разбор первлового бинарника

И всё прочее, что касается HTML
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Гость
проходил мимо

Re: разбор первлового бинарника

Непрочитанное сообщение Гость » 2010-06-21 23:39:51

везет вам((
у вас даже вирусы запускаються :'(

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: разбор первлового бинарника

Непрочитанное сообщение hizel » 2010-06-21 23:49:48

просто с кармой всё заебись
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: разбор первлового бинарника

Непрочитанное сообщение ProFTP » 2010-06-22 7:53:55

вы поакуратнее не заускайте что попало
Alex Keda писал(а):есть пара клиентов.
у первого сайт на DLE, у второго вордпресс
оба периодически вылезают в топ с процессами perl.
занимаются таким:
я не знаю как посмотреть там исходники...

тебе нужно узнать именно что в исходниках? ты же показал что сетевая активность - отправка на 25 порт?

===

попорядку:

1) там он обфуцированый, тут говрили что через xor, к xor можно добавить еще строку (как соль) и получится что обрано увидеть исходники не получится

т.е. получиться что-то на подобе md5crypt (md5 хэш + соль)
а как тут сделано я не знаю...

2) елси ты видешь что спам отправялется, что ты хочешь увидеть в исходниках?

3) может это какая-то программа (платный скрипт), которую купил клиент твоего хостинга и поставил там? (я например не знаю)

4) есть ли жалобы что с твоего сервера спам отпраляют? если нету то какая разница...?

5) напиши клиенту что он спам отправляет...

6) закрой на исход на инициализацию все кроме 80 порта, а чтобы можно было бы 25 только от твоего smtp (ну 22 оставить и т.д.)

7) можешь закрыть на дешевых тарифных планах 80 порт и другие порты на инициализацию из сервера...
(т.е. чтобы почту брали, отправляли и конектились к 80 и все!)

это проблема того кто дырявые сайты поставил
...пускай он и исправляет... :)
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35465
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: разбор первлового бинарника

Непрочитанное сообщение Alex Keda » 2010-06-22 8:01:51

2 hizel
что разрешить-то, я так и не понял?
2 ProFTP
это всё понятно... но хостинг шаред - закрывать исходящие - не вариант.
думаю над лимитом в пяток соединения по пользователям - благо ipfw умеет по uid работать
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35465
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: разбор первлового бинарника

Непрочитанное сообщение Alex Keda » 2010-06-22 8:04:28

а вообще - всем спасибо.
профессиональный уровень форума прилично вырос....
не ожидал что вот быстро распилите его. да и вообще не ожидал =)
Убей их всех! Бог потом рассортирует...

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: разбор первлового бинарника

Непрочитанное сообщение ProFTP » 2010-06-22 8:08:51

а что за сайты нормальные? может он взял тариф чтобы специально отправлять спам...?

...а на спам тебе кто-то жаловался уже?
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35465
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: разбор первлового бинарника

Непрочитанное сообщение Alex Keda » 2010-06-22 8:09:55

нормальные сайты. я потом у не забанил сразу же.
========
судя по логам ftp - у них пассы спёрли и выкладывают, запускают, и тут же удаляют
всё просто...
Убей их всех! Бог потом рассортирует...

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: разбор первлового бинарника

Непрочитанное сообщение ProFTP » 2010-06-22 8:10:48

:-D

такое часто есть...
но бывает и через дырку в движке
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: разбор первлового бинарника

Непрочитанное сообщение hizel » 2010-06-22 8:13:22

файлы у меня не аттачаца!1
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: разбор первлового бинарника

Непрочитанное сообщение ProFTP » 2010-06-22 8:16:30

Alex Keda писал(а):нормальные сайты. я потом у не забанил сразу же.
========
судя по логам ftp - у них пассы спёрли и выкладывают, запускают, и тут же удаляют
всё просто...

можешь сделать админку, если клиент хочет зайти к себе на фтп, то чтобы он зашел в админку к себе, ввел свой айпи в белый список... и чтобы разрешило коннект...!

...вирусы часто крадут пароли...
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

risk94
лейтенант
Сообщения: 831
Зарегистрирован: 2007-06-01 19:27:51

Re: разбор первлового бинарника

Непрочитанное сообщение risk94 » 2010-06-22 8:50:21

как найти эти скрипты? у меня нету перловки в дире для сайтов :oops:

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35465
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: разбор первлового бинарника

Непрочитанное сообщение Alex Keda » 2010-06-22 8:53:32

risk94 писал(а):как найти эти скрипты? у меня нету перловки в дире для сайтов :oops:
это твой аккаунт чтоли?
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35465
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: разбор первлового бинарника

Непрочитанное сообщение Alex Keda » 2010-06-22 10:45:37

hizel писал(а):файлы у меня не аттачаца!1
а конкретней.
лучше со скрином ошибки в отдельном форуме.
========
и, помоему, у тебя были права администратора же.
если ты *.pl пытаешься прилепить - то запрет сознательный - чтоб не выполнили если путь узнают. у меня всё запрещено что выполняться может
Убей их всех! Бог потом рассортирует...

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: разбор первлового бинарника

Непрочитанное сообщение hizel » 2010-06-22 11:11:21

а, я видимо не распарсил:
Расширение запрещено администратором.
я без расширения сувал

наветы врагов! не был никогда я администратором!1
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35465
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: разбор первлового бинарника

Непрочитанное сообщение Alex Keda » 2010-06-22 12:09:59

hizel писал(а):наветы врагов! не был никогда я администратором!1
уже есть =)
Убей их всех! Бог потом рассортирует...

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: разбор первлового бинарника

Непрочитанное сообщение ProFTP » 2010-06-22 12:11:56

Alex Keda писал(а): если ты *.pl пытаешься прилепить - то запрет сознательный - чтоб не выполнили если путь узнают. у меня всё запрещено что выполняться может
так можно же написать:

Код: Выделить всё

perl ./tttt
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35465
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: разбор первлового бинарника

Непрочитанное сообщение Alex Keda » 2010-06-22 12:18:33

ну-ка, вызови мне эту команду из браузера? =)
Убей их всех! Бог потом рассортирует...

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: разбор первлового бинарника

Непрочитанное сообщение ProFTP » 2010-06-22 12:24:59

Код: Выделить всё

<?php
exec("perl ./ttt");
?>
mod_rewrite


?

:smile:
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: разбор первлового бинарника

Непрочитанное сообщение hizel » 2010-06-22 12:28:44

опять вещества принимаем? :(
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
thefree
лейтенант
Сообщения: 980
Зарегистрирован: 2008-12-29 9:23:19
Откуда: Весёлая Страна

Re: разбор первлового бинарника

Непрочитанное сообщение thefree » 2010-06-22 12:53:15

hizel писал(а):ок, http://pastebin.com/xJiGjqp0 искомое

правда я не понимаю зачем такие гимморои :)

Лис разреши аттачи та
распотроши тогда и zg то же ведь интересно ...
Вложения
malware.pl.txt
(30.09 КБ) 26 скачиваний
Не судите меня строго, Я не волшебник, а только учусь!
http://planetbsd.ru - RSS-агрегатор *BSD по Рунету

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35465
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: разбор первлового бинарника

Непрочитанное сообщение Alex Keda » 2010-06-22 13:08:13

судя по размеру - это тоже самое
Убей их всех! Бог потом рассортирует...

Аватара пользователя
thefree
лейтенант
Сообщения: 980
Зарегистрирован: 2008-12-29 9:23:19
Откуда: Весёлая Страна

Re: разбор первлового бинарника

Непрочитанное сообщение thefree » 2010-06-22 13:18:53

да, то же самое.
нате вдруг кому то понадобится

правим бинарник место /usr/bin/perl ставим /tmp/stdin111

в stdin111 указываем куда сохранять.
Вложения
stdin111.pl.txt
(210 байт) 25 скачиваний
Не судите меня строго, Я не волшебник, а только учусь!
http://planetbsd.ru - RSS-агрегатор *BSD по Рунету

Гость
проходил мимо

Re: разбор первлового бинарника

Непрочитанное сообщение Гость » 2010-06-22 13:20:56

а что у вас за бсд такие?
у меня бсд этот ELF не воспринимает)))))

Аватара пользователя
thefree
лейтенант
Сообщения: 980
Зарегистрирован: 2008-12-29 9:23:19
Откуда: Весёлая Страна

Re: разбор первлового бинарника

Непрочитанное сообщение thefree » 2010-06-22 13:21:48

Гость писал(а):а что у вас за бсд такие?
у меня бсд этот ELF не воспринимает)))))

Код: Выделить всё

python# uname -a
FreeBSD python 7.0-RELEASE-p11 FreeBSD 7.0-RELEASE-p11 #0: Sun Mar 22 07:08:52 UTC 2009     root@i386-builder.daemonology.net:/usr/obj/usr/src/sys/GENERIC  i386
Не судите меня строго, Я не волшебник, а только учусь!
http://planetbsd.ru - RSS-агрегатор *BSD по Рунету

Гость
проходил мимо

Re: разбор первлового бинарника

Непрочитанное сообщение Гость » 2010-06-22 13:25:40

))) видимо на карренте такие ELFфы не работоспособны)))