A madrugada estava estranha.
Muito estranha.
A DALnet inteira parecia respirar errado.
Os serviços oscilavam.
Bots caiam sem motivo.
Canais inteiros desapareciam durante netsplit.
E no meio do caos começaram a surgir PMs iguais em várias redes:
“não aceita DCC”
“não clica nesse mirc.ini”
“tem worm rodando via CTCP”
Mas já era tarde demais.
Os novatos continuavam entrando em canais warez achando que:
- nick colorido era poder,
- script cheio de DLL era segurança,
- e flood era conhecimento.
Enquanto isso, alguém estava espalhando um worm silencioso usando:
- remotes escondidos,
- aliases ofuscados,
- e backdoor em script “proteção anti-flood”.
Era elegante.
Perigosamente elegante.
Nada de popup.
Nada de payload barulhento.
Nada de “você foi hackeado”.
Só:
- captura de nickserv,
- roubo de configs,
- propagação discreta,
- e takeover lento de bots.
Os “hackers de menu” nem perceberam.
Mas em um canal pequeno…
um operador antigo percebeu algo estranho.
O lag não fazia sentido.
O tráfego CTCP estava alto demais.
E alguns usuários aparentemente “limpos” estavam enviando requisições idênticas em intervalos perfeitos.
Automação.
O operador ficou em silêncio.
Abriu:
- raw logs,
- status window,
- sockets,
- e começou a observar handshake por handshake.
Enquanto o canal inteiro digitava:
“meu script travou”
“me kickaram”
“perdi op”
“acho que é netsplit”
ele já sabia:
não era netsplit.
Era infecção coordenada.
Então apareceu ele.
Sem announce.
Sem flood.
Sem ascii art.
Só:
— ROOT (~sysop@hidden.host
) entrou em #nightbridge
Os usuários antigos imediatamente pararam de brincar.
Porque aquele nick só aparecia quando a situação estava feia.
Muito feia.
ROOT não perguntava.
Não ameaçava.
Não digitava frase de efeito.
Ele observava.
Abriu o remote loader.
Comparou hash de arquivos.
Analisou aliases carregados em memória.
E encontrou.
Uma linha escondida no meio de centenas:
on *:CONNECT:{
.sockopen gate hidden.server 31337
}
Silêncio.
O worm estava usando:
- relay passivo,
- conexão reversa,
- e replicação via DCC SEND automático.
Alguém no canal digitou:
“wtf…”
Mas ROOT já estava na frente.
Desabilitou propagação.
Isolou bots comprometidos.
Reescreveu protections em tempo real.
Matou sockets suspeitos.
E começou a derrubar a cadeia inteira sem derrubar usuários inocentes.
Era cirúrgico.
Os novatos assistiam sem entender metade dos comandos.
Mas os veteranos entendiam.
Aquilo não era “hacker de fórum”.
Aquilo era alguém que realmente conhecia:
- IRC daemon,
- comportamento de flood,
- estrutura de remote,
- shell antiga,
- spoof,
- BNC,
- eggdrop,
-
e principalmente…
o fator humano.
Porque ROOT sabia de uma coisa que poucos aprendiam:
o elo mais vulnerável nunca foi o servidor.
Era o ego.
Depois de quase uma hora…
o canal voltou ao normal.
Bots estabilizados.
Flood zerado.
Sem propagação.
Um usuário mandou PM:
“como você aprendeu isso tudo?”
Demorou alguns minutos pra resposta chegar.
Então apareceu apenas:
“aprendi cedo demais que destruir é fácil… difícil é proteger.”
E logo depois:
— ROOT saiu do IRC (Connection reset by peer)
Como se nunca tivesse estado ali.
Nenhum comentário:
Postar um comentário