вторник, 12 июля 2011 г.

Админка G-Bot

На форуме grabberz.com нашел скрин с админки популярного ДДоС-бота G-Bot. Знакомтесь:

Версия не последняя, но публичная.

 UPD: На известном форуме нашел обзор, копипастю:

Mini обзор G-Bot 2 by RGD 

Вступление:
Здравствуйте, хочу представить вам свой обзор DDoS бота "G-Bot", который представлен на сегодня версией 2, это мой первый обзор, поэтому прошу строго не судить. И так, всё началось с того что я обновился с версии 1.7.0 на версию 2 и был приятно удивлён новым путём развития бота, выбранным автором, во первых бот избавился от режимов с приставкой INT - которые абсолютно не использовались большинством юзеров G-bot (так же до версии 1.6.8 в бот был встроен фтп граббер), это значительно уменьшило вес бота (почти в 2 раза),
сейчас билд бота весит 71кб. Был добавлен новый режим атаки .ahttpflood
значительно усовершенстван режим .slowposthttpflod. И так, обо всём по подробней:
Об админке: 
Установить её не составит проблем, заливаем файлы на сервер в папку вашего домена, создаём БД, настраиваем config.php и запускаем install.php если в админке написано 0 ботов значит всё сделано правильно, если ноля нет - нет соединения с БД, проверьте всё ли правильно вы сделали. Чтобы войти в админку мы должны ввести только пароль на страничке login.php, вводим пароль и попадаем в index админки. Хотелось бы защиту т проникновения как на Dirt Jimper. Что мы видим: верху расположены ссылки на другие странички админки (Управление, История, Помощь, Страны, Очистить, Выйти), признаться сразу захотелось "Расписание" для полного счастье, но его тут нет. На страничке управление мы видим статистику:
G за сегодня - те боты что стукнули за 24 часа в админку
G онлайн - боты которые сейчас в сети
G выполняют - те которые уже приняли команду и выполняют её
Ниже мы видим окно для ввода команд,все команды вводяться вручную кроме одной — "СТОП", для неё есть кнопочка под окном, рядом с этой кнопочкой ещё одна "Выполнить", на этом всё. Вот так просто управлять ботом. Во вкладке "История" мы можем посмотреть лог наших заданий для ботов, можем очистить этот лог. Во вкладке "Помощь" мы видим
список всех команд для ботов, во вкладке "Страны" мы видим в каких странах у нас живут боты и сколько их живёт в n стране. "Очистить" - очищает бд от ботов которые нестучали в админку более 3-х дней. "Выйти" собственно понимаете что значит)). На этом всё,вот такая простая, в то же время достаточно функциональная админка.
О боте:
Бот написан на Delphi, не имеет функций обхода фаерволов и т.п, как сказал автор чем проще бот, тем лучше он уживается с АВ.
Бот весит 71кб, его можно сжать upx в 2 раза и получить файл меньше 32кб, думаю любители маленького веса обрадуются.
Бот тестировался на работу в WinXP(х64.х32), Win7(х64.х32), WinVista (х64.х32), Win200, на остальных платформах win работа возможна, но не тестировалась. Ещё один плюс бота - легко криптуется, потому-что не таскает с собой dll и не является сервисом.
Об инсталле:
Бот инсталлится за 2-3 секунды, вот как выглядит сам процесс: Бот смотрит где он был запущен, далее сравнивает путь инсталла и откуда запущен, если не совпадают — инсталл, пишется в реестр, пишется в исключения браундмаэра винды ,ну и запускает путь инсталла, далее оффается, благодаря такому методу отстук бота очень высок, примерно 80%, при использовании хорошего лоадера отсутк почти 90%. Бот инсталлится в 3!!! рандомных места:

  • C:/Windows/Microsoft.NET/svchost.exe
  • D:\RECYCLE
  • D:\sys
Это сделано для того, чтобы бот не удаляли по шаблону.
Об восприятии команд:
Что мне не очень понравилось, вернее вообще не нравится, дак это восприятие команд ботом. Преждем чем дать новую команду нужно нажать СТОП, дождаться пока боты примут эту команду и лишь потом давать новую, по мне не совсем удобно, плюс я сразу подумал "а как же боты которые выполняли команду, но теперь офнулись они же неполучат СТОП и когда войдут в сеть будут выполнять старую и новую команды сразу", но автор меня успокоил "Когда боты оффаются переменная с командой очищается", хотелось бы чтобы переменная авто заменялась при смене команды, помимо всего этого бот конечно же поддерживает мультитаргетинг и может атаковать несколько целей одновременно, как по мне не более 2-3 целей максимум или холдер умрёт от перегруза.
Дополнительные функции:
Кроме функций DDoS (о них напишу подробней), бот имеет функцию лоадера, тоесть может прогружать и запускать файл.
Так же бот поддерживает функцию обновления (Старый качает, запускает новый билд, потом вырубается, ну а новый ждет, пока старый оффнется, потом новый удаляет старый билд и инсталлится сам) вот так она работает.
Интересный факт: Функция обновления недоработанная! Обновлял тут свой ботнет с версии 1.7 до 2.0, знаете что у меня случилось? Во первых, врубил обновление, у меня было допустим 200 ботов, 100 ушло в другую админку 2.0, в старой админке так и всесело 50 ботов, 50 видимо сдохли...команду поставил на ночь...просыпаюсь утром...а у меня снова 200 ботов онлайн в админке 1.7, хотя даже 50 осталось в админке 2.0...вообще непонятно как работает функция.
"Только одна и та же версия обновляется" - сказал автор; какое же это тогда обновление???
Жизнь бота:
Закриптовался у официального криптовщика гбота (позже обьясню почему именно у него) и заказал 10к заливок за 150$ у селлера с верифа..Отстук был реально 100%..в админку пришло 13251...на вопрос сколько по стате заливщика он ответил "около 13200" ,вот так вот)
А закриптовался у оф. криптовщика потому-что сам недавно преобрёл криптор и криптанулся, криптор нечего не требует, брал загрузки у того же селлера мне пришло только 7597 ботов, хотя по его стате 12300 было... Вот вам скрин 1 случая (прошло 5 часов):
(IMG:http://s02.radikal.ru/i175/1107/73/109662c72744t.jpg)






Функции DdoS:
Потрясающий, богатый набор функций:
  • .httpflood – простой, но мощный GET httpflood
  • .ahttpflood – GET который позволяет избежать блокировки ботов некоторыми антиддос системами, за счёт рандомного содержимого пакетов и времени их отправки, использовать только с антиддос серверами, в целом он слабее обычного GEThttp против обычных сайтов.
  • .posthttp – эффективный POST http , есть возможность вписать содержимое пакета вручную.
  • .slowposthttp – разновидность POST флуда, очень эффективный метод, даже эффективней простого POST. (Медленная отправка пост пакета)
  • .syn – сун флуд на любой порт
  • .udp – удп флуд на любой порт
Тесты функций DdoS:
  • GET и POST флуд тестил сразу вместе (.posthttp и .http), получается этакий MIX HTTP FLOOD, весьма хорошо кладёт сайты (лучше чем по отдельности), тестил на сайте из почти чистого html без использование php, сайт стоял на выделенном сервере, с 1000 ботов MIX флудом упал на полдня. Результаты отличные. Скан хост-трекером http://h-t.co/pavq .
  • SYN FLOOD - достаточно эффективен когда нужно положить что то необычное, например игровой сервер с незащищёнными портами 7777, 2106 и т.д или нубо админ забыл закрыть порт БД у своего сервера,такие порты обычно вылетают с 50-100 ботов сун флудом. Скана нет.
  • UDP FLOOD – тоже достаточно вкусная вещь, вот этот сайт http://www.montreuxjazz.com обычным HTTP флудом можно положить на пол часика, потом все боты в бане, все 1500, но удп флуд нас выручит, мы просто накидаем этому противному сайту на ДНС и всего с 1000 ботов у нас будет вот такой результат http://host-tracker.com/check_res_ajx/8335936-0/ . Так же с помощью данного флуда можно забить канал сервера.
Вообщем SYN,UDP,HTTP флуд в боте на высоком уровне. Переходим к новым видам атак:
  • AHTTP FLOOD - функция работает, сайт падает, незнаю на сколько она эффективна...)
  • SLOWPOST FLOOD – приготовтесь испытать шок, 5 ботов,http://cs.wtgames.ru/forum/index.php форум в дауне, без комментариев http://host-tracker.com/check_res_ajx/8338520-0/ P.S происходит за счёт медленной отправки содержимого пост пакета, это очень сильно грузит сервак.
Интересный факт: автор нам всем гворит "не больше 15-20 потоков", кто пробовал 1500?))) Работает! Правда пол ботнета в оффлайн удёт и многие не вернутся, но работает!!!

Комментариев нет: