Hlavní navigace

Názor ke zprávičce Napadený botnet Mariposa měl 13 milionů uzlů od Ped7g - Tezko. :) Nektere z potrebnych kroku (nevim jestli si vzpomenu...

  • Aktualita je stará, nové názory již nelze přidávat.
  • 31. 3. 2010 11:47

    Ped7g

    Tezko. :)

    Nektere z potrebnych kroku (nevim jestli si vzpomenu na vsechno):
    - desifrovani zpusobu jakym bot komunikuje se svym ridicim serverem, a to jak detailu protokolu a moznych prikazu, tak cilovych stroju kde ocekava ridici server v danou dobu.
    - dohledat aktivni ridici servery, (idealne je i uspesne napadnout a ziskat statistiky / data / kontrolu), zacit dle toho hledat konkretni lidi co botnet ridi a spravuji
    - pripravit „lecbu“ ktera musi probehnout vice mene najednou aby majitel botnetu nemel cas zareagovat a zasadne zmenit kod botu:
    * blokovani potencionalnich DNS/IP pro nove ridici servery (ktere budou v case utoku na botnet zkouset kontaktovat napadene pocitace) u ISP kterych se to tyka
    * odpojeni stavajicich aktivnich ridicich serveru (opet nutna spoluprace vsech ISP/hostingu)
    * idealne nejaky ten update od MS a AV firem ktery vyuzije „hluche“ obdobi kdyz boty budou bez ridicich serveru a dokaze infikovany pocitac vylecit.
    * ja osobne bych v pripade uspesneho pruniku do ridiciho serveru jeste zkusil delat falesny update pro boty, aby se sami znefunkcnili, ale z pravniho hlediska je tohle ilegalni. (na druhou stranu *mne osobne* to prijde jako primerene poruseni zakona v zajmu zabraneni vetsiho porusovani)

    a samozrejme celou takovou akci aktivne ridit, domlouvat se s ruznymi ISP, atd…