DDoS - Атаки

[golubev.nk]

Код:

посмотреть

DDoS - сокращение от английского Distributed Denial of Service, что означает "распределенная атака "отказ в обслуживании"". Слово "распределенная" говорит о том, что атака производится не одним компьютером и, соответственно, не по одному каналу, а целой группой компьютеров-зомби, которые одновременно начинают атаку. Используется как грубая сила, так сказать, танком напролом, для завала сервера (3.14zDoS серверу) или роутера (3.14zDoS целому сегменту сети).
Приблизительная схема DDoS такова: хакер ломает кучу серваков по всему Инету, устанавливает туда DDoS-модули, а потом, когда возникает соответствующая необходимость, командует всем своим зомбированным сервакам валить жертву. Соответственно, чем больше у него таких зомби, тем страшнее атака. Только представь, ведь существуют DoS-атаки, которые позволяют забить более мощный канал, чем у атакующего, а при DDoS общая пропускная способность всех зазомбированных машин может в десятки раз превосходить пропускную способность атакуемого!
Хорош этот способ тем, что не требует от устроителя данного веселья толстого канала связи. В принципе, он может даже не находиться в сети во время атаки, так как в данном случае используется чужой канал, чужой трафик и чужие компьютеры. Еще один плюс, даже если при DDoS вылетит (вовремя выключат) половину компьютеров, атака все равно будет чувствительна для жертвы.
Работает это очень просто, и до сих пор загадка, почему данный вид атаки является наиболее свежим и малоиспользуемым. Как известно, любой канал Интернета не резиновый и имеет свои ограничения. Вот на этом все и основано, то есть забивание канала мусором. Иногда бессмысленным, иногда конкретными запросами, иногда пакеты формируются так, чтобы ответ сервера был по размеру больше запроса. DDoS-модули могут быть также разными по написанию и использованию, например, бывают этакие навороченные троянские кони с системой прицеливания, а бывают просто бомбы с часовым механизмом. Даже баннер при желании можно использовать как DDoS-модуль. Для распространения можно использовать чаты, форумы или мыло. В принципе, для DDoS можно заюзать прокси-сервер, но данный метод пока мало обкатан и не дает нужных результатов.
По видам можно разделить DDoS-модули на саморазмножающиеся (e-mail вирусяги) и размножающиеся вручную (ломаешь и ставишь). Для размножения вручную хорошо подходят компы в интернет-кафе, и если приготовиться к акции за пару месяцев, то можно осуществить хорошую атаку, а если есть друзья в других городах, готовые пройтись по местным интернет-кафешкам, то атака получится просто замечательная. Как правило, серверные модули после установки слушают порт и ждут команд, поэтому вероятность обнаружения у них выше, чем у молчаливых, которые имеют все данные о жертве в себе и ждут своего часа, никак не проявляя себя. Еще делят по запросам: на посылающих "мусор", это случайные данные, как правило, посылаются по UDP или ICMP; расширяющиеся, например, минимальный запрос на HTTP-сервер имеет длину пакета 7 байт, а ответ зависит от сервера, www.yahoo.com в ответ послал 21239 байт, что в 3000 раз больше; и загружающие сервер, что очень эффективно против поисковых машин и страниц, собранных с использованием Perl или PHP.
Итак, хакер нашел себе кучу компов и хочет завалить любимый сервер, как же найти слабое место? Для начала, как и перед любой битвой, надо изучить своего противника. Прежде всего узнать, какая стоит система на сервере, хотя бы примерно. Если это 95 или 98 форточки (что крайне маловероятно), то достаточно знать, что максимальное количество соединений на данной ОС - 255. Понадобится флудилка вроде PortFucker и примерно 3-4 машины. Запустив этот агрегат на порт 80, можно идти пить кофе, поскольку порты забьются достаточно быстро, и до тех пор, пока админ файрволом или роутером не отрежет запросы, сервер будет недоступен ввиду слишком большой занятости. Это больше всего похоже на анекдот про Ржевского, помнишь? Дали мне одну свечку в левую руку, вторую - в правую, дают третью, а я и не знаю, куда ее деть... Вот так и сервер - вроде как занят, вроде работает, а никто этого не видит. Пойдем дальше: если это NT4/2000/XP, то можно и старым способом, но надо значительно больше машин, при 64М RAM на сервере он нормально держит 7000 соединений, а значит надо 30 машин под 95/98, можно и 2-3 под NT, но сами зомби тоже порядком подвиснут. В данном случае можно просто загрузить сервер мусором и забить канал (UDP пакеты), что сильно затормозит сервер. Но как на NT, так и на любом сервере Linux есть такая хорошая вещь, как timeout, то есть ограничение по времени. Это очень скользкая часть, поскольку если ограничение маленькое (1-2 секунды), то клиенты на медленном канале будут с трудом получать необходимое. Но если Timeout около минуты, то это самое слабое место, причем нет разницы, где он установлен, на POP3-порту или на FTP. Можно написать прогу, которая будет коннектиться, посылать команду типа "help" и опять коннектиться, и опять "help", поскольку сервер не отличает "хорошего" клиента от зомби, он будет вынужден висеть с каждым клиентом по минуте, а это достаточно для забивания всех возможных ресурсов. Если же жертва - поисковый сервер, то можно сконнектиться, сделать запрос по букве "а", вторым сконнектиться, сделать запрос по букве "б" и т.д. Все закончится тем, что сервер будет искать и мучить себя до потери пульса, а пульс сервак "пень-3/256Mb/канал на 64к" потерял после двенадцатого запроса. Если же это определенно линух, да еще и на хорошей машине, то тут только мусор, то есть если машина хороша, то слабое место в ней - это ее канал в И-нет, а следовательно, надо набирать как можно больше зомби и устраивать одноразовую массовую бомбардировку.
Ну, допустим, что с жертвой мы разобрались, теперь давай посмотрим на хакерское "оборудование", то есть программы для зомбирования машин. Прежде надо определиться, что именно лучше всего подходит. Если есть доступ к большому количеству интернет-кафе и им подобным заведениям, то писать надо определенно под форточки. Если же есть огромное количество серваков с возможностью запуска Perl, то на нем и надо писать. А если имеется просто 2000000 показов баннеров и при этом есть возможность показывать Flash-баннеры или html-баннеры (что значительно лучше) то ими и надо пользоваться. Затем, выбрав на чем писать и выбрав тактику нападения, неплохо посчитать, сколько надо машин и что лучше делать - серверподобного зомби или же все-таки бомбу с часами. Определившись и прикинув план работы программы (например, ждем 12:00 пятницы тринадцатого, затем начинаем бомбежку), стоит приступить к написанию программы. При реальных взломах не рекомендуется пользоваться готовыми DDoS-модулями, они хороши в обучающих целях, но на практике их быстро найдут, и жертвоприношение не осуществится.
НЕМНОГО ИСТОРИИ
Ну, а что бы не быть голословным и показать, что это все действительно работает, давай посмотрим реальное прошлое ака историю.
1. Yahoo
Наиболее шумный случай использования DDoS. Произошел он в начале февраля 2000 года с сервером компании yahoo и отрубил его на три часа. Для компании такого размаха, как yahoo, три часа - это, по примерным подсчетам, 1.2 млрд. баксов. По заявлениям прессы, атака была произведена с университетских компьютеров, которые оказались зомбированными. По примерным подсчетам было задействовано более тысячи компьютеров-зомби. В то же время был атакован сервер интернет-магазина e-bay, а затем книжный магазин amazone.com. Атакующим (не зомби :)) оказался канадец, называющий себя MafiaBoy, пятнадцати лет отроду. Все атаки производились банальным флудом UDP-пакетами с корявым содержанием, расчет велся на слабый канал, и стоит отметить, в расчетах он не ошибся, поскольку канал действительно не выдержал. Парень отделался 160 долларами штрафа и восьмью месяцами лишения свободы.
2. RLE-SLE
Целенаправленное использование баннеров одной компании против другой. Ребята из RLE заметили, что их дизайн был слизан SLE-шниками, после чего (по словам владельцев SLE) было зарегистрировано три сайта, и начались "показы" их быннеров с частотой примерно 20-30 показов в секунду. Сайт плюхнулся, переделали алгоритм, подняли. Теперь уже на всех участников (а не только на тех трех зарегистрированных) пошли показы с частотой 100-150 запросов в секунду. В принципе ребята просто хотели помочь с накруткой баннеров :)))). Но вот сервер SLE не выдержал хорошего потока, от чего слег. Завершение этой истории подробно не описано, но дизайн ребятки сменили. В настоящий момент сайт www.sle.com.ua находится в дауне. Способ решения проблемы нельзя назвать тактичным, но то, что он сработал и ожидаемый результат был получен, - это очевидно. Учитывая размах RLE (вчера было показано 27922759), использование этой дырочки может повредить и более сильным сайтам, не каждый может выдержать такой резкий наплыв "посетителей".

ЧЕТЫРЕ ОСНОВНЫХ ТИПА АТАК DoS

Насыщение полосы пропускания (bandwidth consumption)

Эти атаки основаны на том, что хацкер под завязку заполняет всяческим мусором атакуемую им сеть. Необходимым условием для этого является наличие у взломщика толстенного канала (во всяком случае, толще, чем у атакуемого хоста). Он отсылает на вражеский сервак тучи различных запросов и прочей информационной пурги, насколько позволяет толщина его канала, забивая линию атакуемой машины. Соответственно, забитая линия не может пропустить к серваку еще какие-либо другие запросы. Вот тебе и DoS :). Пользователи не могут получить доступ к серверу, а у самого сервера начинает отъезжать крыша, и он даже может упасть в даун. Инфа с сервера становится временно недоступной для юзеров (пока админ не спохватится и не примет меры). Bandwidth consumption - отличный выбор, если нужно временно вывести из строя какой-нибудь web-сервачек или базу данных. А также отлично подходит для выкидывания из сети всякого ламья, хамящего на ирце, - ведь у всякого диалапного ламья коннект часто очень хиленький :). И совсем не обязательно самому висеть на толстенном канале - достаточно иметь удаленный доступ к машине, висящей на таком мощном конце.
Самый типичный (и самый тупой) пример bandwidth consumption - это банальный ping. Почему тупой? Да потому что пакеты ping-запросов и ping-ответов незначительно отличаются по размеру, и канал у атакующего и атакуемого забивается в равной степени - 3.14zDoS может произойти обоим :). Фишка катит, если у атакующего канал шире, чем у атакуемого, но это туфта, так как атакуемыми чаще всего оказываются сервера (с широченными каналами), а не левые диалапные юзеры. Поэтому "не тупыми" bandwidth consumption-атаками считаются такие, при которых атакуемый комп вынужден отсылать значительно больше информации, чем атакующий. Простой пример - самый обычный HTTP-запрос на страничку. Клиент (хацкер) шлет серваку малюсенький запрос, типа "GET /index.html", а сервер ему шлет эту самую index.html, размер которой может оказаться в сотни раз больше, чем размер запроса. Дальше вступает в силу элементарная математика: хацкер висит, допустим, на мегабайтном канале, а сервак - на десятимегабайтном; разница - пропускная способность канала сервера больше в десять раз; следовательно, если ответ будет по размеру превосходить запрос, скажем, в пятнадцать раз, у хакера будет хороший шанс за3.14zDoS`ить вражеский сервак. Все очень просто :). Но тут есть еще одна заковырка: а как же index.html, которая отправляется хацкеру от сервера с каждым новым запросом? Она же тоже забивает атакующему канал... Да уж, еще как забивает - от такого трафика хакерюга со своим хиленьким каналом уйдет в даун, когда сервер еще и почесаться не успеет :). Решение, как всегда, по-хацкерски простое: подменять source IP (айпишник отправителя) в пакетах запросов на какой-нибудь другой, чтоб проклятые index.html уходили на этот самый другой адрес, не забивая канал хакера. При этом желательно, чтоб source IP в каждом запросе был разный, а то нехилая нагрузка пойдет на машину с этим адресом, и может спохватиться админ сети, которой она принадлежит, - лишний шум, лишняя возня - ничего хорошего. А так на разные IP`шки приходит какая-то хтмлка - ну, подумаешь, ошибка маршрутизации...
Если ты хорошенько пошевелишь мозгами, то сам догадаешься, как можно кого-нибудь задосить еще одним способом: находится огромная сеть (с кучей машин) на широченном канале, и ей шлются запросы, source IP в которых заменен на IP жертвы. Вся эта байда начинает слать на несчастный IP`шник ответы, думая, что запросы пришли именно от него, забивая по самые уши канал атакуемому и устраивая бедняге мега3.14zDoS :). Такая фишка называется усилением (или умножением) DoS-атаки.

Недостаток ресурсов (resource starvation)

Атаки, направленные на захват критических системных ресурсов: процессорное время, место на харде, память и т.д. Resource starvation часто очень похож на bandwidth consumption: взломщик опять-таки отсылает кучу запросов на сервер, после чего тому наступает полный 3.14zDoS :). Но на этот раз пакеты не забивают канал хоста-жертвы, а занимают, скажем, все его процессорное время. Ведь на обработку каждого пакета сервак затрачивает некоторое процессорное усилие. Остается только выбрать такие пакеты, на которые процессорного времени тратится достаточно много, и вперед - бомбить ими тачку! Канал-то может оказаться достаточно широким - с ним все будет ок, а вот проц просто захлебнется, обрабатывая всю эту бомбежку. Результат - все остальные процессы висят, пользователи не могут получить доступа к сервисам. Еще один популярный пример - это когда хард забивается логами. Еcли админ - ламо, он может криво отконфигурировать систему логирования на своем серваке, не поставив ей лимит. Тогда достаточно выбрать такие пакеты, которые жрут в логах больше места, и начать отсылать их на сервер пачками. Через какое-то время файлы логов разрастутся до немереных размеров, сожрут все место на харде, и машина опять окажется в "затруднительном положении". Правда, это покатит только на самых ламерских серваках - грамотные люди держат логи на отдельном от системного харде. Также resource starvation актуален, если у хакерюги уже есть какой-то (ограниченный) доступ к ресурсам машины (например, у него есть непривилегированный аккаунт) - тут поле для действий значительно шире в том смысле, что взломщик не ограничен одними только пакетами, которые он может отсылать на удаленный сервер. Тут немаловажную роль играет, насколько грамотно построена система квотирования. Например, если на хостинге есть доступ к cgi, можно написать скрипт, который нехило жрет памяти или, опять же, ресурсов проца (ну, скажем, циклически создает какие-нибудь огромные массивы/хэшы в памяти или вычисляет какие-нибудь громоздкие математические формулы), и обратиться к нему несколько сот/тысяч/десятков тысяч раз. Если система квотирования настроена глючно, то такой скрипт очень скоро отожрет всю память (или забьет проц), а если все пучком, то процесс скрипта, достигнув поставленного ему лимита в жоре памяти, не получит доступа к мозгам до тех пор, пока не выгрузит оттуда старые данные.

Ошибки программирования (programming flaw)

Эти атаки направлены на слабые места, баги и недокументированные функции операционных систем, программного обеспечения, процессоров и программируемых микросхем. Зная дырки в чем-то из вышеперечисленного, можно создать и отправить по назначению определенный пакет, который вызовет какую-либо ошибку, переполнение буфера или стека. В результате этого возможны тяжкие последствия для всей системы. Она будет виснуть, глючить и биться в конвульсиях. Причем, если хорошо знать архитектуру процессора, на котором запущенна система, то не составит труда вызвать какую-нибудь некорректную инструкцию или операцию в их кремниевых мозгах. Все мы знаем, что не существует осей, софта и железа без багов. Недаром bug-traq на хакерских серваках и в нашем журнале пополняются с завидной регулярностью, так что почаще в них заглядывай и сам экспериментируй (может, сам чего никому пока еще не известного откопаешь), и делай соответствующие выводы.
Самый тривиальным пример: программер пишет клиент-серверное приложение, работающее по такому-то протоколу, в спецификации которого сказано, что такое-то поле такого-то пакета может содержать максимум 65500 бит данных. Программер сам писал клиентскую часть, и, как оказалось, на практике больше 255 бит в это поле пихать не приходится, поэтому он написал свою клиентскую часть так, что она шлет в этом поле максимум 255 бит, а больше - не умеет. В серверной части проги кодер написал, что такая-то переменная (в которую будет передаваться содержимое того самого поля из того самого пакета) имеет длину 255 бит (все равно больше приехать не может, так как клиентская часть не умеет отсылать больше 255). Поставили сервак, раздали юзерам клиентские проги - все пучком, все работает, все довольны. Но тут пришел хакер, разобрался во всем этом деле и устроил в этом маленьком раю большой 3.14zDoS. Он модифицировал клиентскую часть (или написал свою) так, чтоб та слала 65500 бит данных в том самом поле именно того пакета. Все хорошо, протокол позволяет передавать данные такой длины, а вот сервер, написанный программером, к такого рода отношениям не готов... Данные приходят, и все 65500 бит записываются в переменную, размер которой 255 бит, - нарушается организация памяти, прога глючит, сервак висит, клиенты не могут получить к нему доступ. 3.14zDoS, короче :).

Маршрутизация и DNS

Ну, тут и так все ясно - если иметь доступ к маршрутизатору, то можно изменить таблицы маршрутизации таким образом, чтоб желающие попасть на сервак с IP`шником таким-то попадали совсем на другой IP либо на IP, которого вообще не существует. То же самое DNS, но уже в отношении сайтов. Если получить доступ к кэшу DNS`ки, можно привязать искомое доменное имя совсем к другому IP`шнику, и тогда юзвери будут попадать на этот самый совсем другой сервер, а не туда, куда они хотели. Если же вставить вообще несуществующий IP, то это будет больше похоже на DoS.
Особенностью этих атак является то, что сам атакуемый сервак (да он, в общем-то, и не атакуем) продолжает нормально работать, в то время как его юзвери не могут на него попасть, думая, что он в дауне.

DoS-АТАКА - ВИРТУАЛЬНЫЙ АНАЛОГ ЯДЕРНОЙ ВОЙНЫ?

Как видишь, DoS-атак существует несколько, а средства для их проведения вполне доступны, и все необходимые инструменты для них можно найти в Инете. Так что устроить такую атаку при большом желании может даже ушастый ламер, если найдет готовые тулзы (обезьяна с гранатой). Последствия, к которым приводят такие забавы, могут оказаться очень даже не детскими и пострашнее, чем последствия от вирусов. Именно поэтому DoS становится все более популярным и широко используемым в среде кибертеррористов и киберманьяков, а правительства некоторых развитых стран даже рассматривают вопросы ведения виртуальных войн. Так что будущее, которое лет 10-20 назад нам рисовали в своих рассказах писатели-киберпанки, уже не за горами.

[golubev.nk]

Код:

посмотреть



Все сталкивались с такой вещью, как тикающие часики жадной программы, отмеряющие ее жизнь. Когда у человека мало опыта, то он бьет в шаманский бубен и ходит кругами вокруг компьютера, вымаливая снисхождения у богов Шаровара и Триала. Но ты крут, и сразу идешь на кряк-сайты за лекарством от жадности. Позволь поведать тебе о нехороших вещах, которые могут пройзойти с тобой.
Адски сверкая глазами и потирая жадные ручки, ты продираешься к заветному кряку. На своем пути ты сметаешь кучу флешевых окон и pop-up'ов с приглашениями к бесплатному просмотру порнографии, прослушке тысячи гигабайт mp3'шек и увеличению своего пениса со скидкой в 15%. Преодолевая преграды, ты осторожно стягиваешь потребный крошечный файл, проверяешь его своим свежеобновленным антивирусом, и со спокойной душой запускаешь программу. Ура, софтина излечилась от патологической жадности разработчиков, и готова верой и правдой служить на твоем личном фронте. Ликуя и бесовски усмехаясь, ты отключаешься от сети... А в это время в недрах системы началась кропотливая работа - десятки маленьких программок словно муравьи копошатся в потрохах системных dll'ок, вшиваются в твой браузер и начинают мониторить соединение с сетью, готовые выслать информацию своему ненаглядному хозяину. "Что за фигня, я же юзаю антивирус и не открывал ничего непотребного?", спросишь ты. А все потому, что добрые дяденьки вместе с лекарством всучили тебе кучку килобайт дряни в обход твоей защите.
Общий механизм заражения прост - ты заходишь на "зараженный" сайт. Из-за глюков браузера, в твою систему загружается, а далее запускается shell-код. Он обладает маленьким размером и размер троянца настолько мал, что даже сидя на диалапе ты ничего не заметишь. Shell-код запускает оболочку, а затем происходят самые интересные вещи: открывается порт, запускается спам-рассылка, либо DoS-атака на определенный ресурс.
На скриптовые вирусы ты можешь напороться где угодно, но особая концентрация наблюдается на кряк-сайтах. Немудрено, ведь как известно, бесплатный сыр бывает только в мышеловке. И ради того, чтобы обезопасить тебя, мой дорогой читатель, я и предпринял этот тяжелый для моей системы обзор. Начал с того, что установил голую винду (XP, SP1, никаких патчей) и выставил все системные значения по дефолту - Java включена, ActiveX элементы тоже. После накатил и тут же приостановил работу антивируса и фаервола (AVP и Outpost соответственно). Признаться, я немного нервничал, выплывая на этой убогой шаланде в дикие просторы Интернета. Но результат оправдал все мои ожидания.
Перво-наперво, я зарулил на astalavista.box.sk - самый раскрученный поисковик кряк-сайтов. Совместив приятное с полезным, мне захотелось найти лекарство для программы Wav Joiner. Эта утилита объединяет несколько WAV-файлов в один, но просит за свою работу 30$. Введя в поисковое окно название программы, я получил лист из 6 кряк-сайтов. Первый из них назывался cracks.am. Игнорируя попапы и флеш-окна, я пробрался к ссылке на кряк. Но во время моих странствий в системе происходили какие-то аномалии: браузер постоянно зависал, а в панели задач пару раз на секунду появлялось черное окно консоли. Это доказывало, что какая-то зараза таки успела пробраться в мою непропатченную систему. Запустив скаченное лекарство, я получил сообщение о несоответствии версии программы. Странно, но в описании к кряку был отмечен именно тот релиз, что имелся у меня на компьютере. Впоследствие стало ясно, что кряк - это простая подделка, выпускающая на волю RPC-DoS-троянчика. С момента запуска псевдокряка, каждые полчаса Инет начинал тормозить, а через пару вынужденных перезагрузок система впала в анабиоз (в это время я начинал лихорадочно шлепать скриншоты и сохранять все, что было под рукой). Спустя пару минут медитации винда упала в BSoD. Очевидно, что это была вина скриптов, сканирующих сеть и хлопающих непатченные компьютеры. А возможно, это был Net-Worm.Win32.Francette.a, или Raleca. (эту заразу впоследствии нашел мой антивирус).
Разбор полетов
Мне ничего не оставалось делать, как грузануться в safe-mode и запустить проверку системы с помощью AVP. Сканирование показало, что на моей машине поселились аж 3 разных вируса (и это после захода всего на один ресурс)! Но интуиция подсказывала, что на компе еще что-то прячется. И я был прав. Запустив проводник и перейдя в системный каталог винды (c:windowssystem32), я отсортировал все файлы по дате создания. Оказалось, что в системе обитает некий system32.dll и system32.com, созданные во время путешествия по cracks.am. Я сразу же кинулся мониторить текущие процессы, но оказалось, что эта тварь (или какой-нибудь другой троянец) установила политику, запрещающую запуск менеджера задач. Конечно же, я быстро отменил ее, но мне стало ясно, что не все троянцы могут быть замечены антивирусом.
Следующие ресурсы, которые я посетил носили имена crackportal.com, serialsite.com, subserials.net, warezz.nm.ru и crackers.org (по порядку) На _всех_ порталах открывались всплывающие окна и загружались троянцы. Но в каждой бочке дегтя, есть бочка меда - единственный ресурс crackers.org выдал мне чистый кряк, который взломал программу без последствий.
Хочется рассказать о ресурсе crackportal.com, а точнее об одном ядовитом pop-up'е, открывающийся при выборе кряка. В систему через баг Осла сливается "картинка" pic10.jpg, которая на самом деле является экзешником и заменяет собой Windows Media Player. Затем сливаются приложения web.exe и classload.jar, после чего стартуется апплет и определяет местонахождение винды (GetWindowsDirectory()), сбрасывает туда web.exe и запускает его. Волшебным образом в системе оказывается троянец Trojan.Win32.Spooner.f. А он в свою очередь тащит за собой Trojan-Downloader.Win32.Small.apf. Короче, начинается конкретная круговерть, которая заканчивается тем, что на компьютере оказываются: Trojan-Spy.Win32.Banker.jk, Тrojan-Proxy.Win32.Small.bh, Backdoor.Win32.Zins.c, Trojan-Dropper.Win32.Small.vn, Trojan-Dropper.Win32.Small.wp, Trojan-Downloader.Win32.Agent.lv и Backdoor.Win32.Jeemp.c. Душевно, правда? :). Кроме этого, модифицируется файл hosts, в котоом блокируются урлы Касперского, MCAfee, и Symantec. Мало того, как я заметил, происходит генерация фейкового html-файла, который забрасывается на десктоп и сообщает юзеру о том, что у него по крайней мере 3 опасных вируса в системе, и предлагается пройти по адресу topantivirus.biz для того, чтобы скачать антивирус :).
Троян среди рефератов
Смекнув, что троянцы могут прятаться не только на кряк-ресурсов, я заглянул на www.referatov.net и www.forum.x-gold.ru (якобы для поиска реферата). Загрузив первый попавшийся реферат, я опять сделал анализ системы. О-па! Вот и первый улов - VBS.Redlof. Краткие ТТХ этого вируса: написан на языке Visual Basic Script (VBS) и зашифрован Visual Basic Encoded Script (VBE). Создаваясь, Redlof скидывает свой код в системный каталог винды с именем Kernel.dll. Кроме этого вирус создает файлы kjwall.gif в каталогах System32 и Web, а потом копирует себя во все каталоги на других дисках в виде файла folder.htt. Размножается зверушка нехитро, файл folder.htt копируется вирусом во все каталоги при их просмотре/открытии эксплорером (включая flash-носители и дискеты). Потом дописывает себя во все HTM-файлы, находящиеся в каталоге windowsweb и скидывает себя в iejit.htm, offline.htm и прочие файлы. Старо конечно, но юзеру жизнь попортить может (я изрядно замучился убивать продукты его жизнедеятельности) :).

Флешевые ролики, которые то и дело появляются и на crack, и на других халявных ресурсах, также могут содержать в себе различную заразу. Вспомни adware-трой, который сидел на MySpace. Флешка, которая рекламировала забугорный сайт deckoutyourdeck.сom использовала дырку в виндах, связанную с *.wmf. Шуму было! Хотя по сути вирь ничего не затирал, но доставал реально - постоянно скидывал кучу pop-up окошек с оравой баннеров + мониторил серфинг по сети. А изготовили его братья-славяне - за свежими картинками он обращался к нашему серваку. Заразил он тогда около 2 миллионов тачек, ущербу нанес на 3 миллиона вечнозеленых. Подобную поделку я узрел и на cracks.am (через флешку мне без проблем загрузился червячок Net-Worm.Win32.Francette.a).
В результате моего долгого эксперимента выяснилась непреложная истина - чем меньше размерами и раскрученностью сайт, тем выше вероятность того, что он червив от начала тэга до последнего пикселя на его морде :). Порывшись во всей этой шушере, я вылез оттуда обвешанный 16 видами дряни. Среди них обнаружились малоизвестные JS.Scob.Trojan,JS.Scob.Trojan.b, Bofra, Troj/Borobt-Gen, TrojanClicker.Win32.Small.h (эту заразу кто-то модифицировал, ибо оригинал кликал на www.sex.de, а этот вел на другой сайт), и еще кучка мелких и малоизвестных червячков. Один из них доставил мне немало потехи. Мелкий уродец пытался скрыть свое тело, шифруясь ксором :).
Основы безопасной жизнедеятельности
Если ты жить не можешь без крякерских ресурсов, то обязательно придерживайся следующих рекомендаций:

Не используй IE для навигации по "халявным" сайтам. Рекомендую поставить последний FireFox, в котором на порядок меньше глюков. А лучше всего серфить кряк-порталы через консольный lynx.
Если юзаешь WinXP, обязательно поставь SP2 и накати все хотфиксы.
Поставь фаервол (тут уже дело вкуса, но желательно чтобы был интегрированный скриптчекер) и антивирус.
Отключи Java (хотя вряд ли согласишься - большинство современных web-страничек будут выглядеть довольно убого, да и навигация усложнится на порядок) и неподписанные ActiveX элементы. Также отключи прием cookies со всех ресурсов (потом пропишешь вручную те сайты, которым это разрешено).
Регулярно проверяй hosts файл на предмет сторонних линков.
Сделай снимки системы и программ, которые ты используешь в сети и раз в неделю сверяй их с контрольными образами - если зверь и влезет, то ты без проблем сможешь отследить, когда и как это произошло. Думаю, не нужно напоминать о том, что в категории риска находятся в первую очередь порно-warez-кряк сайты. В принципе, идеологию владельцев этих сайтов можно понять, т.к. они зарабатывают на пороках и наказывают за эти пороки :).

[Bukinist]

а сколько могут стоить услуги DDoS на конкретный сайт под заказ?

[DCRM]

Цитата: Сообщение от Bukinist а сколько могут стоить услуги DDoS на конкретный сайт под заказ?

Эх... нет бы что бы по интересоваться как САМОМУ организовать это дело... а так.. цены договорные, короче на нашем форуме делаем всё сами! раз уж тема поднялась, то предлагаю к вниманию 2 ботнета:


dkcs_ddos_bot - DoWnLoad
ДДоС бот с управление ботнетом через веб.
admin_panel.rar - админка для управления ботнетом
dkcs_ddos_bot_src.rar - сам бот, его код
SC_generator.rar - программа для перевода бинарного файла в массив байт (используется в боте)

Illusion bot DoWnLoad
/Packers/ - тут несколько .exe-упаковщиков, MEW, aspack, fsg, upx, а так же утилита DotFix FakeSigner
/WebAdmin/ - тут лежат скрипты веб-админки... (index.php, updater.php)
Builder.exe - билдер, настраивает бота
BOTBINARY.EXE - сам бот, которого надо открывать билдером
Readme.html -

Sprut - Multisystem TCP Denial of Service Attacker

Внимание!

Программа предназначена для сетевых администраторов. Она должна использоваться только в целях обучения и тестирования. Автор не несет ответственности за любые незаконные действия, совершенные при помощи данной программы. Поставляется по принципу "Как есть". Никаких гарантий не прилагается и не предусматривается. Вы используете это программное обеспечение на свой страх и риск.

HachTool's !!!




Пароль: nowa.cc_by_DCRM

[WeNZeeR]

dkcs_ddos_bot раньше стоил 1400$, автар бота кидала.

PS качество бота просто ужасное.

Добавлено через 2 минуты

Цитата: а сколько могут стоить услуги DDoS на конкретный сайт под заказ?

60-100$ сутки.

[DCRM]

Вот небольшая поборка ботов:
_ttp://securitydot.net/exploits/index.php?dir=bots/

вот фича http://mif1.h18.ru/ko/DosiM.rar

[bask]

ребята, дайте линк на скачку в пм. последний не работает.

[eskeip]

Насколько мне известно, то цена за DDoS зависит от вида DDoS, штраф от 10000 до 4 лет турмы в колонии поселении + штраф за причинённый ущерб. Кругленькая сумма получается.