Руководство пользователя (ЧЕРНОВИК)
Содержание
- Описание и возможности.
- Настройка сервера.
- HTTP-сервер.
- Интерпретатор PHP.
- MySQL-сервер.
- Панель управления.
- Установка.
- Обновление.
- Файл /system/fsarc.php.
- Настройка бота.
- Работа с BackConnect.
- История версий.
- F.A.Q.
- Мифы.
Описание и возможности.
ZeuS - программное обеспечение для кражи личных данных пользователей с удаленных систем Windows. На простом языке "Троян", "Бэкдор", "Вирус". Но автор не любит эти слова, поэтому далее в документации он будет называть это программное обеспечение "Бот".
Бот полностью основан на перехвате WinAPI в UserMode (Ring3), это значит, что бот не использует каких-либо драйверов и обращений в Ring0. Эта особенность дает возможность запускаться боту даже из Гостевых учетных записей Windows. Плюс это гарантирует повышенную стабильность, и адаптивность к последующим версиям Windows.
Бот разрабатывается на Visual C++ версии 9.0+, при этом не используются дополнительные библиотеки типа msvcrt, ATL, MFC, QT и т.д. Код бота пишется со следующими приоритетами (в порядке уменьшения): - стабильность (старательно проверяются все результаты вызова функций и т.д.),
- размер (избегаются повторы алгоритмов, повторы вызовов функций и т.д.),
- скорость (нет инструкций типа while(1){..}, for(int i = 0; i < strlen(str); i++){..}).
Функции и особенности бота: - Снифер трафика для протокола TCP.
- Перехват FTP логинов на любом порту.
- Перехват POP3 логинов на любом порту.
- Перехват любых данных из трафика (персональный заказ).
Перехват HTTP/HTTPS запросов для wininet.dll, т.е. всех программ работающих с этой библиотекой. Сюда входят Internet Explorer (любая версия), Maxton, и т.д.
Функции сервера. - Socks4/4a/5.
- Бэкконект для любого сервиса(RDP, Socks, FTP, и.т.д.) на зараженной машине. Вы можете
- получить доступ к компьютеру, который находится за NAT, или, например, к которому
- запрещены подключения из интернета.
- Получение скриншота экрана в реальном времени.
-- не дописано ---
Настройка сервера.
Сервер является центральной точкой управления ботнетом, он занимается сборкой отчетов ботов, и отдачей команд ботам. Крайне не рекомендуется использовать "Виртуальный Хостинг" или "VDS", т.к. при увеличение ботнета, нагрузка на сервер будет увеличиваться, и такой вид хостинга довольно быстро исчерпает свои ресурсы. Вам нужен "Выделенный сервер" (Дедик), рекомендуемая минимальная конфигурация: - 2Гб ОЗУ.
- 2x процессор частотой 2Ггц,
- SATA винчестер 7200rpm+
Для работы бота необходим HTTP-сервер с подключенным PHP + Zend Optimizer, и MySQL-сервер.
ВНИМАНИЕ: Для Windows-систем очень важно изменить(создать) следующее значение реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters\MaxUserPort=dword:65534 (десятичное)
HTTP-сервер. В качестве HTTP-сервера рекомендуется использовать: для nix-систем - Apache от версии 2.2, для Windows-систем - IIS от версии 6.0. Рекомендуется держать HTTP-сервер на 80 или 443 порту (это положительно влияет на отстук бота, поскольку провайдеры/прокси могут блокировать доступ на иные, нестандартные порты).
Интерпретатор PHP. Последняя версия панели управления разрабатывалась на PHP 5.2.6. Поэтому крайне рекомендуется использовать версию, не ниже этой версии. Но в крайнем случаи не ниже 5.2.
Важно произвести следующие настройки в php.ini:
- safe_mode = Off
- magic_quotes_gpc = Off
- magic_quotes_runtime = Off
- memory_limit = 256M ;Или выше.
- post_max_size = 100M ;Или выше.
а также рекомендуется изменить следующие настройки:
display_errors = Off
Также понадобиться подключить Zend Optimizer (ускорение работы скриптов, и запуск защищенных скриптов). Рекомендуется версия от 3.3.
Не рекомендуется подключать PHP к HTTP-серверу через CGI.
MySQL-сервер.
MySQL требуется для хранения всех данных об ботнете. Рекомендуемая версия не ниже 5.1.30, так же стоит учесть, что при работе панели управления в более старых версиях были обнаружены некоторые проблемы. Все таблицы панели управления идут в формате MyISAM, важно правильно оптимизировать быстродействие работы с этим форматом, исходя из доступных ресурсов сервера.
Рекомендуется внести следующие изменения в настройки MySQL-сервера (my или my.ini):
max_connections=2000 #Или выше
Загрузить MySQL: http://dev.mysql.com/downloads/
. Панель управления.
Установка. - Назначение файлов и папок:
- /install - инсталлятор.
- /system - системные файлы.
- /system/fsarc.php - скрипт для вызова внешнего архиватора (раздел 2.4.3).
- /system/config.php - файл конфигурации.
- /theme - файлы темы (дизайн), без зенда, могут свободно изменяться.
- cp.php - вход в панель управления.
- gate.php - гэйт для ботов.
- index.php - пустой файл для предотвращения листинга файлов.
Панель управления обычно расположена в вашем дистрибутиве в папке server[php]. Все содержимое этой папки необходимо загрузить на сервер в любую папку доступную по HTTP. Если вы загружаете ее через FTP, то все файлы нужно загрузить в БИНАРНОМ режиме.
Для nix-систем выставите права: - /. - 777
- /system - 777
- /tmp - 777
Для Windows-систем: \system - права на полные права на запись, чтение для пользователя из под которого происходит доступ через HTTP. Для IIS это обычно IUSR_*. \tmp - также как и для \system.
После того как все файлы загружены, необходимо через браузер запустить инсталлятор по URL http://сервер/папка/install/index.php. Следуйте появившимся инструкциям, в случаи возникновения ошибок (вы будете подробно уведомлены) в процесс установки, проверти правильность введенных данных, и правильность установки прав на папки.
После установки, рекомендуется удалить директорию install, и переименовать файлы cp.php (вход в панель управления) и gate.php (гэйт для ботов) в любые файлы по вашему желанию (расширение менять нельзя).
Теперь вы можете благополучно входить в панель управления, введя в браузере URL переименованного файла cp.php.
Обновление. Если вы обладаете более новой копией панели управления, и желаете обновить старую версию, то необходимо сделать следующие:
1) Скопировать файлы новой панели управления на место старых. 2) Переименовать файлы cp.php и gate.php согласно их реальным именам выбранным вами при установке старой панели управления. 3) На всякой случай, повторно выставить права на директории согласно пункту 2.4. 4) Через браузер запустить инсталлятор по URL http://сервер/директория/install/index.php, и следовать появившимся инструкциям. Процесс работы инсталлятора может занять достаточно большой промежуток времени, это связано с тем, что некоторые таблицы с отчетами могут пересоздаваться. 5) Можно пользоваться новой панелью управления.
- Данный файл содержит в себе функцию для вызова внешнего архиватора. В данный момент архиватор
- используется только в модуле "Отчеты::Поиск в файлах" (reports_files), и вызывается для загрузки
- файлов и папок в виде одного архива. По умолчанию функция настроена на архиватор Zip, и является
- универсальной для Windows и nix, поэтому все что вам нужно сделать, это установить в систему этот
- архиватор, и дать права на его исполнение. Вы также можете отредактировать этот файл для работы с
- любым архиватором.
- Настройка бота.
- Работа с BackConnect =
- Работа с BackConnect рассматривается в виде примера.
- IP BackConnect-сервера : 192.168.100.1
- Порт для бота: 4500
- Порт для клиентского приложения: 1080
| 
