B

oty skanują Internet 24 godziny na dobę, 365 dni w roku. Niektóre są dobre, niektóre złe, a jeszcze inne neutralne. Mnie osobiście podobnie, jak innych użytkowników zaczęło zastanawiać dlaczego ktoś pyta o adres /testproxy.php szukając otwartych serwerów proxy? Szczególnie, że podszywa się pod host: testX.pospr.waw.pl lub testX.piwo.pila.pl. Większość zwrotnych adresów IP prowadzi do polskiej firmy hostingowej. Nie należy od razu pochopnie wydawać opinii, że za całym tym incydentem stoi owa firma, ponieważ każda platforma hostingowa, która posiada slogan “Testuj bezpłatnie przez X dni” może paść ofiarą osób, które cyklicznie korzystają z takiej oferty, a przez ten czas instalują szkodliwe oprogramowanie, aby skanować Internet w poszukiwaniu różnych luk.

Przed upływem okresu testowego dane i raporty są pobierane, a ślady usuwane. Przy oficjalnym zgłoszeniu dana firma potrafi jedynie podać adres IP, z którego łączono się do testowego konta, ale nie jest w stanie powiedzieć, co dokładnie robił użytkownik. Adres IP często prowadzi do innej firmy, również oferującej trial swoich produktów lub zbyt dalekiej zagranicy, aby cokolwiek zdziałać przy tak małej szkodliwości. W tym wypadku pozostaje jedynie “rozwiązanie” sprawy we własnym zakresie. Skoro wiemy, jaki plik jest za każdym razem sprawdzany możemy przecież zawrzeć w nim mechanizm, który wykona atak zwrotny na odwiedzającego. Tylko w tym przypadku to my stajemy się złymi gośćmi atakującymi serwery firmy, która po prostu nie przemyślała polityki udostępniania swoich usług. Właśnie – polityka – każda firma hostingowa nakłada ograniczenia miesięcznego transferu na swoje plany. I tutaj powstaje możliwość spowolnienia takich botów lub szybszego zamknięcia ich testowych kont. Jeśli stworzymy binarny plik wypełniony zerowymi danymi o nazwie testproxy.php, który będzie zajmował 1GB:

# dd if=/dev/zero of=testproxy.php bs=1G count=1
1+0 records in
1+0 records out
1073741824 bytes (1.1 GB) copied, 16.3452 s, 65.7 MB/s

i umieścimy go w katalogu danej strony, gdzie jest oczekiwany przez bota to nagle okaże się, że możemy mu zmarnować nawet 7362372 KB, czyli 7 GB transferu (1/3 limitu tej firmy). Według statystyk serwera NF.sec było 57 trafień w ten plik z pojedynczego adresu IP, czyli 7GB / 57, co daje nam 126 MB pobranych danych per trafienie. Tyle jeśli chodzi o transfer. Możemy także zagrać na czasie i wprowadzić limit szybkości pobierania tego pliku wiążąc bota z serwerem na dłużej.