare et lille indblik i hvorfor det netop er så svært at fange dem.. og hvor let det egentligt er at sætte op.. jeg har set en del netværk af den slags.. jeg er selv hacker.. ikke script kiddie.. jeg er ikke krimminel og gør ikke i den slags.
Lidt svært at forklare men alt vil ende i en måske ret offentlig irc server med masser af kanaler hvor der måske sidder 10 repeaters.. disse 10 repeaters genfortæller ud til andre private irc servere hvor der igen sidder 100-1000 bots og lytter.
Prøv lige at spore en person igennem så mange netværk hvor de er meget adskilt.. og naturligvis vil script kiddien i sidste ende selv sidde bag en proxy.. det er alt for nemt at skjule sig bag trejeverdens computere med ringe sikkerhed og umulige love..
Bare et lille indblik i hvorfor det netop er så svært at fange dem.. og hvor let det egentligt er at sætte op.. jeg har set en del netværk af den slags.. jeg er selv hacker.. ikke script kiddie.. jeg er ikke krimminel og gør ikke i den slags.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund