-------------------------------------------------------------
ADVERTENCIA: No seré responsable de cualquier daño causado con este código, este es de libre distribución en Internet y solo se pone y da para que los expertos en seguridad lo analicen y vean su funcionamiento, cualquier uso indebido sera solo su responsabilidad del que lo ejecute y use.
----------------------------------------------------------------
despues de esto continuemos: --->
Amigos
esta botnet fue la que hiso padecer de un dolor muy grande en el
chirriscuis a los amigos de DYNDNS durante un tiempo y se dice que fue
el ataque mas grande que hubo en la historia ya que usaron millones de
ipś mas o menos 10 millones o mas de ipś para poder atacar y saturar
los servicios de los DNS de DYNDNS.
Y LO LOGRARON aunque sea por una hr.o dos pero lo lograron.
Pero
todo mundo habla del ataque y que fue una BOTNET llamada MIRAI y muchos
de ustedes querrán saber y tener el código usado para ese ataque, bueno
pues aquí en este articulo se los daremos.
Pues si amigos en el Grupo X. Hacking News le dejo 3 zips con 3 diferentes modificaciones del código botnet usado para atacar a DYNDNS en pasados días.
DISCLAIMER Usenlo con moderación. ;P
Haber sres. muchos se soprende que puse el código y lo estoy distribuyendo, sabias que ese codigo esta en distribución libre en diferentes sitios.
Requerimientos para su INSTALACION:
* gcc
* golang
* electric-fence
* mysql-server
* mysql-client
-= REQUISITOS PARA SU USO MINIMO: =-
2 servidores:
1 para el CNC + mysql,
1 para el receptor de exploración,
1 para la carga 1+
-= REQUISITOS PARA SU USO PROFESIONAL: =-
- 2 o 4 servidores VPS
- 1 VPS que este bien configurado para la base de datos del servidor
- 1 VPS, rootkitted, scanReceiver y distribuidor
- 1 servidor de CNC (utilizado con un 2% de la CPU con 400k bots).
- Servidores de 10 Gbps 3x nForce para la carga con distribución igual para otros 3 servidores.
-= DESCRIPCIÓN GENERAL DE LE INFRAESTRUCTURA DE MIRAI =-
- - Para establecer la conexión con CNC, robots de resolución un dominio (resolv.c / resolv.h) y conectarse a esa dirección IP.
- Motores de búsqueda telnet utilizando un escáner SYN avanzada que es de alrededor de 80x más rápido que el de Qbot, y utiliza casi 20x menos recursos. Esto se encadena a un servidor independiente para cargar automáticamente en los dispositivos.
- Los Resultados son enviados por defecto en el puerto 48101.
- La utilidad llamada scanListen.go de herramientas se utiliza para recibir los resultados (que estaba recibiendo alrededor de 500 resultados por segundo a pico).
- Si se construye en modo de depuración, debería ver el binario utitlity scanListen aparece en la carpeta de depuración.
- Mirai utiliza un mecanismo de propagación similar a la auto-repetición, pero lo llama "tiempo real de carga". Básicamente, lo envía a un servidor que escucha con la utilidad scanListen, que envía los resultados al cargador. a este bucle se le conoce en lo bots como carga en tiempo real.
- El
cargador se puede configurar para utilizar la dirección IP múltiple
para evitar el stress del puerto en Linux (hay un número limitado de
puertos disponibles, lo que significa que no hay suficiente variación en
la tupla para obtener más de 65 mil conexiones salientes simultáneas -
Tendría tal vez 60k - 70k conexiones salientes simultáneas (carga
simultánea) distribuida a través de 5 IPs.
Descargar Codigo
No hay comentarios:
Publicar un comentario