Neschopnost českých hostingů aneb Spusť si svého IRC bota kde chceš

Verze pro tiskPDF verze

Existenci různých webových botů, crawlerů a spiderů pomalu ale jistě přestává vnímat snad každý administrátor, protože je na jeho serveru/webu častějším hostem než on sám o sobě. Přesto i ostříleného admina dokáže vytočit pohled do logu, kde razí jako pěst na oko pokusy botů exploitovat nejnovější nebo nejrozšířenější zranitelnosti webových aplikací. Po jednom takovém pohledu do logu jsem se rozhodl trochu zapátrat po zdroji těchto pokusů.

Výsledkem mé cesty byl chan na IRC serveru s přibližně padesátkou botů (počet se prakticky neustále měnil v závislosti na aktuálních podmínkách). Sledováním chanu jsem strávil několik dní.

Jeho samotná existence není ničím zvláštním. Snad až na skutečnost, že tento chan hostil z 90% boty ze 2 českých a jednoho slovenského hostingu!! To mě překvapilo. Obzvláště, když administraci a osazenstvo tvořili indové, malajci a podobné národnosti.

Prakticky hned první den jeden český a jeden slovenský hosting přítomnost botů odhalil a takříkajíc jim "zatnul tipec" (bohužel mě nenapadlo udělat screeny, a proto ani jednu společnost nebudu jmenovat). Tím pádem se počet botů na chanu přiblížil patnáctce kousků. Po sedmi dnech sledování z původních hostů zůstal jen český hosting (je to ten, který se schovává za exotické ovoce a vydává se za nejlepší hosting v ČR - jmenovat ho nebudu, abych mu nedělal reklamu, což by jeho majiteli jistě udělalo velikou radost). Toho však doplnil další český hosting - pípni - a několik málo (asi 3?) dalších zahraničních hostingů.

Nevím, zda je (z pohledu indů) nějaký zvýšený zájem o české hostingy, každopádně je alarmující, že tyto stroje administrují naprosto retardované osoby, které nedokažou zjistit přítomnost botů a tyto odstranit. Provozovatelé takových hostingů by se měli zamyslet nad tím, koho zaměstnávají a v koho vkládají svou důvěru. Provozovateli autodopravy by se asi taky nelíbilo, kdyby si jeho auta jen tak, zadarmo, pujčovali lidé k projížďkám.

IRC_ovoce
Sedm dnů na odhalení desítky IRC botů je pro zelináře příliš málo.

IRC_pipni
Snad nepůjde pípni ve stomách zelinářů.

IRC_search
Boti v akci!

IRC_mysql
Boti umí z exploitnutých webových aplikací získat údaje k databázi.

Mno....

Tomu, ze jsou hostovany zrovna u nas bych se moc nedivil...
Kdybych chtel neco takoveho hostovat, tak si taky vyberu nejakej zapadakov na druhy strane planety.... :-D :-D

navod

myslim, ze by byl dobry clanek popsat tve techniky jak jsi zjistil odkud boti apod. jdou, pripadne jak se jim branit apod. Takovy clanek by byl jiste zajimavy.

clanek o nicem

souhlasim.takto mi clanek prijde uplne o nicem,autor v nem pouze ukazuje na neschopnost adminu hostingu. Co se tyce tech utocniku, takovych skiddies jsou spousty,ale jsou v podstate neskodni. Skody,ktere napachaji jsou minimalni.

Obrázek uživatele RubberDuck

Není to článek, je to

Není to článek, je to příspěvek v blogu. Jeho cílem nebylo popsat princip fugování chanu plného botů, ale poukázat, že kdesi v internetu existuje chan tvořený z drtivé většiny pouze boty hostovanými na CZ/SK internetu. A pokud si uvědomíš, jaký podíl celosvětového internetu tvoří CZ/SK internet je to opravdu zarážející. Pokud se s cm3l1k1m domluvíme, zkusím ze své sbírky vytvořit obsáhlejší seriál i s popisem funkčnosti. Pokud tedy nemyslíš, že to je moc lame a offtop.
Jinak co se týká skidds: Nepodceňoval bych je. Právě skidds mají potenciál nadělat největší viditelné škody. Nemají jeden chan a jeden IRC server a chany s řádově šestisty a více boty (minimálně 70 hostingů) a to už je solidní traffic. Navíc ne každý IRC bot == lame bot.

Obrázek uživatele cm3l1k1

nesouhlasim s tim ze jsou

nesouhlasim s tim ze jsou neskodni, protoze ty chany maji i tisice serveru a jejich schopnosti se odviji od zombie procesu na nich bezicich...

jinak, rikal jsem RDmu ze zverejneni kodu by bylo zajimavejsi, takze kdyz ho poprosime a popise nam jak funguji, tak budeme moc koukat :]

na netu podobnych letaji tisice a nektere opravdu prekvapi

.::[ optimista je člověk s nedostatkem informací.. ]::.
sed '66!d;s/[0-9]*\.\s*//;s/\./\!/' /usr/src/linux/M*