Как вычислить Контролер Ботнета? На практике DDoS атаки организуют не только профессионалы.

[POCOMAXA]

На самом деле как показывает практика ddos атаки организовывают не всегда профессионалы. Зачастую это такие же ламеры как и хозяева компьютеров зараженых ботами. Вы можете сами попробовать свои силы в качестве продвинутого хакера и попробовать вычислить сервер который контролирует ddos ботнет. Привожу простейшие шаги с помощью которых вы можете это сделать.
Нам понадобится ...

* Логи http сервера
* мИРЦ // не обезательно
* IRIS Sniffer
* Пару сплойтов
* Ну и конечно же МОЗГ

И так, у вас есть логи. Скажем с них мы взяли IPшники: 231.32.32.211, 4.5.6.7, 6.7.8.9, 12.13.14.15, 23.24.25.26.  Теперь у нас есть 50/50 шанс того что эти машины были зомбированы с помощью любого бота типа пхатБот, ериксБот и другие ламерские ddos  боты.

Значит нам прежде всего нужны сплойты для LSASS, PnP, DCOM135, DCASS . Их можно найти на  – securitylab

Прежде всего, мы берем эти IP и поочереди проверяем их на дырявость сплойтами. Если вам удалось войти в систему – считайте что Вы уже уничтожили пол-кулхакера. Теперь нам надо поставить rAdmin или любую другую тулузу remote administrating. Поставили, запустили и готово.

Теперь вам надо подключится рАдмином к машине, и дождатся полного затишья на ней. Тоесть что бы там никого не было. После чего вызовите Task Manager и посмотрите на подозрительные проги типа ezkiyeq.exe , svcroot.exe, update001.exe, winupdt0.exe etc...

Найдите этот файл. Скопируйте к себе. Теперь вам надо будет протроянить самих себя. Вам нужен будет IRIS Sniffer. Запускайте сниффер, выставляйте снифф-фильтр на слова USER IRC SERVER NICK IDENT 6667 и активируйте сниффер. После чего запускайте трой и следите за сниффом. Он вам скажет что происходит – куда трой коннектится, на какой канал заходит.

Впринципе этой инфы достаточно что бы отрапортавать ФБР, или ФСБ. Просто напишите им письмо.. После чего сеть пропадет.

Для извратов, попробуйте подключится к серверу юзая мирку и зайти на тот канал. Если его mode не +m, то вам повезло smile.gif Главное изначально прикинутся ботом. Ждите комманд от ботовода. Когда он пошлет что то типа .login mylamepassword, набирите тоже самое и наберите .remove smile.gif
. – место . может быть ! @ # $ % ^ & * ( ) ` etc ...

Главное используйте прокси. .remove уничтожит весь его ботнет (ботовода).

По материалам Antiddos

[epmak]

но, хочу довести до вашего сведения такую вещь(вычитал) сейчас все меньше и меньше используют мирки для управления ботами.
вообще, лучше не "попадать", чтобы потом не искать приключения на пикантные места.