Джентельмены удачи, или как поднимался HL Server

[1iz]

Правда о новом сплоите.

Поскольку товарищ вконтаке продолжает пускать сопли и притворяться невинной целочкой, публикуется более подробный рассказ о том, как пасаны к успеху шли.

Главные действующие лица:

1) vkontakte (он же Mishel)

Страна: Украина | Город: Ильичевск | ICQ: 666848 | 444774444 | 493370973 (Сервера: 83.142.105.21:27016 (уже не работает) | 195.93.191.105:27016 | (личный IP адрес 195.93.191.6 ) | Профиль: http://vkontakte.ru/mishel7

2) ratwayer

Страна: Россия | Город: Киров | ICQ: 289012 | Личный IP 89.207.75.107 (вроде сейчас другой) | Профиль: http://fpteam-cheats.com/board/index.php?showuser=40892

3) pumamd (он же 330863)

Страна: Республика Молдова | Город: Chisinau | Сервера: 95.65.90.91:27025 (личный IP адрес 89.28.17.208) | Профиль: http://c-s.net.ua/forum/user66105.html

Собственно. Что же сделали эти люди ? А сделали они очень хитрую штуку под названием «ботнет»

Короче говоря, Ботнет – это компьютеры пользователей зараженные вирусом. Вирус, они распространяли через MOTD окно, на своих серверах CS 1.6 (основным раздатчиком был сервер 83.142.105.21:7777 На него они перекидывали десятки тысяч игроков со всего мира). Как только человек заходил на сервер, у него сразу вылетала закачка файла-вируса. Использовался элементарный код, типа:

[Deleted, ибо нех]

Что представляет из себя их вирус ?

1) Вирус поднимал на зараженном компьютере ~1000 редирект серверов (они автоматически регистрировались на сетмастерах VALVE). Все эти редирект-сервера перенаправляли игроков на раздатчик 83.142.105.21:7777 (позднее на what.gcn.pp.ua:200). Фактически получалась замкнутая цепь и ботнет разрастался в геометрической прогрессии.

2) Вторая задача вируса – это UDP флуд или другими словами DDoS (можно было настраивать IP PORT количество потоков и ещё какую-то мелочь)

3) Кража файлов с зараженных компьютеров (можно было скачивать любые файлы, пароли, ключи, личные документы, сертификаты вебмани, и.т.д.). Тут всё ограничивалось лишь фантазией.

4) Вирус так же осуществлял автоматический флуд на сетмастера VALVE (именно по этому они не работали)

5) Следующим шагом было падение SETTI. В связи с этим, код редирект-сервера был переписан так ( версии 1.07), чтобы сканер сетти их не палил, оставалось сделать только регистрацию на сетти (как выяснилось в дальнейшем, они хотели сделать авто-скрипт).

6) Так же, вирус поднимал на компьютере игрока прокси-сервер (Hlproxy). Товарищ ratwayer, в данной теме http://fpteam-cheats.com/board/inde...showtopic=17342 как раз привел список зараженных компьютеров

Сам вирус, написал ratwayer. Идея создания ботнета принадлежит vkontakte. Pumamd крутился на подхвате.
Т.к. товарищ ratwayer поленился защитить данные в самом вирусе, вся информация, команды и схема работы были получены очень быстро. Управлять ботнетом можно было только с четырех IP (83.142.105.21 | 95.65.64.90 | 89.207.75.107 | 127.0.0.1). Хочу заметить, что на IP 95.65.64.90:27010 и 95.65.64.90:1337 располагались сервисы, на которыы приходила информация от зараженных компьютеров. Именно так они узнавали IP адреса компьютеров в ботнете.

Основная цель всего мероприятия – это заработок денег.

Хочешь раскрутить свой сервер, платишь им денюжку (200р неделя | 500р месяц | 2500р ”Вечная” раскрутка). Если вы с чем-то не согласны, много выебываетесь или ваш сервер хорошо поднимается в рейтингах (без их участия), они его просто Досят со своего ботнета. Если кто-то заказывает ваш сервер за $, то его тоже Досят. Как выяснилось в дальнейшем, планы у них были грандиозные… Т.е. фактически, хотели взять все топовые сервера ”Под колпак” и рулить их рейтингами, сшибая бабло. В итоге, всем нормальным админам, оставалось довольствоваться объедками с барского стола и держать пустые сервера, в то время, как все игроки кидались через их редиректы на раскручиваемые сервера.

Когда товарищ vkontakte потерял свой IP 83.142.105.21 (только с него он мог управлять ботнетом), провайдер выдал ему другой IP 195.93.191.105 и всё управление перешло в руки pumamda. В связи с этим, началось создание ещё одного ботнета, был написан новый вирус и распространялся он так же, через MOTD окно, но уже с большого количества серверов (товарищ vkontakte подключил своих друзей/админов, чтобы они поставили на свои сервера MOTD с закачкой вируса). Представьте себе, каким надо быть уродом, чтобы распространять вирус своим же игрокам!

Вот видео всего процесса (показана раздача вируса через друзей товарища vkontakte): http://www.youtube.com/watch?v=b_CIJ2y0_WI (если кого-то не устраивает такое качество, могу кинуть исходное видео с четкой картинкой).

Также ко мне в руки попала вся история переписки товарища vkontakte (из квипа и скайпа). Т.к. она весит более 40 мегабайт и содержит много информации личностного характера, пароли к форумам, ссылки на вирусы, списки серверов с украденными RCON, переписки с покупателями, публиковаться в полном объеме она не будет.

Безусловно, вся переписка, между (vkontakte, ratwayer и pumamd) была изучена, для выявления уязвимых мест в ботнете и дальнейшего его закрытия. Ниже, я приведу ряд цитат (если кто-то хочет полную версию переписки с тем или иным человеком, пишите в пм):


"Помимо редиректа надо еше и геймменю менять!:"

Цитата:
vkontakte 1403 1/12/2010 терь про хлсерв , там не помешало бы сделать отправку многострочного редирет пакета)) чтоб геймменю менять всем))))) будешь реализовывать?
ratwayer 1444 1/12/2010 не получится.. < #$30 коды не поддерживает клиент в непакованном формате.. =\
vkontakte 1451 1/12/2010 ок
vkontakte 1423 1/12/2010 терь у меня просьба, сделай мне билд с привязкой не по компу а по айпи адрессу для редиректа, тоесть мой, короче весь конфиг вшей в прогу
vkontakte 1442 1/12/2010 и распространю эту прогу очень хорошо и будет очень много прокси а не 10 шт как щас
ratwayer 1443 1/12/2010 сорри, такие билды не делаю..
ratwayer 1418 1/12/2010 и кстати
vkontakte 1418 1/12/2010 та только для меня, яж не прошу ничего невероятного, весь конфиг вшитый в прогу
ratwayer 1423 1/12/2010 проксей сейчас очень много =)
ratwayer 1427 1/12/2010
77.50.158.209:60239
85.113.150.183:60239
89.179.240.119:60239
94.198.238.122:60239
95.29.59.168:60239
95.65.45.151:60239
178.162.176.106:60239
178.252.111.26:60239
178.32.71.78:60239
213.64.57.23:64511
78.30.224.65:60239
81.18.67.241:60239
81.18.67.242:60239
81.18.67.245:60239
89.255.130.123:60239
92.62.61.116:60239
78.152.169.25:60239
89.179.242.85:60239
92.80.111.145:10148
95.31.132.28:60239




"О эффективности подсадки:"
Цитата:
vkontakte 1435 1/12/2010 это не много
vkontakte 1448 1/12/2010 я за сутки троянов 500 людям подсадил
ratwayer 1413 1/12/2010 а хаксоры? они могут подменить этот ип и вся репутация станет фейлом =\
vkontakte 1423 1/12/2010 и всётаки?
vkontakte 1428 1/12/2010 хаксоры? смсле?
ratwayer 1402 1/12/2010 не думаю, что следует делать такое... =\
ratwayer 1403 1/12/2010 а хотя
ratwayer 1405 1/12/2010 у меня идея
vkontakte 1411 1/12/2010 кто подменять будет? я хочу сделать инсталятор со скрытой установкой и пихать игрокам чтоб устанавливали и прога прописывалась в автозагрузку!!!
ratwayer 1416 1/12/2010 а что, если тебе сделать прокси в отдельном *.exe?
vkontakte 1422 1/12/2010 никто даже не прошарит там задроты играют а не хакеры
ratwayer 1428 1/12/2010 а если игрок будет элитным хаксором?
ratwayer 1433 1/12/2010 он возьмет и сломает прогу =)
vkontakte 1455 1/12/2010 ну ты придуймай чтот по защите? можно ведь?
ratwayer 1407 1/12/2010 на сервере 32/32 4 игрока знали по хлбрут =)
ratwayer 1414 1/12/2010 можно, но не нужно =)
ratwayer 1420 1/12/2010 хотя
ratwayer 1426 1/12/2010 я подумаю.. может быть, что-то придумаю
vkontakte 1453 1/12/2010 ну блин нужен только редиректы, и тебе прокси
vkontakte 1405 1/12/2010 весь остальной функционал в топку
vkontakte 1418 1/12/2010 можешь даже сделать что прога будет работать только в скрытом виде
vkontakte 1427 1/12/2010 придумать есть что
ratwayer 1435 1/12/2010 ...хм..
vkontakte 1409 1/12/2010 я просто хочу чтоб от игроков уже был толк
vkontakte 1423 1/12/2010 за***лся у ся 9к серверов держать*ROFL*
ratwayer 1439 1/12/2010 кстати
ratwayer 1448 1/12/2010 как ты собираешься заливать малварь? )
vkontakte 1423 1/12/2010 да втупую через мотд окно, им только запустить нажать одну кнопку
vkontakte 1404 1/12/2010 я же говорю я кейлогер за почти сутки челам 450 запустило у меня мыло до сих пор рвёт от логов




"О методах закачки бота:"
Цитата:
ratwayer 1419 1/12/2010 кстати
ratwayer 1427 1/12/2010 у меня тут идея
ratwayer 1437 1/12/2010 я тут прочитал одну статью
ratwayer 1441 1/12/2010 про кмд файлы
vkontakte 1443 1/12/2010 и?
ratwayer 1444 1/12/2010 на кснетуа
ratwayer 1459 1/12/2010 там написано, что можно заливать клиенту *.exe, а запускать их путем кмд файла
ratwayer 1413 1/12/2010 c-s.net.ua
vkontakte 1425 1/12/2010 слушай ето не твоя задача
vkontakte 1427 1/12/2010 )))
ratwayer 1435 1/12/2010 мне это надо знать =)
vkontakte 1437 1/12/2010 через мотд окно можно закачать любой файл!
vkontakte 1450 1/12/2010 смсла через игру закачивать я не вижу
vkontakte 1455 1/12/2010 я уже все перепробывал
ratwayer 1404 1/12/2010 precache_generic? =)
vkontakte 1429 1/12/2010 лучший вариант чтоб всем кто заходит сразу закачивался екзешник и чмд или что там еще и челу тупо надо нажать открыть и всё




"Надо бы удп флудер прикрутить:"
Цитата:
vkontakte 2230 3/12/2010 просто вот подумал можно же еще юдп флудер прикрутить
vkontakte 2254 3/12/2010 и типо если нужно послал команду на десяток активных прокси флудить тот или иной серв
vkontakte 2258 3/12/2010 и ***** тому серву
ratwayer 2214 3/12/2010 добавлю =)
vkontakte 2225 3/12/2010 давай будем тестить у меня есть враг
vkontakte 2227 3/12/2010 админ сетти
vkontakte 2232 3/12/2010 его серв первый пострадает
ratwayer 2202 3/12/2010 завтра буду писать обновление =)





"Ебашим фортим и Ракуна:"
Цитата:
vkontakte 1525 4/01/2011 даю рконы свежие
ratwayer 1529 4/01/2011 ок
vkontakte 1530 4/01/2011 меньше суток им
vkontakte 1507 4/01/2011 фейкботс тема)
ratwayer 1512 4/01/2011 тестировал флуд на фортиме. сервер лег тут же под давлением 15 клиентов
vkontakte 1517 4/01/2011 ггг
vkontakte 1526 4/01/2011 а я ща серв ракона фейками ипашу)
ratwayer 1520 4/01/2011 кстати, как ракоон реагирует на обстановку?
ratwayer 1521 4/01/2011 никак =\
vkontakte 1527 4/01/2011 я ему не говорю
vkontakte 1532 4/01/2011 он же меня забанит на форуме





"Пасаны к успеху идут:"
Цитата:
vkontakte 1522 4/01/2011 просто реально скокро будем крутить всю первую страницу гейтрекера гг
ratwayer 1527 4/01/2011
vkontakte 1540 4/01/2011 там все между собой знакомы админы и говорят про меня гг
vkontakte 1556 4/01/2011 просто боятся что в сетти забанят гг
vkontakte 1512 4/01/2011 как я понял ниодного серва со 100% честным онлайном
vkontakte 1520 4/01/2011 все както крутятся






"фэйкплееры не пашут sad.gif :"
Цитата:
vkontakte 1911 4/01/2011 http://c-s.net.ua/forum/topic24820.h......st&p=202944
vkontakte 1914 4/01/2011 *ROFL*
vkontakte 1902 4/01/2011 прочитал?)
ratwayer 1911 4/01/2011 да =)
ratwayer 1919 4/01/2011 у него дпрото 0.9.*?
vkontakte 1926 4/01/2011 скорее всего
vkontakte 1933 4/01/2011 ща проверю
vkontakte 1944 4/01/2011 будут еще пахать фейки или нет
vkontakte 1950 4/01/2011 проверил
vkontakte 1955 4/01/2011 не пашут боты терь у него
ratwayer 1921 4/01/2011 какая у него версия дпрото? =)
vkontakte 1932 4/01/2011 ща зайду гляну
vkontakte 1953 4/01/2011 2 dproto_EF, v0.9.87, 2010-10-26, by Crock, see
ratwayer 1904 4/01/2011 ухты, работает на новом дпрото
vkontakte 1909 4/01/2011 нуда
vkontakte 1915 4/01/2011 я на своем втором серве проверрял
vkontakte 1921 4/01/2011 ботов кикает через пару сек
ratwayer 1922 4/01/2011 кстати
ratwayer 1930 4/01/2011 почему у меня не коннектится к серверу пумамда?
ratwayer 1933 4/01/2011 *к серверу проксей





"Планы по засиранию сетти:"
Цитата:
ratwayer 2154 4/01/2011 я думаю, что смогу написать автодобавленние в сетти
ratwayer 2154 4/01/2011 даже с защитой от ботов
vkontakte 2104 4/01/2011 хм)
ratwayer 2126 4/01/2011 криво, конечно, будет работать. но будет. =)
vkontakte 2149 4/01/2011 нам по*** лижбы искал и добавлял редиректы в огромных количествах рандомно
vkontakte 2159 4/01/2011 чтоб они бюыстро опустили руки свои и не боролись
ratwayer 2135 4/01/2011 за 3 минуты написать автодобавление в сетти
vkontakte 2136 4/01/2011 я в тебя верю гг
ratwayer 2141 4/01/2011 уже сделал =)
vkontakte 2153 4/01/2011 так а теперь алгоритм
vkontakte 2105 4/01/2011 чтоб получать списки ботов
ratwayer 2114 4/01/2011 короче, там делается реверс переменной, отправляющейся в 1 пакете
vkontakte 2116 4/01/2011 и рандомно добавлять редиректы
ratwayer 2124 4/01/2011 после реверса отправляю ее в качестве кукиса
ratwayer 2129 4/01/2011 и сервер добавляется
vkontakte 2134 4/01/2011 по 100 штук рандомных с одного бота хватит думаю
vkontakte 2145 4/01/2011 ты меня понял?
ratwayer 2146 4/01/2011 на сетти будет засылаться 4 редиректа.
ratwayer 2150 4/01/2011 для начала хватит
vkontakte 2154 4/01/2011 по 4 с каждого хлсерва?
ratwayer 2159 4/01/2011 надо раскруткой заниматься, а не падением сети





"О командах бота:"
Цитата:
vkontakte 1731 6/01/2011 так дай мне команды ,а то ночью хоть поигратся можного кроме как крутить сервера гг
ratwayer 1737 6/01/2011
addslot
delslot
path
filedump
filetree
setti_register
get_ip
register

ratwayer 1744 6/01/2011 первые две для прокси
ratwayer 1752 6/01/2011 path - путь к HLE клиенту
ratwayer 1708 6/01/2011 filedump/filetree - работа с файлами
vkontakte 1708 6/01/2011 гет ип?
ratwayer 1720 6/01/2011 setti_register - зарегистрировать введенный IP в сетти
vkontakte 1724 6/01/2011 файлтри ето дерево файловой системы показывает?
ratwayer 1727 6/01/2011 get_ip - узнать IP покси
ratwayer 1728 6/01/2011 *прокси
ratwayer 1729 6/01/2011 да
vkontakte 1735 6/01/2011 нормально так)
ratwayer 1724 6/01/2011 register - вроде как зарегистрировать HLE клиент на выбранном мастере





"О дележке бабла:"
Цитата:
vkontakte 0025 7/01/2011 на ботнете можно норм иметь__ я так расчитую что будет постоянно 50 сервов которые будут покупать понедельно раскрутку ето по 200 с каждого плюс есть и будут те кто захочет купить вечную раскрутку
ratwayer 0042 7/01/2011 как делить $$$ будем? =)
vkontakte 0057 7/01/2011 вроде ето обсуждали гг
ratwayer 0006 7/01/2011 50 на 50, вроде бы?
vkontakte 0025 7/01/2011 ну да я согласен хуле ты чтоли против?






"Сиса и ракун - пидары!:"
Цитата:
ratwayer 0012 7/01/2011 ах да, как там сиса? я заметил, что у тебя в подписи кеш геумтрекера с сервером сисы
vkontakte 0019 7/01/2011 не все сервы согласен крутить так как серв гавно есть
vkontakte 0027 7/01/2011 офнул свой серв
ratwayer 0032 7/01/2011 >_< зачем?
vkontakte 0038 7/01/2011 я его ддосил
ratwayer 0049 7/01/2011 ох лоооол.. зачем?
vkontakte 0049 7/01/2011 меня на форуме ракун заблокировал
vkontakte 0056 7/01/2011 его тож ддос
ratwayer 0058 7/01/2011 навсегда?
vkontakte 0059 7/01/2011 терь
ratwayer 01:00:01 7/01/2011 перманентом?
vkontakte 01:00:09 7/01/2011 на форуме там короче 100% сделал мне
vkontakte 01:00:16 7/01/2011 я терь писать не умею
vkontakte 01:00:34 7/01/2011 я пытался с ним пообщатся он сеня послал вобщем
vkontakte 01:00:38 7/01/2011 и в игнор кинул
vkontakte 01:00:47 7/01/2011 короче он пара сисе
vkontakte 01:01:07 7/01/2011 потому я щас зачистил все свои данные везде в инете





"Вот уже и бот, работающий с сетти распространяется:"
Цитата:
vkontakte 1834 7/01/2011 вылаживай хлсерв в пблик
vkontakte 1839 7/01/2011 без привязки
ratwayer 1839 7/01/2011 зачем? =)
ratwayer 1844 7/01/2011 >__<
vkontakte 1854 7/01/2011 ну ок через месяц вылаживай
vkontakte 1858 7/01/2011 я продавать уже не буду
ratwayer 1803 7/01/2011 ну.. ок =)
vkontakte 1845 7/01/2011 или можето выложи всётаки
vkontakte 1850 7/01/2011 с рекламой услуги по раскрутке
vkontakte 1854 7/01/2011 гг
ratwayer 1827 7/01/2011 как сетти распространится (сетти поддержка в HLE) - прорекламирую
vkontakte 1836 7/01/2011 акей
vkontakte 1843 7/01/2011 сетти сайт оффнут со вчера
vkontakte 1855 7/01/2011 так что нифига не распространяется гг
ratwayer 1803 7/01/2011
vkontakte 1808 7/01/2011 они прохавали мб весь движ?гг
ratwayer 1819 7/01/2011 не думаю =)





"Пасана досанули первый раз, но он намека не понял. А еще про вынос mvpro:"
Цитата:
vkontakte 1818 10/01/2011 у меня продолжается
vkontakte 1824 10/01/2011 тот ип до сих пор ддосят
ratwayer 1838 10/01/2011 кстати, да. у тебя есть возможность отловить пакеты?
vkontakte 1838 10/01/2011 в киеве сдох маршрутизатор и мой ип законвертировали
vkontakte 1849 10/01/2011 мне щас дали временно другой ип
vkontakte 1854 10/01/2011 что ловить то?
ratwayer 1807 10/01/2011 пакеты UDP. если там будет connect 8===3, то это ботнет
vkontakte 1833 10/01/2011 давай делай новый билд етой ***ни ..мне нужен доступ..и пуме не делай он досит все подряд щас лежит серв мвпро топ2 мировой





"Хостинги пидары! не дают вирусню распространять!:"
Цитата:
vkontakte 1820 12/01/2011 скоро наверно на хостингах сделают что нельзя будет ставить мотд окно с таким кодом гг
ratwayer 1833 12/01/2011
vkontakte 1808 12/01/2011 http://www.gametracker.com/server_in....231.33:27015/
vkontakte 1813 12/01/2011 смотри что пума наворил)
vkontakte 1816 12/01/2011 ддосом)
vkontakte 1831 12/01/2011 полтора суток в оффе)
ratwayer 1830 12/01/2011 скажи пуме, чтобы сильно этим не увлекался. или, хотя бы, не замешивал меня в это =)
vkontakte 1846 12/01/2011 я ему говорил
vkontakte 1852 12/01/2011 на меня тоже вешают




© Crock