pBot o simili, nonché varianti sono piccole shell che creano mini botnet.
La shell originaria, scritta da non so chi è molto vecchia risale circa al 2008, viene comunque continuamente aggiornata per includere nuove funzioni, nuove vulnerabilità da cercare, nuovi siti da fottere.
Analizzando un po’ il codice di queste botnet si può venire a controllo di qualche migliaia di pc :)
Non sono moltissimi ma ci permettono di fare parecchie cose :)
Vi lascio alcune immagini :)
L’analisi è molto semplice e basta fare qualche dork con i nomi che vedete nelle immagini per prendere il controllo di alcune di queste botnet.
Quasi tutti questi bot in php,perl si connettono a dei server irc e aspettano di ricevere comandi.
Analizzarli è abbastanza semplice io mi sono fatto un sito web su fanatical vps e ho attivato uno analizzatore di traffico :)
Oppure si può attivare ossec e le web_rules :)
https://client.fanaticaldev.com/aff.php?aff=077
Su fanatical vps un mese costa 5 $ ed è molto semplice entrare nel mirino degli spider :)
Questi spider tentano sempre una rfi ed è facile decodificare le shell che tentano di uppare.
Una volta che includono una shell basta quasi sempre un bas64_decode per decodificare quest’ultime.
Nell’intestazione della shell troviamo sempre i canali a cui si connette e resta in ascolto :)
Es:
class pBot
{
var $config = array("server"=>"irc.FUCK.org",
"port"=>"6667",
"pass"=>"redeye",
"prefix"=>"RY",
"maxrand"=>"6",
"chan"=>"#dd0s",
"chan2"=>"#dd0s",
"key"=>"",
"modes"=>"+p",
"password"=>"redeye",
"trigger"=>".",
"hostauth"=>"*"
);
In pochi minuti se siamo fortunati avremo a disposizione molteeeee shell online con diverse funzioni, ricordate google è nostro amico e con alcune dork è possibile filtrare i risultati ad hoc.
Da notare che le nuove botnet cercano anche la vulnerabilità timthumb che affligge molti temi wordpress.