Pericoli specifici nell'associare una botnet Linux?

4

Tra il problema di PHP-as-cgi-bin e shellshock, ho visto 4 o 5 diversi script Perl che, quando sono in esecuzione, pretendono di rendere la vostra macchina parte di una spaventosa, orrenda botnet.

Che cosa, in particolare, sarebbe il problema se si passasse attraverso lo script Perl, defangato in modo tale che qualsiasi eval o shell out o TCP o UDP o HTTP flooding o ricerca di "dork" di Google venisse rimosso e quindi eseguito lo script. Generalmente, il codice non è confuso o complesso, quindi sono fiducioso nella mia capacità di defangare.

La unità IDF 8200 o Unità PLA 61398 o l'FBI viene a dare un calcio alla mia porta? Se la mia entrata nella botnet non invia spam, o DDOS, qualcuno o qualsiasi altra cosa (perché l'ho castrato), sono in esecuzione afoul di qualcosa?

    
posta Bruce Ediger 03.11.2014 - 04:21
fonte

3 risposte

5

Sono stato lì, fatto questo, di fronte a un massiccio DDOS contro la mia compagnia in seguito. Suggerirei: prendi lo script, imposta un'istanza aws e eseguilo lì.

non eseguire mai lo script su un server che potrebbe essere collegato a qualsiasi sistema di produzione o alla tua azienda. cerca di rimanere anonimo, perché non sai con chi hai a che fare.

    
risposta data 03.11.2014 - 07:57
fonte
4

Ho fatto qualcosa di simile, ma ho preso diversi passaggi per proteggere me stesso . La mia preoccupazione non erano le autorità, ma le persone dietro la rete. Ho trovato assolutamente cruciale che non imparassero la mia identità, perché sicuramente non sarebbero contenti se scoprissero che mi ero infiltrato nella loro botnet.

Per evitare problemi, ho installato la distribuzione linux Tails in un ambiente virtuale (virtualbox, vmware, paralleli). Questa è una distribuzione creata per mantenere l'utente anonimo consentendo solo connessioni in uscita tramite la rete Tor.

Nel mio caso, avevano un repository di codice compilato e codice perl. Sembrava che il codice compilato fosse la loro versione preferita, e l'ho eseguito.

Non mi sono preoccupato di disinnescare il client botnet. Un errore? Forse, ma ero sicuro che la quantità di danni che potevo fare attraverso la rete Tor sarebbe stata piuttosto bassa, ho scelto di non perdere tempo a modificare il codice. Una maggiore preoccupazione sarebbe se avessero usato i comandi per aggiornare il file binario, quindi ho chrooted in un filesystem di sola lettura .

Ho eseguito il loro codice botnet utilizzando il programma torify . Ora tutte le connessioni TCP verrebbero instradate attraverso la rete Tor e altre connessioni in uscita sarebbero bloccate dal firewall implementato nella distribuzione di Tails.

Buona fortuna a te!

    
risposta data 03.11.2014 - 08:33
fonte
1

Una rete bot è solitamente associata a comportamenti malevoli (ad esempio, le persone che eseguono la botnet possono utilizzare il computer come parte di un attacco di tipo Denial of Service distribuito contro un'organizzazione). Vedo molti pericoli nel farlo e penso che sarebbe una pessima idea a meno che non si abbia una buona ragione per farlo (ad esempio, studiare la rete dei bot per sviluppare contromisure o provare a distruggere i proprietari della botnet). I pericoli che vedo includono quanto segue:

  • Potresti non "defangare" completamente il codice, e potrebbe ancora essere utilizzato dalle persone che eseguono la botnet per scopi dannosi.
  • Rischi di esporre i dati sensibili del tuo computer alle persone che eseguono la botnet.
  • Potresti rischiare "l'ira delle forze dell'ordine" a seconda del paese / delle leggi del tuo paese e quali sono le tue intenzioni. Spiegare le tue intenzioni agli agenti di polizia non tecnici potrebbe essere problematico.
  • Potresti rischiare il proprietario della "collera della botnet" come indicato dalla risposta di "quel tizio laggiù".
risposta data 04.11.2014 - 20:37
fonte

Leggi altre domande sui tag