问题标签 [botnet]

如果我使用反编译器获取已知 C++ .exe 僵尸网络 bin 的源代码，程序会在“反编译”期间执行吗？

我应该使用什么反编译器？

这是一个基于 posix 套接字和线程的客户端程序。该程序创建多个线程并将锁定服务器。我们可以说这是简单的 DDOS 僵尸网络吗？C/C++ 和 posix 平台的代码。这是代码

我正在使用一个不是我创建的网站。看来我正在处理涉及通过 URL 字符串查询数据库的 DDoS 和/或 SQL 注入攻击。我目前正在研究向查询“添加斜杠”的方法，如果基于表单，我被告知这将有助于攻击：

http://php.net/manual/en/function.addslashes.php

如果这不起作用，我很好奇是否有一种方法可以简单地限制每个会话、每个 IP 或任何其他可能至少会减慢攻击速度的变量执行查询的频率。先感谢您。

每个请求都来自不同的 IP。所以我认为这些僵尸网络受害者仍在请求我一周前删除的僵尸网络脚本。

在这里您可以看到访问日志的一小部分：

GET 请求也每次都请求整个索引页面。这导致疯狂的带宽使用。

我试过了：

但它不起作用。请有人帮我阻止所有这些讨厌的东西。

我的网站受到具有多个 IP 地址的僵尸网络攻击；攻击消耗带宽。我在 .htaccess 中创建了这个条目，但似乎什么也没做：

我发现攻击使用了大量的 IP 地址，但是：

1. 相同的请求 URI (/index.php)
2. 两种 REFERER（mysite.com 和 mysite.com/index.php）
3. 相同的 UA：Mozilla/5.0 (Macintosh; Intel Mac OS X 10_7_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.71 Safari/537.36

似乎我在 .htaccess 中的代码并没有阻止这种攻击；有人可以提供一些提示或改进/更正我的代码吗？

谢谢窝

我目前正在使用 Typekit，并且遇到了包含链接不再工作的问题。当我按照包含链接

它呈现一个 html 页面，说明它已被 BOTNET 过滤器阻止。

Typekit 是被黑了还是 IP 地址改变了，我只需要从防火墙允许它？

我正在检测僵尸网络，并希望通过分析僵尸网络的流量模式来创建 IDS。运行僵尸网络：我得到了 Zeus 源代码。

当我在 Visual Basic 2010 中构建 Zeus 僵尸网络 2.0.8.9 源代码时（我是 Visual Studio 的新手），出现以下错误。

构建过程中的错误

错误看起来很简单，但我完全不知道如何修复它。当我点击错误时，它会打开 Microsoft.CppCommon.targets 文件，错误如图所示突出显示，我不知道该怎么做。

Microsoft.CommonCpp.targets

请分享您的意见以解决错误。

我刚刚更新到 ElasticSearch 1.7.1 并正在填充数据库。虽然我不断收到以下错误（或调试消息）：

起初，我想过修复这个错误，但我还没有编写任何 Groovy 脚本。所以我开始阅读这条消息，发现：

IP让我很困惑，因为它不是我的（它是中文的）。所以我对 wget 进行沙盒处理，并创建了一个字符串（来自 byte []），结果如下：

所以我找到了c代码，我发现DealWithDDos调用很有趣。

我不知道这是什么代码，它来自哪里，以及它为什么要运行。有谁知道这是什么吗？以及如何摆脱它？

PS，我还收到另一个错误消息，另一个奇怪的脚本调用exec(\"whoami\"). 根据ends.cc ，此代码用于尝试通过执行系统命令来取消Groovy 沙箱。
exec(\"echo qq952135763\")，唯一的匹配是（等待它...）中文...

更新

所以，感谢 Val 的评论，问题制造者：中国僵尸网络。僵尸网络报告 ElasticSearch：弹性僵尸网络报告

另外，由于我刚刚更新了 ElasticSearch，创建了全新的索引（一切都是新的），我已经从外部排除了 ES（对于漏洞来说显然为时已晚，但仍然如此），所以必须运行一些进程来向 ES 发送请求. 哪个？从哪里调用脚本？

（值得注意）更新 2

在更新中描述的报告中，他们描述了 2 个（相关）恶意软件产品，这些产品针对ElasticSearch:BillGates和Elknot.

值得注意的Elknot是在最后一段page 7：

Elknot dropper 的作者没有提供任何重启后持久性的方法，一旦受害者的机器被管理员重启，或者系统崩溃，感染就会停止。

BillGates恶意软件：您可以通过（最后一页的3引文：

BillGates 感染的一个常见指标是受害者机器上存在 /tmp/moni.lock 和 /tmp/bill.lock 文件。此外，包含名称 bsd-port 的 /usr/bin 目录之外的目录可能是可疑的。

不过，如何摆脱它？

• Elknot -> 重启所有服务器（同时！）
• BillGates -> 建议在检测到这种形式的恶意软件时重新安装3

我已将具有僵尸网络行为的网络流量的数据包捕获 (.pcap) 文件转换为 .csv 文件。

从 .csv 中，我获得了有关僵尸网络吞吐量的信息。

我的主要问题是，如何使用橙色作为机器学习算法来证明 .csv 文件中存在僵尸网络活动

谢谢，我是这个的新手。

我正在使用 mariadb 和 wordpress 容器。但是这个错误一直在发生。我怎样才能确保这种崩溃不再发生？我被攻击了吗？还是其他人遇到的问题？如何附加到 mariadb 并访问 shell 并尝试找出 mariadb 容器内部发生的情况？

请参阅下面每次崩溃后记录的消息......似乎还有大量的页面点击。页面访问量在页面上达到 20.000 到 60.000 次。这些似乎是爬虫、机器人的工作。不确定这些是否是恶意攻击。

有关如何处理此问题的任何帮助？

我有 mariadb、wordpress 和 phpmyadmin 在数字海洋上的 ubuntu 14 下的三个 docker 容器中工作。以下是崩溃消息：

[1668002.926214]内存不足：杀死进程16765（mysqld）得分176或牺牲孩子[1668002.935614]杀死进程16765（mysqld）total-vm：1012836kb，anon-rss：178840kb，file-rss：0kb [1668040.990415]杀死进程225 （php5-fpm）总-vm：418044kB，anon-rss：145392kB，文件-rss：20624kB

纽约服务器：[1225007.977126] 内存不足：杀死进程 3161（mysqld）得分 245 或牺牲孩子 [1225007.985657] 杀死进程 3161（mysqld）总虚拟机：977148kb，anon-rss：122488kb，file-rss：0kB）

法兰克福服务器 [1632264.057873] 内存不足：杀死进程 22421（mysqld）得分 246 或牺牲孩子 [1632264.067530] 杀死进程 22421（mysqld）total-vm：1005228kb，anon-rss：249328kb，file-rss：0kb