Botnet angreb i praksis

Et Botnet er en skrækkelig masse computere, der bliver styret af en edderkop i midten af nettet (eller mere korrekt af Botnet kontrolløren gennem sin Command and Control (C&C) server). Og de enkelte computere tilhører dig og mig og hvem som helst, der sandsynligvis ikke har nogen anelse om at deres PC bruges på denne måde.

Botnettet kan bruges til mange former for ulovligheder fra DDoS angreb (vedvarende og kraftig illegal trafik mod serveren, så de legale kontaktforsøg ikke kan komme igennem) til udsendelse af spam mails. Det kan også bruges til at foretage forsøg på at knække passwords: Vores hjemmeside låser en bruger og en ip adresse ude, når der har været forsøgt at taste kodeordet for mange gange. Men hvis man har adgang til et Botnet, så skifter man selvfølgelig bare til en anden PC i netværket og så er IP adressen en ny.

Fra kl 8 i morges til ca kl 12 har der været forsøg på at logge ind som administrator på vores hjemmeside fra Kina, Vietnam, Filippinerne, Malaysia, Bahrain, Algeriet, Georgien, Indien og Armenien.

Og det er der såmænd ikke noget unormalt i. Det eneste unormale er at jeg har taget mig tid til at forsøge at anmelde alle forsøg til ejerne af de pågældende netværk. Og det kommer der såmænd nok ikke noget ud af.

Manuel kamp mod cybercrime er en halsløs gerning, så jeg overvejer om jeg har råd til at udvikle noget mere automatisk. Indtil da så er der en række værktøjer, man kan bruge i efterforskningen, fx:

Her er et par stykker, hvor man kan slå en ip adresse op:

traceip.net – opslaget giver et resultat hvor man kan klikke sig videre til whois informationen om ejeren.

ip2location.com – primært til at give geolocation for en ip. Giver ikke helt så mange oplysninger som traceip.

ipinfo.io  – giver ikke mange informationer, men den kan fx blot bruges ved at tilføje ip adressen: ipinfo.io/37.121.27.115

AbuseIPDB – giver mulighed for at rapportere misbrug fra en ip adresse – og se om andre har rapporteret den.