чем зашифрован httpd.conf?

Discussion in 'Windows' started by TANZWUT, 21 Jan 2009.

  1. TANZWUT

    TANZWUT Крёстный отец :)

    Joined:
    22 Jun 2005
    Messages:
    1,474
    Likes Received:
    716
    Reputations:
    744
    попалась вот такая тема:
    Code:
    <VirtualHost *>
    CustomLog H:/Logs/Apache1/01-01-09.****-ru.log combined
    DocumentRoot _ev17F8m~29zvp6u;lz0uÇbB<=l>=lf6k|u
    php_admin_value _ev1ounwf3:|pBl{#O?7[RW@2[j<wCG@4\h5:[hps?F?2OZFZPPü:24JIcOWü=2QRFJW^ü62[mpsDGC7bn93FztprqY7pl;>GC7bn93Vly~r5hz:UKVdX8luG=5rzwztqpFKD2Wvp|2[RWkP>rwJ55r~swssmD:C5o{w9;rxh8wBsr2w}d:9:i;:ih8m|y|B:=;Çh;7<j52u}8orv}q@;5rth>q@qt8u}hB7<m=Bqd@:@8krth:yuw|ézz2~b5rth>q@qt8u}hB7<m=Bqd@:@8krth:yuw|ézz2~b5rth>q@qt8u}hB7<m=Bqd
    php_admin_value disable_functions exec,passthru,system,proc_close,proc_open,shell_exec,popen,pcntl_exec,pcntl_fork
    ServerName www.***.ru
    ServerAlias ***.ru
    </VirtualHost>
    
    Microsoft(R) Windows(R) Server 2003 Standard x64 Edition
    5.2.3790 Service Pack 2 Build 3790

    расшифровать чемнибуть можно?
     
    _________________________
  2. system_32

    system_32 Elder - Старейшина

    Joined:
    6 Jul 2006
    Messages:
    61
    Likes Received:
    94
    Reputations:
    8
    По моему пароли зашифрованы DES’ом.
     
  3. TANZWUT

    TANZWUT Крёстный отец :)

    Joined:
    22 Jun 2005
    Messages:
    1,474
    Likes Received:
    716
    Reputations:
    744
    список процесов
    Code:
    Image Name                     PID Session Name        Session#    Mem Usage
    ========================= ======== ================ =========== ============
    System Idle Process              0                            0         24 K
    System                           4                            0        256 K
    smss.exe                       300                            0        648 K
    csrss.exe                      352                            0     11 404 K
    winlogon.exe                   376                            0     16 424 K
    services.exe                   424                            0     39 880 K
    lsass.exe                      436                            0     52 324 K
    svchost.exe                    600                            0      4 348 K
    svchost.exe                    680                            0      9 788 K
    svchost.exe                    744                            0     10 604 K
    svchost.exe                    780                            0      9 476 K
    svchost.exe                    796                            0     36 412 K
    iscsiexe.exe                   852                            0      5 136 K
    spoolsv.exe                   1056                            0      8 724 K
    msdtc.exe                     1080                            0      7 204 K
    Apache.exe                    1256                            0         60 K
    Apache.exe                    1364                            0         52 K
    aspnet_state.exe              4636                            0      6 764 K
    SRVANY.EXE                    4844                            0      2 572 K
    inetinfo.exe                  5140                            0     16 960 K
    cmd.exe                       5288                            0      2 968 K
    MsDtsSrvr.exe                 5712                            0     32 588 K
    msftesql.exe                 11048                            0      5 068 K
    sqlservr.exe                 11076                            0  2 471 736 K
    mysqld-ntX.exe               11132                            0     25 352 K
    svchost.exe                  11192                            0      2 308 K
    sqlwriter.exe                11284                            0      6 272 K
    war-ftpd.exe                 11416                            0     33 480 K
    svchost.exe                  11528                            0     21 660 K
    SQLAGENT90.EXE               12992                            0      6 004 K
    svchost.exe                  11660                            0      9 488 K
    svchost.exe                  11852                            0      6 012 K
    wmiprvse.exe                 12536                            0      8 724 K
    sshd.exe                     20532                            0      5 832 K
    ServerPerformanceReaderSe    20584                            0     35 860 K
    SpamAssassinCheck.exe        20668                            0     44 976 K
    SpamAssassinCheck.exe        17928                            0     33 148 K
    SpamAssassinCheck.exe        13968                            0     56 032 K
    SpamAssassinCheck.exe        17248                            0     77 800 K
    SpamAssassinCheck.exe        24444                            0     68 468 K
    SpamAssassinCheck.exe         7716                            0     41 808 K
    SpamAssassinCheck.exe        18184                            0     67 852 K
    SpamAssassinCheck.exe        25480                            0     41 592 K
    mysqld-max-nt.exe            13108                            0    332 804 K
    ProcessFailSafeService.ex    14524                            0     31 980 K
    csrss.exe                     6168                            1      4 992 K
    winlogon.exe                 10600                            1      3 180 K
    rdpclip.exe                  15220                            1      1 668 K
    ctfmon.exe                     944                            1        596 K
    explorer.exe                  7100                            1      5 352 K
    ctfmon.exe                    9756                            1        544 K
    Far.exe                       2532                            1      1 404 K
    cmd.exe                      13836                            1        120 K
    pfsStateServer.exe           28100                            0      6 832 K
    Apache.exe                   21436                            0     33 336 K
    Apache.exe                   24088                            0     16 580 K
    Apache.exe                    7816                            0     16 576 K
    Apache.exe                    1452                            0     16 580 K
    Apache.exe                    6072                            0        324 K
    Apache.exe                   27816                            0    105 728 K
    Apache.exe                    1524                            0     41 144 K
    Apache.exe                    4676                            0    198 868 K
    ProcessObserver.exe          16192                            0     45 988 K
    pfswp.exe                     1612                            0     33 944 K
    Apache.exe                   22524                            0     17 020 K
    Apache.exe                   13496                            0     17 432 K
    Apache.exe                   12904                            0     16 852 K
    Apache.exe                   18256                            0     25 612 K
    Apache.exe                   21596                            0     16 816 K
    SRVANY.EXE                   10736                            0      2 696 K
    php_cli.exe                   4112                            0      6 236 K
    SRVANY.EXE                    9304                            0      2 712 K
    php_cli.exe                   4908                            0      6 148 K
    SRVANY.EXE                   22980                            0      2 712 K
    Apache.exe                   25336                            0        132 K
    Apache.exe                   10516                            0    150 236 K
    Apache.exe                   20660                            0     45 956 K
    SRVANY.EXE                    6444                            0      2 680 K
    MERCURY.EXE                   5208                            0     26 880 K
    SRVANY.EXE                   11652                            0      2 660 K
    MERCURY.EXE                  25280                            0     17 128 K
    SRVANY.EXE                   17396                            0      2 684 K
    MERCURY.EXE                   3712                            0     16 708 K
    SRVANY.EXE                   16208                            0      2 668 K
    MERCURY.EXE                  13768                            0     16 448 K
    SRVANY.EXE                    6024                            0      2 676 K
    MERCURY.EXE                  11028                            0     16 948 K
    SRVANY.EXE                   24960                            0      2 676 K
    mercury.exe                  25148                            0      4 776 K
    SRVANY.EXE                   24280                            0      2 684 K
    mercury.exe                   2968                            0      5 132 K
    SRVANY.EXE                    6392                            0      2 676 K
    SRVANY.EXE                   23176                            0      2 680 K
    mercury.exe                   7840                            0      6 384 K
    MERCURY.EXE                  26116                            0     16 944 K
    SRVANY.EXE                   22804                            0      2 660 K
    mercury.exe                  15200                            0      5 408 K
    SRVANY.EXE                    7192                            0      2 664 K
    mercury.exe                  21736                            0      4 924 K
    SRVANY.EXE                    6684                            0      2 676 K
    MERCURY.EXE                  25568                            0     16 636 K
    SRVANY.EXE                   26596                            0      2 672 K
    MERCURY.EXE                  14136                            0     16 444 K
    SRVANY.EXE                   23476                            0      2 664 K
    mercury.exe                   2948                            0      3 324 K
    SRVANY.EXE                   14588                            0      2 648 K
    mercury.exe                   7612                            0      3 724 K
    SRVANY.EXE                   13288                            0      2 648 K
    mercury.exe                  24424                            0      4 428 K
    ResourceMonitorService.ex    24528                            0     16 356 K
    cmd.exe                       9512                            0      2 844 K
    php.exe                      27056                            0        120 K
    cmd.exe                      25708                            0      2 852 K
    php.exe                      16948                            0        120 K
    cmd.exe                      25816                            0      2 832 K
    php.exe                       2516                            0        120 K
    cmd.exe                      22484                            0      2 852 K
    php.exe                      11668                            0        120 K
    w3wp.exe                      7692                            0     56 524 K
    Apache.exe                    6876                            0    256 500 K
    Apache.exe                    1552                            0     50 168 K
    Apache.exe                   19212                            0     50 172 K
    Apache.exe                   17312                            0     51 168 K
    Apache.exe                   23576                            0     50 164 K
    Apache.exe                    9452                            0    368 692 K
    w3wp.exe                     24812                            0     15 796 K
    w3wp.exe                     10940                            0     34 848 K
    w3wp.exe                     24616                            0      8 960 K
    w3wp.exe                     23120                            0      4 360 K
    Apache.exe                   19692                            0     75 652 K
    Apache.exe                    7776                            0     79 104 K
    Apache.exe                    5952                            0     80 200 K
    Apache.exe                   25432                            0    143 436 K
    cmd.exe                       5468                            0      2 808 K
    wmiprvse.exe                 20732                            0      8 228 K
    clamd.exe                    10648                            0     31 512 K
    Apache.exe                    1360                            0     93 760 K
    Apache.exe                    8216                            0    117 812 K
    AdvProcess.exe               25084                            0     10 088 K
    Apache.exe                   28292                            0    121 712 K
    Apache.exe                   28340                            0    107 832 K
    Apache.exe                    4856                            0    103 112 K
    cmd.exe                       1536                            0      2 748 K
    php.exe                       4016                            0     24 444 K
    wait_for_files.exe            2104                            0      1 344 K
    cmd.exe                      10204                            0      2 768 K
    php.exe                       7148                            0     28 376 K
    php.exe                      16472                            0     16 276 K
    cmd.exe                      25440                            0      3 024 K
    cmd.exe                       8496                            0      2 856 K
    tcpvcon.exe                  21956                            0      5 040 K
    grep.exe                      5992                            0      1 812 K
    php.exe                      26916                            0     15 972 K
    cmd.exe                      22264                            0      2 884 K
    tasklist.exe                 17320                            0      5 980 K
    
     
    _________________________
  4. groundhog

    groundhog Elder - Старейшина

    Joined:
    12 May 2007
    Messages:
    1,159
    Likes Received:
    425
    Reputations:
    180
    Танз, если не секрет каким образом ты получил этот контент вхостов? Что-то я не уверен, что в конфигах апача можно выкидывать такие штуки... Мне кажется у тебя битый контент...
     
  5. TANZWUT

    TANZWUT Крёстный отец :)

    Joined:
    22 Jun 2005
    Messages:
    1,474
    Likes Received:
    716
    Reputations:
    744
    groundhog, это на всех серверах у одного из хостеров, в начале прошлого года этим интересовался, щас опять встретил. то что фал не битый 100%. может у них модуль на апач стоит..
     
    _________________________
  6. groundhog

    groundhog Elder - Старейшина

    Joined:
    12 May 2007
    Messages:
    1,159
    Likes Received:
    425
    Reputations:
    180
    TANZWUT, возможно, просто я не слышал про такие модули, и нигде про такое не писалось... Но ведь API модулей открытое, так что под Apache написать модно что угодно... Ещё идея, что это какой-то процесс типа антивируса висит в памяти и шифрует/мусорит заданные строки... Вот я и спросил - с помощью каких средств ты получил этот вывод, чтобы прикинуть возможность подмены контенты вывода "на лету".
     
  7. TANZWUT

    TANZWUT Крёстный отец :)

    Joined:
    22 Jun 2005
    Messages:
    1,474
    Likes Received:
    716
    Reputations:
    744
    в r57 ставил насвание файла и скачал, через правку или cat - тожесамое...
    /me ушёл настраивать сеть, буду ближе к вечеру.
     
    _________________________
  8. groundhog

    groundhog Elder - Старейшина

    Joined:
    12 May 2007
    Messages:
    1,159
    Likes Received:
    425
    Reputations:
    180
    Даже если на вскидку проанализировать строки:

    Code:
    DocumentRoot _ev17F8m~29zvp6u;lz0uÇbB<=l>=lf6k|u
    php_admin_value _ev1ounwf3:|pBl{#O?7[RW@2[j<wCG@4\h5:[hps?F?2OZFZPPü:24JIcOWü=2QRFJW^ü62[mpsDGC7bn93FztprqY7pl;>GC7bn93Vly~r5hz:UKVdX8luG=5rzwztqpFKD2Wvp|2[RWkP>rwJ55r~swssmD:C5o{w9;rxh8wBsr2w}d:9:i;:ih8m|y|B:=;  Çh;7<j52u}8orv}q@;5rth>q@qt8u}hB7<m=Bqd@:@8krth:yuw|ézz2~b5rth>q@qt8u}hB7<m=Bqd@:@8krth:yuw|ézz2~b5rth>q@qt8u}hB7<m=Bqd
    Это уже точно не DES. Если подвергнуть статистическому анализу - DocumentRoot вполне короткое значение... Чтож... Вполне резонно, он не бывает особо длинен. Значение же php_admin_value имеет гораздо более длинную строку чем DocumentRoot, хотя на практике таких значений не бывет (разве что это какой-то очень длинный путь). Очень удивляет одинаковая сигнатура вначале _ev1 и большая вариация символов и знаков... Причём схожих... Они не поддаются статистическому анализу в рамках английского или русского алфавита, что даёт основание полагать, что это не шифр простой замены... Хотя тут надо подумать... Просто если сопоставить, что хостинг виндовый, и обе шифрованные директивы это пути, то сигнатура _ev1 вполне может определять диск, если взять за отправную точку, что это диск H:\ (как и в логах), то можно будет предположить чем это шифровано... Но пока это похоже на мусор...
     
  9. groundhog

    groundhog Elder - Старейшина

    Joined:
    12 May 2007
    Messages:
    1,159
    Likes Received:
    425
    Reputations:
    180
    Танз, а grep на том хосте был изначально? Или это уже ты положил? Попробуй зазипуй целевой файл и прими архивом... Истина где-то рядом...
     
  10. GuD-ok

    GuD-ok New Member

    Joined:
    14 Nov 2008
    Messages:
    17
    Likes Received:
    2
    Reputations:
    0
    Посмотри какие модули подключены.

    А вообще похоже апач компилили из исходников с некоторой доработкой(ничего сложного в принципе тут нет). 90% что исходники где-то там и лежат. Надо их найти, и будет тебе щастье)))
     
  11. Dronga

    Dronga ВАША реклама ТУТ!!

    Joined:
    1 Jul 2005
    Messages:
    575
    Likes Received:
    239
    Reputations:
    249
    Сомневаюсь, что r57 шелл будет работать при таких disable_functions... Допускаю, что это неактульный файл и ты находишься в чрут окружении.
    Вариант с битым контентом тоже имеет право на жизнь..
    Бросается в глаза префикс (или суффикс, или постфикс)) _ev1.. Гугль не в курсе.
     
    #11 Dronga, 21 Jan 2009
    Last edited: 21 Jan 2009
  12. groundhog

    groundhog Elder - Старейшина

    Joined:
    12 May 2007
    Messages:
    1,159
    Likes Received:
    425
    Reputations:
    180
    GuD-ok, это винда... Я сомневаюсь, что они под виндой компилили апач... Ты сам пробовал это хоть раз делать? :)
     
  13. GuD-ok

    GuD-ok New Member

    Joined:
    14 Nov 2008
    Messages:
    17
    Likes Received:
    2
    Reputations:
    0
    Пардон, не заметил. А под виндой пробовал((( Я в данной ситуации вероятно не прав.

    А что это за хостер такой с апачем на винде?
     
  14. Dronga

    Dronga ВАША реклама ТУТ!!

    Joined:
    1 Jul 2005
    Messages:
    575
    Likes Received:
    239
    Reputations:
    249
    Тут справочки навёл, для некоторых языков путь указывыается весьма своеобразно... Пример с японской вистой.. слеш значком ены, остальное тоже в иероглифах))) Так что не исключаю экзотическую версию ОС.. Отсюда и шелл неправильно отображает на наших CP1251 машинах..
     
    1 person likes this.
  15. Pernat1y

    Pernat1y Elder - Старейшина

    Joined:
    20 Dec 2007
    Messages:
    479
    Likes Received:
    79
    Reputations:
    7
    System Idle Process тогда по другому назывался-бы, наверное. процесс языкозависимый )
     
  16. Dronga

    Dronga ВАША реклама ТУТ!!

    Joined:
    1 Jul 2005
    Messages:
    575
    Likes Received:
    239
    Reputations:
    249
    =) Вообще-то необходимости компилить Апач под виндой нет, он поставляется уже готовой msi-кой под Win (http://httpd.apache.org/download.cgi)
     
  17. Dr.Frank

    Dr.Frank Elder - Старейшина

    Joined:
    31 Jul 2002
    Messages:
    301
    Likes Received:
    72
    Reputations:
    12
    недавно столкнулся с такой же проблемой, т.е. в файле host.conf:
    Code:
    <VirtualHost *>
    CustomLog H:/Logs/Apache1/09-04-06.***.log combined
    DocumentRoot _ev17B4sz{86;{l}…kw9uЃjC9i;n69l:sЂ{t
    php_admin_value _ev1oyhqj7>vj<pu'IC;UL[:6Un6{GKD8`l94_ltwCJC6ITJ^TJ…468NMgS[…76UVJDQX…:6_qtw>K=;\h37JtxtvuSy;tp5BK=;\h37Zp}‚l9l~4YOZhR<poK79v~q~nuj@O>6Qzjv6UL[eT8lqD99vxw{mwq>>=9s{36;vl}Ђpw4u|jC>i@i;9l:s{ЂyC>@6|l328n57||4k{x{nB4<7ynwq{9wЃf;=i9n>5l@>B4svtl:ЃqyЂ‚~~6|f89zh‚ny4{|h?6i:i?7l>>A5k{rl8yr}{{~~6~f<;{l}…kw9uЃjC9i;n69l
    php_admin_value disable_functions exec,passthru,system,proc_close,proc_open,shell_exec,popen,pcntl_exec,pcntl_fork
    ServerName www.***.ru
    ServerAlias ***.ru
    </VirtualHost>
    ни у кого не появилось новых идей?
     
  18. Dr.Frank

    Dr.Frank Elder - Старейшина

    Joined:
    31 Jul 2002
    Messages:
    301
    Likes Received:
    72
    Reputations:
    12
    появились некоторые мысли насчет DocumentRoot:
    _ev1 - это скорее всего dev1, т.к. все сайты расположены на диске d: (на серваке стоит cygwin)
    5 последних символов в пути - это "/http"
    дальнейшие мысли уходят в никуда :-(
     
  19. KaZ@NoVa

    KaZ@NoVa Elder - Старейшина

    Joined:
    5 Jul 2008
    Messages:
    368
    Likes Received:
    438
    Reputations:
    -16

    Боженьки ты мой!!! Откуда такой ужас?
    насчёт дев вполне возможно, хотя файлам серва в том разделе делать нечего по идее....
    а вот с остальным у меня чтото глаза разбегаются
     
  20. RedAlert

    RedAlert Elder - Старейшина

    Joined:
    26 May 2008
    Messages:
    66
    Likes Received:
    10
    Reputations:
    0
    А список модулей апача ? Наверняка есть какой то модуль , надыбаем а там попробуем отреверсить (если не сложный алго)