Рекомендуемые сообщения

MilkeyWay    6

Привет всем!

 

Хочу предостеречь от действий этого кренделя,а именно: @Shureg

 

я создал тему с доработкой -

 

он написал в личку,что сможет помочь с данным вопросом,ок. Начал настраивать фтп,дал ему доступ,но,слава богу)) фтп криво настроил и этот крендель не смог получить доступ(см.лог)

 

лог:

 

Sun Jun 25 13:58:07 2017 [pid 3168] CONNECT: Client "5.44.168.223"
Sun Jun 25 13:58:07 2017 [pid 3167] [demo] OK LOGIN: Client "5.44.168.223"
Sun Jun 25 14:02:42 2017 [pid 3441] CONNECT: Client "5.44.168.223"
Sun Jun 25 14:02:42 2017 [pid 3440] [demo] OK LOGIN: Client "5.44.168.223"
Sun Jun 25 14:02:43 2017 [pid 3442] [demo] FAIL UPLOAD: Client "5.44.168.223", "/view/theme/default/stylesheet/wso.php", 0.00Kbyte/sec
Sun Jun 25 14:02:49 2017 [pid 3442] [demo] FAIL UPLOAD: Client "5.44.168.223", "/view/theme/default/stylesheet/wso.php", 0.00Kbyte/sec
Sun Jun 25 14:03:06 2017 [pid 3442] [demo] FAIL UPLOAD: Client "5.44.168.223", "/view/theme/default/template/module/wso.php", 0.00Kbyte/sec
Sun Jun 25 14:03:12 2017 [pid 3442] [demo] FAIL UPLOAD: Client "5.44.168.223", "/view/theme/default/template/module/r57.zip", 0.00Kbyte/sec
Sun Jun 25 14:03:18 2017 [pid 3442] [demo] OK DOWNLOAD: Client "5.44.168.223", "/view/theme/default/template/module/ajax_filter.tpl", 1732 bytes, 10.69Kbyte/sec
Sun Jun 25 14:05:00 2017 [pid 3663] CONNECT: Client "5.44.168.223"
Sun Jun 25 14:05:01 2017 [pid 3662] [demo] OK LOGIN: Client "5.44.168.223"
Sun Jun 25 14:05:01 2017 [pid 3667] [demo] FAIL UPLOAD: Client "5.44.168.223", "/controller/adminer-4.2.5-mysql.php", 0.00Kbyte/sec
Sun Jun 25 14:05:16 2017 [pid 3169] [demo] FAIL MKDIR: Client "5.44.168.223", "/controller/123"
Sun Jun 25 14:08:36 2017 [pid 3169] [demo] FAIL UPLOAD: Client "5.44.168.223", "/view/javascript/qqqq", 0.00Kbyte/sec

 

 

погуглил wso.php и r57.zip - оказались шеллы

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nikifalex    275

1) так а сам то он что говорит?

2) вы думаете, что он не проверив FTP сразу начал вслепую что-то вам куда-то там заливать?

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
MilkeyWay    6
5 минут назад, nikifalex сказал:

1) так а сам то он что говорит?

2) вы думаете, что он не проверив FTP сразу начал вслепую что-то вам куда-то там заливать?

 

 

я ему еще не писал. Мы с ним уже неделю пытаемся настроить фтп(он уже пробовал создавать папки),все никак не получалось,сегодня чисто случайно полез посмотреть логи и увидел данную картину,данные для входа по фтп,кроме него и меня не знал никто.

 

зы ответ очевиден

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
markimax    1 431

6621592950.png

6115282164.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vasilev86    21

Давно говорил нужно почистить форум или сделать статус программистам которым можно доверять, сам сталкивался с такой проблемой.

Также модно брать деньги, начать делать и пропасть ))))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Tom    1 969

Будет любопытно услышать объяснение от @Shureg  ,если это не попытка получить таким образом больше инфы или "оставить не запертой дверь" в случае работы без предоплат....то выглядит не очень красиво.

https://www.youtube.com/watch?v=gkoWtHZDV3M

https://github.com/tennc/webshell/tree/master/php/wso

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
markimax    1 431
7 минут назад, Tom сказал:

в случае работы без предоплат....то выглядит не очень красиво.

 

В любом случае выглядит не красиво.
Насчет оплат и т п надо договариваться до "переправы", а не "страховаться" шеллами. Это недопустимо в любом случае!
Кто хотел бы из пользователей чтобы им шелл заливали без их ведома ...
Если этот факт подтвердится (пока не слышали ВРАЗУМИТЕЛЬНОГО пояснения) - это удар по репутации форума

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Tom    1 969
10 минут назад, markimax сказал:

это удар по репутации форума

?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
markimax    1 431
3 минуты назад, Tom сказал:

?


Мало представляю вразумительное обоснование, но ответа нет, не доказано пока
Насчет "?", вообще говорят

Скрытый текст

змею на груди пригрел

:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Tom    1 969

Разве форум в ответе за личные взаимоотношения двух субъектов(пользователей) ? Мы же не в 1937 г , когда на плаху ложили головы и члены семьи и соседи по лестничной площадке и директора заводов,на которых работали враги народа.

Выясним все нюансы,будем считать цыплят,сейчас пока на весах одна гиря с весом обвинений.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
markimax    1 431
34 минуты назад, Tom сказал:

Разве форум в ответе за личные взаимоотношения двух субъектов(пользователей)

 

Юридически нет.
Но если кто прочтет из заказчиков тему ... это ляжет "тенью" на всех исполнителей с форума (читаем репутация)
Так что, админы,  быстрее разбирайтесь

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kentkent17    35
1 час назад, markimax сказал:

В любом случае выглядит не красиво.
Насчет оплат и т п надо договариваться до "переправы", а не "страховаться" шеллами. Это недопустимо в любом случае!
Кто хотел бы из пользователей чтобы им шелл заливали без их ведома ...
Если этот факт подтвердится (пока не слышали ВРАЗУМИТЕЛЬНОГО пояснения) - это удар по репутации форума

 

Конечно может мое мнение в данном вопросе не самое авторитетное, но люди редко проводят умозаключения, гораздо проще сказать: да там разводы одни, да он наворовал. 

На 100% уверен, что и на других форумах такое случается, да и не только на форумах. 

А в итоге, все хорошо, что хорошо кончается, главное человек заметил и избежал дальнейших проблем :D

 

Изменено пользователем kentkent17

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
n3bo    172

Ну все решили, @Shureg обманщик и вор, он такой взял и весь форум подставил. АГА АГА.

Может стоит его подождать? Узнать что он вообще хотел туда залить? Для чего? 

 

Учитывая, что автор не мог настроить неделю доступ, мб он решил ему помочь?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
kentkent17    35
2 минуты назад, n3bo сказал:

Ну все решили, @Shureg обманщик и вор, он такой взял и весь форум подставил. АГА АГА.

Может стоит его подождать? Узнать что он вообще хотел туда залить? Для чего? 

 

Учитывая, что автор не мог настроить неделю доступ, мб он решил ему помочь?

Надо сделать отдельный топик "скандалы, интриги, расследования)))"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
MilkeyWay    6
6 минут назад, n3bo сказал:

Ну все решили, @Shureg обманщик и вор, он такой взял и весь форум подставил. АГА АГА.

Может стоит его подождать? Узнать что он вообще хотел туда залить? Для чего? 

 

Учитывая, что автор не мог настроить неделю доступ, мб он решил ему помочь?

 

отличная помощь)) да и получается хорошо,что я не смог настроить) при чем в последний момент(до того как полезть в логи) я уже вообще открыл доступ на все 777,во время аукнулся

 

его помощь:

Цитата

дело не в правах на папки. на папках-то права нормальные, фтп криво настроен. а папки и так почти три семерки.

Что там у вас с фтп творится? Если шаред хостинг, то пишите в техподдержку. Если впс, то должно все без проблем через панель управления запускаться и работать. Тоже можно хостеру написать, уж с этим они должны помочь

 

зы че его ждать и так все понятно,по крайней мере для меня

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AWARO    545

Поэтому и я говорил то же самое
влепите нормальным ребятам прогер там где модер адимин и т.д.
пустили на форум дополнение, давно тут живет и т.д. и т.п. взгрейте ранг - чоткий дяхан ))

 

2 часа назад, vasilev86 сказал:

Давно говорил нужно почистить форум или сделать статус программистам которым можно доверять, сам сталкивался с такой проблемой.

Также модно брать деньги, начать делать и пропасть ))))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vasilev86    21

все, до возмущались,расходимся,  ЗАКРЫТО

finish.thumb.png.4ac7acf8e7ff3170c281ad450437aa5c.png

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sitecreator    479
42 минуты назад, MilkeyWay сказал:

и так все понятно,по крайней мере для меня

 

а мне пока ничего непонятно. Не исключаю, что вы погорячились.

Вы уверены, что вас именно взломать хотели?

 

Просто попадали, например, ко мне сайты после уважаемых на этом форуме людей.

 

И были там, например, adminer (или подобное) или php файл-менеджер. Через них вполне можно получить доступ к БД и всем файлам.

Но я же не делаю вывод сразу, что была попытка взлома (или оставили для дальнейших черных дел).

Немного поразмыслив понимаем, что загружать гигабайты файлов через ftp предыдущему исполнителю было долго, доступа к панели управления у него не было, где можно было бы быстро загрузить архив и разархивировать его на сервере (что в сотни раз быстрее загрузки по фтп).

 

Аналогично по скрипту для работы с БД.  Встроенный phpmyadmin мог быть недоступен, это раз, мог не справляться с большой БД (это неудивительно).  Поэтому я нередко вижу, что используются (и это разумно) сторонние скрипты для этого.

 

Могу я после этого говорить про очень авторитетных людей этого форума, что "эти крендели" пытались взломать?  Думаю, что это было бы неразумно.

 

Я вижу пока ситуацию, что не было доступа к файлам по вине заказчика, а исполнитель своими способами пытался установить файловый менеджер, который как раз и берет на себя функции работы с файлами.

 

Из-за чего паника, господа?  Какой такой зловредный шелл? WSO - это всего навсего php-скрипт, который используется как файловый менеджер (одна из основных функций).  И может использоваться как для благого дела, так и для зловредного.

 

Что нелогичного в моих рассуждениях?

 

Не понимаю ситуации, когда вместо того чтобы сначала спросить у исполнителя "что это было",  сразу делаются далекоидущие выводы.

 

П.С.  после работы с сайтом файловый менеджер желательно удалять, конечно.

Изменено пользователем sitecreator

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
markimax    1 431
2 минуты назад, sitecreator сказал:

 

...

Это все конечно хорошо, но заказчик при этом не был проинформирован что ему загружается фактически шелл, будем называть вещи своими именами
Исполнитель появится даст ответ вразумительный.
Может он предупреждал заказчика что установит "файловый менеджер" доступа к серверу
А пока никаких обвинений строить нельзя
Ждем
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mazein    176

 

Я вот чёт понять не могу.

Тема с задачей была создана 18 июня, а @Shureg последний раз на форум заходил 16 февраля. Неувязочка какая-то.

2222.thumb.jpg.5b125783120166e0ae16008609118d0c.jpg

 

4 часа назад, MilkeyWay сказал:

он написал в личку,что сможет помочь с данным вопросом,

 

Как он мог написать в личку?

 

upd: всё, я понял, это форум тупит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AWARO    545
13 минут назад, mazein сказал:

 

 

 

форум глючит
я его на днях тут ыидел

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AWARO    545
45 минут назад, vasilev86 сказал:

все, до возмущались,расходимся,  ЗАКРЫТО

finish.thumb.png.4ac7acf8e7ff3170c281ad450437aa5c.png

 

это 3шка

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shureg    127

http://topsmell.ru

6 часов назад, MilkeyWay сказал:

Привет всем!

 

Хочу предостеречь от действий этого кренделя,а именно: @Shureg

 

Да вы с ума сошли, уважаемый. Если бы я хотел залить вам шелл тайно, то уж, поверьте, не под его общеизвестным именем. Вы из-за своей криворукости неделю не можете фтп настроить, и я попытался хоть как-то решить вопрос доступа к вашим файлом. Для информации, хочу вам заметить, что изначально шеллы - это инструмент администратора, отнюдь не взломщиков.

Вам самому-то ситуация не показалась странной - я в открытую пытаюсь скопировать вам шелл, при этом тут же сообщая в привате, что шелл позволит получить доступ к вашим файлам. И я при том планирую вас взломать?

 

PS: А еще я админером пользуюсь. Прям в корневик кидаю. И что? Работаю с базой, потом удаляю. Почему я должен кого-то об этом предупреждать? Обычный рабочий инструмент. Поработал - удалил, о чем предупреждать-то?

Вот если на потом закладку оставлю, или спрячу куда - тогда другой разговор.

 

Изменено пользователем Shureg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AWARO    545

:-D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
MilkeyWay    6
2 часа назад, Shureg сказал:

http://topsmell.ru

Да вы с ума сошли, уважаемый. Если бы я хотел залить вам шелл тайно, то уж, поверьте, не под его общеизвестным именем. Вы из-за своей криворукости неделю не можете фтп настроить, и я попытался хоть как-то решить вопрос доступа к вашим файлом. Для информации, хочу вам заметить, что изначально шеллы - это инструмент администратора, отнюдь не взломщиков.

Вам самому-то ситуация не показалась странной - я в открытую пытаюсь скопировать вам шелл, при этом тут же сообщая в привате, что шелл позволит получить доступ к вашим файлам. И я при том планирую вас взломать?

 

PS: А еще я админером пользуюсь. Прям в корневик кидаю. И что? Работаю с базой, потом удаляю. Почему я должен кого-то об этом предупреждать? Обычный рабочий инструмент. Поработал - удалил, о чем предупреждать-то?

Вот если на потом закладку оставлю, или спрячу куда - тогда другой разговор.

 

я тебе даю доступ к файлам-хочешь скачивай,хочешь заливай,зачем еще стороние методы без моего ведома? зачем тебе доступ к БД(adminer)?зачем тебе шеллы? для правок файлов есть доступ,к чему твои шеллы?

 

зы думаю тут только дураку не понятно зачем шеллы заливают!

Для правок файлов достаточно было бы и доступа по фтп,то что он пытался сделать-сами думайте

 

зыы зачем тебе работать с базой? есть встроенные функции,которые работают с базой и вообще нахер тебе лезть в базу для добавления сранной кнопки?

 

у меня в логах факты,а у тебя пустые слова...

 

из-за моей криворукости-ты мне не залил шелл :D

 

подозрения еще возникли,когда ты пытался без лицензии Simple че-то настроить... заработался он...))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти


  • Похожий контент

    • От seregalest
      Добрый день, взломали сайт давно(восстановить резервуню копию не вариант), проблему заметили не сразу
      Весь сервер почистили от вредоносных сайтов, нашел еще кусок кода, так же удалили
      но где то остался кусок этой заразы, из -за которой гугл поиск выдает иероглифы и какие то духи еще какую то фигню, и из-за этого  сайт теперь не отображается при нужных запросах
      https://prnt.sc/ghc3am
      https://prnt.sc/ghc4i0
       
      и такая проблема только с гугл поиском, на яндексе все норм, может кто знает где могут находится эти файлы и куски кода, или как исправить данную проблему.
      Так же этот вирус генерит кучу новых страниц, через гугл веб мастер они удаляются после индексации, при повторной индексации вылазит снова куча левых страниц 404
       
    • От VeyronGT
      Добрый день, знатоки. Недавно обнаружил в подвале на страницах некоторых товаров текстовую рекламу. Странно, что она не на всех страницах. Как можно ее убрать?
    • От Maga499
      Всем привет!
       
      Уже второй раз столкнулся со странной ситуацией, что БД магазина просто разваливается, или просто не удается получить к ней доступ. В логах наблюдается куча одинаковых ошибок, одинаковых запросов, которые появились в одну секунду, если смотреть по времени. 
       
      Во вложении лог OpenCart. Пожалуйста, посмотрите, и подскажите, если кто сталкивался или знает что это может быть.
       
      Заранее благодарен!
       
      p.s. в логах site.ru  -  это мой сайт. 
      Лог.txt
    • От sashenka
      Добрый день, потихоньку изучаю опенкарт 1.5.6 на своей сайте. Столкнулась со странной картиной пару дней назад.В  админ. панели  раздел "Клиенты онлайн" отображаются Ip посетителей и адреса страниц сайта где они находятся. Всегда там были страницы моего сайта, а теперь мелькают урлы сторонних не связанных с моим по тематике разнообразных сайтов.

      Обратилась к хостингу на предмет попыток взлома и наличия вредоносного на сайте. Хостинг сказал все чисто. 

      Что это такое как с этим бороться? Буду рада любым ответам и помощи. Спасибо.

    • От hplus
      Приветствую. Жаль, что название темы нельзя сменить я бы назвал ее - Ревизор) 
       
      Сегодня, ко мне обратился бывший клиент с просьбой о помощи. Дело обстояло в том, что в .htaccess поставили редирект на какой-то публичный агрегатор рекламы (не арбузоустойчивый). Т.е. сначала переадресовывается на него, потом на какое-нибудь онлайн-казино. Переадресация идет только на планшетах/телефонах, тем самым забирая значительную часть аудитории сайта. Через 2-3 дня удаления кода он восстанавливается. Промежуток в 2-3 дня как-бы говорит о том, что файл переименовывается вручную, либо скрипт запускается вручную.
       
      После скачивания дампов сайта стал возможен анализ кода и access логов за неделю (что в последствии скажется). Анализ логов показал адреса запросов к "лишним" скриптам ("domain1.ru/docs/system/library/engine/1.php, domain2.ru/docs/system/library/stile.php"). При переходе к скрипту присутствует просьба ввести пароль, а значит это не просто скрипт, а шелл. 
       
      После недолгой расшифровки предо мной предстал интерфейс. 

      Шелл вполне распространенный, эргономичный и очень даже функциональный при его-то размере. Если понравился, то можете скачать называется WSO WEB Shell. Кстати после расшифровки md5 паролем оказался root
       
      После дополнительного анализа логов за неделю на всех доменах узнал, что на шелл заходят только через веб-прокси, которые расположены только у крупных хостинг-провайдеров (таймвеб, 1gb, клодо и т.д.). Это отработанная и вполне рабочая схема. Использование российских хостинг-провайдеров как бы говорит о том, что наш взломщик с территории бывшего СНГ, что есть хорошо.
       
      Если обратиться к хостинг-провайдерам с логами - ничего не даст. Ну, закроют его хостинг - зарегистрирует новый. При обилии сканов паспортов в публичном доступе можно не париться и зарегистрироваться прямо там же) В логах не видно через какую дыру он залил шеллы на сайт моего клиента, видимо прошла неделя с момента загрузки и в логах ничего нет. (Большинство хостинг-провайдеров хранят логи всего неделю) Предполагаемую дыру в не обновленном зарубежном модуле я закрыл, больше дыр не обнаружил. 
       
      Зачем я все это писал, я хочу найти этого парня. Ну, или хотя бы более-менее точно составить его психологический портрет. Хочу посредством его же шелла получить максимум информации о нем.
       
      --------------------------------------
       
      Этот параграф начну с того, что использовать php для получения информации не имеет смысла т.к. наш ревизор использует прокси. А вот javascript, который выполняется в его браузере очень даже можно. Слышал, что с помощью JS можно узнать IP адрес во внутренней сети (в NAT), только не помню где я об этом слышал.
       
      Я уже добавил авторизацию только со второго/третьего (пока не решил) раза, чтобы он ввел еще какой-нибудь пароль (хотя подумываю убрать). У него стоит хромиум или мозилла, винда 64x (из логов). 
       
      Еще слышал про то, что с помощью js можно определить visited ссылка или нет. А значит можно написать страницу со списком сайтов с ссылками и прогнать его этим самым скриптом. Так можно будет узнать какие сайты посещал пользователь. Адреса сайтов нужно будет очень хорошо подобрать учитывая задачу и узкий круг интересов нашего ревизора.
       
      Что еще посоветуете? 
  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу