问题标签 [botnet]

好吧，这有点问题：

我最近在一家 IT 公司（小型企业级别）找到了一份工作，他们做了一点 Web 开发。最初，老板让第 3 方自由开发者为一个大客户建立一个网站。他对他的服务不满意，所以他把它交给了我（管理网站，改变事情等）。我发现该网站已被列入垃圾邮件黑名单，这可能就是所谓的“StealRat 僵尸网络”。我做了一些阅读，发现它通常位于 wp-content/plugins 文件夹和/或不应该存在的 php 文件中。

在家里，我在一台 Linux 机器上，所以我可以 sftp 进入服务器（也使用 Filezilla 作为 GUI）。有人对我如何追踪这些损坏的文件并摆脱它有任何提示吗？我试过筛选文件，但我不知道我在找什么。任何帮助表示赞赏，因为这是一个主要问题。

我从我的 ISP 收到一封电子邮件，说我是 mirai 僵尸网络的受害者，因为它决定接管我的安全摄像头。我以为我是安全的，因为我的设备都没有使用默认密码，但似乎还有一个混蛋正在使用的 telnet 漏洞，并且能够在摄像机服务器上创建一个管理员用户并劫持它。（我已经更新了固件并清除了用户并关闭了 UPNP）

话虽如此，我希望在此事件发生后更好地处理我的网络。

我有一台运行 Merlins 固件的华硕 RT-AC66R 路由器，而不是原装华硕。

我已经搜索了路由器的每个设置页面，但找不到我想要做的事情。如何设置 MAC 地址白名单以防止未经授权访问我网络上的摄像机服务器？唯一可以访问的设备是我的本地机器和我的手机，我都可以获得 MAC。我看到了 IP 地址白/黑列表的一些选项，但这只会在本地网络上对我有好处，因为远程连接时我的 IP 可能是我手机上的任何内容。

所以我的下一个猜测是我需要在路由器之前设置一个 linux 机器作为防火墙？

有人可以在这里指出我正确的方向吗？网络新手，但我了解 linux 基础知识并在 vb.net/js 中进行软件开发。

另外，我怎样才能进行一些日志记录，以便我可以开始查看每天谁在访问我的 IP 并开始更好地锁定我的网络。

谢谢！

查看一个用 python 编写的名为 Locky 的 DGA。这是其中的一部分。

我理解不同的行为，但我对他们为什么做他们所做的事情有点困惑。是让整个事情尽可能随机，还是在每个位移、乘法等背后有一些具体的想法。你可以在这里找到整个事情：https ://github.com/sourcekris/pyLockyDGA

我正在尝试使用命令编译一个我制作的简单僵尸网络，gcc -static -lpthread client.c但每次我这样做时，它都会引发以下错误：

每当我编译时它编译得很好，-static但我无法弄清楚。你可以在这里找到代码。作为记录，这个简单的僵尸网络基于 bashlite，但没有实际的 DDoS 功能，也不会造成任何真正的危害。任何帮助，将不胜感激。

我最近看到了一些恶意域，包括我的网站页面。

我最初怀疑 iframe 包含，但我已经Header always set X-Frame-Options SAMEORIGIN在我的httpd.conf中进行了配置。

其他想法是关于恶意软件 Javascript，包括 DOM 中的远程页面，甚至是指向我的服务器 IP 的外部 DNS（但是，我有基于名称的虚拟主机）。它们都没有被证明。

调查远程域并查看 apache 日志向我们展示了现实：恶意远程服务器向我们发出 http 请求，对于它收到的每个请求，然后将结果发送回其客户端，实际上是“镜像”我们的网站！

我缺乏如何阻止它的想法。所以我通过 apache conf 完全阻止了它的 User-Agent：Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)

希望我自己解释。将来有没有更聪明的方法来阻止像他们这样的其他领域的这种不良行为？

对于我们的任务，当我们运行我们的小机器人时，它陷入了无限循环，我们无法让它结束。它所做的只是不断寻找新的机器人，即：

下面的代码

环顾四周，似乎找不到类似的东西。

大家好，我正在尝试将一些数据从登录控制器保存到用户数据存储中。

我已经看到您可以使用 AppId 和 appPassword 来访问机器人状态的示例，但据我了解，在您的机器人在我目前无法执行的 azuer 应用程序门户中发布/注册之前，这些示例不可用。

或者您可以通过我无法访问的活动访问它。

这实际上只是一个临时解决方案，我的计划是最终将用户数据保存到 Azure 表存储中，但同时我想要一个临时解决方案；我正在考虑将字典序列化和反序列化为本地文本文件，但这似乎有点过头了，而且如果我的应用程序没有在 azure 中注册，我就无法在本地保存到用户数据，这似乎很愚蠢。

非常感谢任何帮助。

我正在给定端口（比如说 1234）运行服务。有时它无法到达。当我检查 dmesg 时，我看到：

TCP：端口 1234 上可能出现 SYN 泛洪。正在发送 cookie。检查 SNMP 计数器

net.ipv4.tcp_max_syn_backlog 设置为 1024

当我检查 netstat 时，我看到：

tcp 0 0 示例域名.com:5008 ip190-5-138-234.i:56772 SYN_RECV
tcp 0 0 示例域名.com:5008 ip190-5-138-234.i:56771 SYN_RECV tcp 0 0 示例域名.com:1234
216.218。 222.14:18687 SYN_RECV
tcp 0 0 exampledomainname.com:1234 185.234.218.50:59848 SYN_RECV
tcp 0 0 exampledomainname.com:1234 tor-exit.r2.apx.p:45992 SYN_RECV
tcp 0 0 exampledomainname.com:1234 tor-exit signal.:42747 SYN_RECV
tcp 0 0 exampledomainname.com:1234 chulak.enn.lu:29545 SYN_RECV
tcp 0 0 exampledomainname.com:1234 chulak.enn.lu:19883 SYN_RECV
tcp 0 0 exampledomainname.com:1234 5.188.86.30:53106 SYN_RECV
tcp 0 0 exampledomainname.com:1234 lh28409.voxility.:59899 SYN_RECV
tcp 0 0 exampledomainname.com:1234 tor-exit1.signal.:40048 SYN_RECV
tcp 0 0 exampledomainname.com:1234 62.176.4.10:48546 SYN_RECV
tcp 0 .com:1234 chulak.enn.lu:52326 SYN_RECV
tcp 0 0 exampledomainname.com:1234 sunfire-cape.gate:44592 SYN_RECV
tcp 0 0 exampledomainname.com:1234 sunfire-cape.gate:44590 SYN_RECV
tcp 0 0 exampledomainname.com :1234 chomsky.torserver:45374 SYN_RECV
tcp 0 0 exampledomainname.com:1234 chulak.enn.lu:60156 SYN_RECV
tcp 0 0 exampledomainname.com:1234 chulak.enn.lu:47522 SYN_RECV
tcp 0 0 exampledomainname.com:1234 tor-exit.r2.apx.p:38568 SYN_RECV
tcp 0 0 exampledomainname.com:1234 chulak.enn.lu:34309 SYN_RECV
tcp 0 0 exampledomainname.com:1234 185.100.86.128:35623 SYN_RECV
tcp 0 0 exampledomainname.com:1234 tor-exit1.signal.:42921 ...

这些 SYN_RECV 连接中的大约 30 个。如果我的假设是正确的，它似乎是一个非常复杂的僵尸网络，它通过 Tor 网络。

我能做些什么来对抗这种攻击？任何帮助将不胜感激。

只是想知道代码在计算机中的作用，我想解码一个 .wasm 代码 - 可在https://lifeinspace.org/main.wasm获得。基本上，从我在互联网上找到的内容来看，.wasm 是一个 Web 汇编代码，它可能是：

• 从高级语言 (C/C++/etc..) 的代码转换并将其转换为 Web 程序集 (.wasm) - https://developer.mozilla.org/en-US/docs/WebAssembly/C_to_wasm

但是，既然我现在有了 .wasm 代码，有没有办法或技术来弄清楚高级代码是什么？

只是我想知道这个 .wasm 代码的作用。当我在 notepad++ 中打开这段代码时，它充满了符号和汇编指令，这没有任何意义。

我想知道的主要原因是这段代码是否会做任何非法的事情，比如 DDoS。

我使用不同的防病毒工具扫描了文件，但没有发现任何坏东西。

快速背景：lifeinspace.org 是一个网站，在外部它声称租用我们的计算能力进行科学计算。（更多信息在https://money.stackexchange.com/questions/115754/lease-computing-power-to-earn-money-lifeinspace-org）。但是，它在后台运行浏览器代码（lifeinspace.org/main.wasm）在后台执行一些我们不知道的其他进程。了解它的作用的唯一方法是解码上面的 main.wasm 代码。因此我对它很好奇。

首先，我想要实现的目标：

我想利用没有metasploit（因此独立）的脚本（在python中）利用设备并在exploitet设备上运行自定义程序。这应该会自动发生（我只想运行脚本，它会为我做所有事情）。

问题：

(1)我还没有找到一个有效的独立漏洞利用（或者至少它对我不起作用）。我现在在 Kali Linux 中发现的是 /usr/share/exploitdb/exploits/windows/remote/7132.py 和 /usr/share/exploitdb/exploits/windows/remote/40279.py 但如前所述，利用并不成功（不成功的利用）（nmap-target-port-445）。

(2)当我终于让它工作时，我如何在设备上安装我自己的程序？我知道如何使用 windows/meterpreter/reverse_tcp 手动执行此操作，但我还没有找到自动执行此操作的方法。我正在寻找类似 windows/MY_PROGRAMM/reverse_tcp 的东西。这是否可以通过 msfvenom 以某种方式实现，或者是否有其他方法可以实现我的目标？我知道 msfconsole 中的“通用/自定义”，但我不想使用 metasploit（这是该项目的要求）并且有大小限制。因此我需要一个舞台和一个舞台，对吗？

注意： traget 上的自定义程序应该利用另一个设备。如果这会以某种方式影响答案，请注意。

如果我以某种方式犯了错误，我希望我的问题能以某种方式明确和抱歉。这是我在这里的第一个问题。

编辑：我如何尝试解决问题（1）：

searchsploit -m 7132.py（将漏洞利用复制到当前路径）

python 7132.py 192.168.1.56 1（使用选项 1 执行脚本 --> Windows 2000）

我明白了：

但不能远程登录到主机：

对于问题（2）：

我真的不知道如何解决它，这就是我问这个问题的原因。我知道您可以创建这样的有效负载：

然后将shellcode粘贴到exploit脚本中，但如上所述我不想要meterpreter会话，我只想将我的程序上传到目标并执行。