来自 应用 2022-05-14 07:10 的文章

ddos防护_服务器高防香港_怎么办

ddos防护_服务器高防香港_怎么办

格鲁姆还活着!

格鲁姆是最大的垃圾邮件僵尸网络之一,2012年7月被"杀死",被怀疑对全球17%以上的垃圾邮件(如本文所述)负有责任,现在仍然活着。我们从2013年1月开始跟踪其活动。我们可以证实spiderlab对2013年3月公布的格鲁姆谋杀案的怀疑。以下文章提供了有关注册格鲁姆活动的一些详细信息。

我们在以下网站上看到格鲁姆活动:

每个机器人客户端在第一次运行时都会生成自己的识别号(ID)。ID的长度为32个字符。前三个字符对应于机器人版本,简单防御ddos,其余29个字符是随机生成的。它还设置为HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\BITS\ID注册表项,每次运行时都会查询该注册表项。

机器人设置其ID后,dns高防和cdn区别,它尝试连接到C&C服务器

1)bot通过HTTP GET请求联系C&C服务器,美国高防cdn多久生效,以获取客户端计算机的FQDN

%server/spm/s_GET_host.php?ver=%botVer

2)该信息用于联系从用于发送垃圾邮件的以下域的DNS MX记录中获取的SMTP服务器之一:

3)然后通过以下请求联系C&C服务器

%s/spm/s_alive.php?id=%botID&ticks=%u&ver=%botVersion&smtp=%s&sl=%d&fw=%d&pn=%d&psr=

当bot成功联系其中一个smtp服务器时,smtp变量设置为"ok",如果未成功,则设置为"bad"。

4)C&C服务器用一条看起来像典型的消息进行应答BASE64编码

例如:

Xu6hQoZL5+9/Hva9N3F3A2+gwPdLuk28BPA5Alm1IOS9MWvCLGp9r/UEqHksCNo4djEmA8SBk/TPRNVG1RW1RJZNWTOTHOURVW7KDU/H53SGOSZVG006MFQVEOXLQF7P4PQ+s=

实际上消息是由RC4算法加密的,php怎么防御cc,密钥等于机器人的ID,然后由BASE64编码。

整个解密算法用C#编写可能如下所示:

上述消息的机器人id为7217671720437068228290705133275。解密过程后,我们可以看到消息:

:9091/spm/s_task.php?id=72176717204370682282907051332175&tid=61853

5)机器人记住ot变量并发送不带ot变量的HTTP任务请求。

:9091/spm/s_task.php?id=72176717204370682282907051332175&tid=61853

6)C&C的答案为垃圾邮件指示,包括垃圾邮件模板,该模板也通过上述模式进行加密。

有趣的是,发送的垃圾邮件与我们过去在博客上描述的欺诈行为类似。

最后,我们提供了加密指示的屏幕截图、垃圾邮件和解密指示的示例。

taskid=61853realip=x.x.x.xdns=8.8.8.8主机名=y海洛纳姆maxthread=25从=usypc@ozucfx.net

类型=0请尝试\u tls=0使用_psr=0使用_dnsapi=1请尝试\u mx\u num=1使用_ehlo=1nadialee@hanmail.netnadialee@hellokitty.com...nadialeitao@zipmail.com.br纳迪亚_leonita@yahoo.co.id接收:通过work.ozucfx.net(后缀,来自用户ID%W\u RND\u INT[3])id E%W\u RND\u INT[2]CE%W\u RND\u INT[5]E;%日期发件人:在家工作收件人:主题:你生命中的第二次机会刚刚到来

Mime版本:1.0内容类型:text/html;字符集=美国ascii码内容传输编码:8bi优先:批量消息Id:

,香港阿里云ddos防御服务器