Ситуация такая: есть веб-шелл, например, PhpRemoteView или r57shell от rst с установленными логином и паролем на каком-то сервере. При неправильном вводе логина (пароля), попадёт ли неудачная попытка аутентификации в лог ошибок веб-сервера?
Собственно, у меня тут шелл помер недавно безо всяких видимых причин - больше и не знаю на что думать... Возможно, аутентификацию лучше вообще отключать?
Просмотрел access.log очень маловероятно, т.к. там за сутки мегов 70-90 мегов капало; шелл лежал на серваке почти год и всё было "пучком"; собственно я захотел убедиться в работоспособности шелла (точнее даже двух) и ввёл путь, но авторизовываться не стал, а нажал отмену; на следующий день меня уже снесли... Ещё, правда, первый раз я неправильно ввёл путь и этот URL наверняка попал в лог ошибок... Возможно, что админ меня запалил именно так, но я всё равно пока думаю на аутентификацию. Неудачная аутентификация она ведь тоже куда-то логается? AkyHa_MaTaTa, а что такое авер - какой-то хост-сканнер?
otmorozok428, ну тебе же сказали как ты пропалился... Авторизация тут не при чём! В лог ошибок попадает именно информация об ошибках программного обеспечения и дебажная информация. Любой доступ к ресурсу, пускай посредством HTTP-аутентификации или какой-то другой - всё сыплется в access_log... Если ты ввёл не правильно логин/пароль - твой запрос с кодом Forbidden попал в access_log... Не в error_log, а в access_log... Я думаю не секрет, что уже давно существуют средства анализа логов... И это не значит, что одмин будет сидеть и пялиться в каждую строчку гигабайтного лога... Он просто выберет записи по какому-то критерию - HTTP-код результата, длина запроса, содержание в запросе определённой строки... Как файл на хосте с шелом твой назывался?
Ну на мой взгляд - палевно... Хот хз, чё там за файло было... Кроме того файло могло по сигнатуре спалится антивирусом...
с99madshell.php у меня не палится... Кста, а если не соединяет с шеллом, а ввожу пароль и логин правиль - это значит, что идет портовая фильтрация?
Если на сайте есть форум или СMS то коси под них, например: vbajax.php.(для булки), А титал у тебя не палится: <title>RST shell</title> - многие шеллы слителли именно из-за этого, или стали паблик. Обясьни, мне нубу - как это - скрипт запускается(ну в смысле требует ввода пасса и узера), а потом идет - "портовая фильтрация", как это(не догоняю при чем здесь фильтрация)? Скорее всего ты не правильно водишь данные для авторизации.
Когда шелл требует логин и пароль - ввожу их. Но соединение не проходит - требует ввести еще раз. Проверял несколько раз. Не соединяет. Отрубил авторизацию, соединился сразу.
Кстати, только что проверил оба шелла Каспером - r57shell распознаётся как Backdoor.PHP.RST.q, а PhpRemoteView не пропалился. Забавно... Правда, PhpRemoteView работает, в основном, через GET-запросы, что есть "минус".
Это с большой вероятностью значит, что на HTTP-сервере не поддерживается метод аутентификации используемый в веб-шелле(например Basic WWW-Authenticate как в phpRemoteView).
