Купить онлайн закладку Аренда спам бота ValidSpam ск кристаллы, амфетамин, героин, гашиш, бошки, лсд25, кокаин
Купить онлайн закладку Аренда спам бота ValidSpam ск кристаллы, амфетамин, героин, гашиш, бошки, лсд25, кокаинРады представить вашему вниманию магазин, который уже удивил своим качеством!
И продолжаем радовать всех!
Мы - это надежное качество клада, это товар высшей пробы, это дружелюбный оператор!
Такого как у нас не найдете нигде!
Наш оператор всегда на связи, заходите к нам и убедитесь в этом сами!
Наши контакты:
ВНИМАНИЕ!!! В Телеграмм переходить только по ссылке, в поиске много фейков!
Купить онлайн закладку Аренда спам бота ValidSpam ск кристаллы, амфетамин, героин, гашиш, бошки, лсд25, кокаин
Хабр Geektimes Тостер Мой круг Фрилансим. Публикации Пользователи Хабы Компании Песочница. Спам-бот Stealrat Информационная безопасность Не слышали еще о спам-боте Stealrat? Возможно во время чтения данного поста ваш любимый сайт рассылает тысячи спам собщений через ваш же почтовый сервер. По поводу спам-бота Stealrat на Хабре не было еще упоминаний, что очень странно. Один из наших серверов был заражен. На сервере в основном размещались сайты на Wordpress. Проблему локализировали, все вычистили и прикрыли. Все бы хорошо, но есть одно но… Спам-бот Stealrat построен по принципу ботнета. Если вкратце то это капец товарищи, такие масштабы спам-бота. Тысячи зараженных сайтов, об этом далее. Технические характеристики Вредоносный скрипт написан на PHP. Код сжат и пропущен через обфускатор кода. Все данные принимает массивом POST методом в base64 кодировке. Бот формирует email сообщения с рандомным именем отправителя на основании домена сайта и пытается отправить письмо через PHP функцию mail. Если такая функция недоступна, бот пытается подключиться через сокет к почтовому серверу и сделать отправку через него, в обход функции mail. В основном бот делает рассылку спам сообщений с ссылками на порно-сайты через проксирование html страничек взломанных сайтов. Помимо самого управляющего скрипта, так же было обнаружено множество бекдоров и webshell-лов в разных папках CMS Wordpress. Скрипты именованы случайным образом, например: Обнаружение, признаки, первые меры Первым что бросилось в глаза, так это задержки между отправкой и приемом почтовых писем. В очереди почтового сервера стояли сотни тысяч писем на отправку. Спасибо Munin за его графики, посмотрели и ужаснулись. Удалили все письма из очереди. Через apache server status обнаружили странные POST запросы на php скрипт одного из виртуальных хостов. Как вы уже догадались, на нем стоял Wordpress. Прикрыли вредоносный скрипт путем переименования файла, сделали бекап зараженного виртуального хоста. Восстановили файлы сайта из бекапа и закрыли посредством htaccess файла доступ ко всем папкам, оставили доступ только для нашего IP. В общем наладили нормальную работу сайта, остальное закрыли все, вплоть до панели управления и всех дополнительных папок с классами и дополнительными библиотеками. Анализ кода, поиск деталей по вредоносному скрипту Далее начали анализировать сам вредоносный скрипт, который принимал команды и отправлял сообщения. Выстроили код, разложили все по полочкам. После обфускации код не читабельный а имена переменных и функций названы рандомно. Смотрим код по смыслу выполнения и обычной заменой текста в текстовом редакторе приводим все в нормальный и читабельный вид. Все стало понятно сразу же после форматирования кода, а после приведения имен переменных и функций уточнились детали формирования тела письма, имя отправителя и почтовых заголовков. Далее начался квест с поисковой системой Google и оригинальным кодом спам-бота. Пытались найти константы, похожие и повторяющиеся участки кода. Поиск не давал значимых результатов, а если и находило что то то примерно такого содержания: Твой сайт взломали, ищи webshell… Конец Чудным образом удалось найти документ компании trendmicro, еще и в PDF формате, Ссылка в котором было все подробно и детально описано. Посмотрели — такие же признаки, все точно такое же. Ну хоть название вредоносного скрипта нашли: Опять гугление по слову Stealrat и опять ничего толкового. Вместо этого, мы модифицировали разобранный скрипт таким образом, что бы он делал расшифровку данных, логирование с IP адресом в базу данных и работал как должен якобы работать как не вчем не бывало. Логирование работает уже неделю и по текущий день. Написали веб интерфейс для всего этого, прикрутили GeoIP и шок… На текущий момент в логах около POST обращений, уникальных IP адресов, зараженных сайтов хостингов, виртуальных хостов с 59 стран. Больше всего из России. Управляйте расходами на IT-инфраструктуру. Оплачивайте только нужные объёмы вычислительных ресурсов. И как это сделать? Наши с вами персональные данные по-прежнему нагло продаются 35,6k Заказы Разработать спам бот для мессенджера Wechat 5 откликов 37 просмотров. Настроить отправку почты с сервера, чтобы письма не попадали в СПАМ 24 отклика 91 просмотр. Разработчик одностраничных сайтов 27 откликов просмотров. Разработчик Solidity Ethereum 7 откликов 63 просмотра. Наполнить контентом сайт на Wordpress 15 откликов 73 просмотра. Все заказы Разместить заказ. Wilix 5 мая в Как только увидел список, сразу бросился искать свои сервера. Но у меня регулярно заводиться подобная гадость. На серверах несколько старых Joomla 1. Уже позакрывал все что можно, пообновлял некоторые части движков. Все равно лезут откуда то, и каждый раз, заражаются то js то php файлы. Вычищаю парсерами, но каждый раз новые скрипты появляются. Иногда повторяются, но закономерности не нашел. VladimirTT 6 мая в Все что могу посоветовать: Для статики через файл htaccess можно и вовсе выключить обработку php скриптов картинки, стили, html, кеш, файлы сессий и т. Главное что бы и в базе было чисто и не записывалось в какой то исполняемый файл. Так же можно по базе данных поискать по слову eval. Я когда разбирался, то наткнулся на описание истории одного товарища. Вкратце — чистый экземпляр помогал до следующей атаки только. Под инфекцию попадали на тот момент все версии до 2. В Joomla как правило всякая дрянь лезет через кривые расширения независимо от того, включены они или нет. Тут только садиться и все проверять. Правильно ли я понимаю, что в сети очень много сильно модифицированных CMS которые обновить штатными средствами нельзя, и их наличие приводит к волне заражений. Просто если это так, то скорее всего сайты бы ломали в десятки раз чаще. Или не все так просто? UksusoFF 6 мая в Три месяца уже с 1. Все всегда по разному. Бывает вылазит там где этого не ожидаешь. Можно использовать только свой 1 сервер для одного сайта, без соседей не виртуальный хост, можно выделенный, или на виртуальной машине и только свой самописный код или свою CMS, где полный код своей CMS можно вместить в голове и прокрутить несколько раз что бы не оставить уязвимых мест. Как-то у вас всё грустно… Брут легко пресекается. Если нужен конкретный сервер — могут и взломать, конечно. Штука, только, в том что таким вот злодеям конкретный сервер ни к чему — достаточно взять те что плохо лежат. Актуальная задача — не убежать от медведя, а быть лишь чуть быстрее последнего убегающего. Есть сайт, поставленный по приказу. Естественно, писан криво и на старую версию. На новой всё уплывает. Вот он и был дырой. Стал искать и исследовать. Там всё 1 к 1, как в статье. Я озадачился, код развернул. Потом ещё раз развернул. Да, там, насколько помню было реализовано. Кусочек кода был дважды подвергнут запутыванию. После чего начала выстраиваться цепочка. Функции тянулись из разных файлов, коих было вокруг много, скажем так. И вот после, уже очередной, декодировки я надыбал презанятное содержание в одном из файлов. Дурацкое слово admin, которое спалило функционал. Я не силён в веб-коде в целом и php в частности. Своё не напишу, но готовый код разберу нормально. Развернув эту мешанину увидел нечто, ну дико напоминающее по длине хэш. Упоминания, что это хэш естественно не было. Просмотрел открытый код ещё раз. Увидел оканчивающееся нечто в стиле '? Нашёл объявление этой переменной как integer. Дальше разбираться не стал, решил влоб попробовать, вдруг получится. Вбил в браузере адрес странички с параметром, перебрал числа от 0. На цифре 8 вдруг и получилось. В такой комбинации открылась белая страничка с двумя полями сверху по центру. Тут стало вообще азартно интересно. Взял вбил палевный admin и пароль Снова оказался тут же на белой страничке. Полез до похожего на хэш значения. Пересчитал все символы, прикинул. Вернулся на страничку, ввёл многострадально админа и новый пароль. А что я дальше увидел… А дальше я узрел полноценный файл-менеджер, писанный на php. Привет far, nc, vc, и т. Списки, таблицы с перечислением свойств и прав; 4 он имел команды на копирование, перемещение, удаление, изменение прав; 5 он имел возможность просматривать и редактировать текст файлов; 6 он имел админские права на ОС. Вот последнее меня повергло в шок. На сервере-то пользователя залогиненного не висит. Да и нигде, естественно, не сохранено. Как — не знаю. С админскими правами беда наблюдалась независимо от веб-сервера и IIS, и Apache. Дальше я совершил то, за что ругал себя некоторое время. Сделал бэкап с чистого сервера. И удалил бэкапы, в которых присутствовала зараза. На следующий день понял, что себе-то экземплярчика для изучения и не оставил: Немного погуглил, не шибко нашёл чего. На том и бросил. Правда потом переписал сам кусочек в коде модуля для джумлы. Кстати говоря, из-за придурковатости модуля и получилась такая вот беда. Модуль требовал разрешения на запись в основной каталог сайта, куда он писал временные файлы. И даже не просто писал, а ещё и модифицировал уже существующие в рамках сессии. Имена, естественно условно случайно. Почему было не организовать работу во временной папке — непонятно. Подправил это, подправил ещё по мелочи. Кажется, учителями некоторых наших писателей были индусы. После этого только настроил мониторинг на появление. Но чудесные местные некроманты покоя платформе не дают. Но, честно признаться, качество написания данной заразы меня удивило. Красиво сработано, в общем-то. Можно сказать, что качеством я дажы был пусть не восхищён, но где-то рядом. Даже не смотря на зловредность всего этого. Подобные темы возникают регулярно. Может кому пригодится решение по оперативному обнаружению взлома — watcher4site — система бесплатная, open source исходники можно скачать с github , ставится в любую директорию на сайте, нужен только PHP и MySQL. В текущей обстановке дыры для проникновения будут всегда, но что бы помогло в данном случае — запрет eval? Которую нельзя запретить, но можно. Это печально, что в обычном PHP так не сделать. Хотя, если посмотреть, вроде бы в php. Нет, всё не так прямолинейно, всё-таки нужна установка. И под Windows не работает в принципе, это печально. При этом Создатели прекрасно осознают опасность эвала, о чем… предупреждают. Cover Your Ass Engineering в действии Funcraft 6 мая в Печально, в списке jino. Отписался им, ответили, что следят за спамом. Хм, дай бог, чтоб было именно так. ImUgh 6 мая в И не предусмотрено никаких ограничений на отправку, да? Вам не все равно какого рода гадость залили на север? Просите, но вместо того, чтобы разбираться в сути вредоноса, лучше залатайте дыры в CMS. И использовать их будут при необходимости для всего-чего-ни-попадя. Спама, DDOS и прочего-прочего-прочего. Латайте дыры и настраивайте нормально серваки, господа. Лечить надо причину, а не следствия. VladimirTT 7 мая в Извините, совсем не понимаю таких людей как вы, исходя из вашего написанного комментария. Ваш настрой не понятен. Вам разве не интересно было узнать того, что раньше вы не знали? Времени и так у всех программистов мало. Возможно однажды кому то это поможет решить проблему спама на своем сервере. Никто не говорил что это мега крутой вирусный скрипт, можно и лучше написать. Откуда вы знаете какое назначение сервера и для чего он используется? Я так же могу поднять сервер на статике и закрыть наглуго все порты кроме 80 и сказать — пожалуйста ломайте. Если проект один, еще как то можно постоянно за ним следить, но если их очень много — это почти не реально. Суть написания данного поста заключалась в донесении до владельцев серверов, что у них вот такая штука завелась. Ну не выложить же просто список IP адресов и сказать что вот — зараженные, правда? Хабр читает очень много людей. Думаю хоть кто то да и узнает свой IP из списка и исправит ситуацию. Вот я например не знаю что делать с таким списком зараженных IP, а вы? Просто полечить себя, забыть про остальных и ничего не делать? Мне так же интересно как заразили сайт на чистом Wordpress без экзотических плагинов и лично написанной темой, своими руками. И опыта много в программировании, а как то и заразили. В ближайшее свободное время все выясним и напишем об этом, если это проблема самого движка а не ошибка программиста. Думаю, что стоит сообщать а не молчать. Что бы грамотно все настроить и поддерживать — нужно очень много свободного времи. Что то забыли прикрыть, что то пропустили в конфиге и получаете… Согласен, если 1 раз настроить сервер для одного проекта и не трогать сервер годами то все будет защищено и боятся нужно будет только DDoS И то, такое условие не всегда работает, например кто то нашел баг в коде OS или коде какого то демона, взломали сервер, если уязвимость позволяет. Просто так взломали, что бы сделать ваш сервер частью спам ботнета. ImUgh 7 мая в Если Вам интересен reverse engineering — то это одно. Тогда, безусловно, можно заниматься разбором зловредов. Если же речь о спасении себя и утопающих — ищите и латайте дыры. В первую очередь у себя. От списка IP большого прока нет, на мой взгляд. Потому что в этот список надо сразу включить все сервера, где стоят дырявые CMS. Информация есть в whois. Это гораздо действеннее, чем писать список на Хабре я, простите, вообще считаю, что наличие списка здесь вряд ли как-то поможет. При этом владельцам сайтов на это наплевать. Им проще скакать с одного хостинга на другой при получении абузы, чем обновить движок может налеплено куча плагинов, что усложняет процесс, а может неохота платить программеру. Вот вам и ботнет. Про атаку на админки прошлым летом даже вспоминать не будем: Под неправильно настроенным сервером я подразумевал то, что Ваш сервер, как минимум, может неограниченно рассылать почтовый спам о чем Вы и написали. Против такого, как минимум, надо устанавливать ограничения типа ratelimit. ImUgh 9 мая в Было бы любопытно узнать, как правильно настроить скрипт, у которого есть уязвимость, позволяющая загружать на акк произвольные скрипты? А зачем устанавливать заведомо дырявый скрипт? Настройка СMS включает в себя в том числе выбор и установку дополнительных модулей и плагинов. Тогда в чем принципиальная разница между моим и Вашим утверждением? Я не знаю, что такое timthumb и зачем его нужно устанавливать, если в нем есть хорошо известная уязвимость. Первый рандомно выбранный сайт из списка: Шелл уже там www. Wilix 7 мая в Может пора писать OpenSource антивирус, наполняя базы по мере нахождения новых зараз? Простой, без резидентных модулей и тд. На том же php спокойно. Просто сканить файлы и вырезать вредный код, точно так же, как вредный вирус, сканит и вставляет свой код: Но я уже написал такого рода скрипт, правда без БД с уязвимостями. Собственно, им и чищу сервер после каждого заражения. Или поясните, по какой причине Вам периодически приходится чисткой заниматься? Чистить приходиться часто, после каждой чистки ищу новые дыры. Пользовался joomscan, он помог закрыть основные дыры в компонентах CMSок. Вручную ковырял и удалял шеллы. Все равно лезет гадость. Уже закрадываются мысли, что заражение идет с соседских серверов, но у меня VPS и я думаю, что если хост машина заражена, до моей виртуалки вирусу все же будет проблемно достучаться. К сожалению, никогда не поднимал виртуалок, кроме VMware, так что не знаю как они хранятся на хосте и как к ним получить доступ из скриптов. Сейчас Вчера Неделя Муравейник или крепость? Строю дом по цене квартиры. Что должна сделать читалка, чтобы вы читали больше? В Госдуму внесен законопроект об автономной работе рунета 51,2k Услуги Реклама Тарифы Контент Семинары.
Купить онлайн закладку Аренда спам бота ValidSpam ск кристаллы, амфетамин, героин, гашиш, бошки, лсд25, кокаин
Купить закладки амфетамин в Валдае
Москва Хорошёво-Мнёвники купить закладку: кокаин, героин, гашиш, спайс, экстази, мефедрон, амфетамин, мдма, шишки и бошки
Купить онлайн закладку Аренда спам бота ValidSpam ск кристаллы, амфетамин, героин, гашиш, бошки, лсд25, кокаин
Правильная подготовка земли для посадки растений марихуаны
Купить онлайн закладку Аренда спам бота ValidSpam ск кристаллы, амфетамин, героин, гашиш, бошки, лсд25, кокаин
Купить закладки трамадол в Уфе
Купить онлайн закладку Аренда спам бота ValidSpam ск кристаллы, амфетамин, героин, гашиш, бошки, лсд25, кокаин
Облако тегов:
Купить | закладки | телеграм | скорость | соль | кристаллы | a29 | a-pvp | MDPV| 3md | мука мефедрон | миф | мяу-мяу | 4mmc | амфетамин | фен | экстази | XTC | MDMA | pills | героин | хмурый | метадон | мёд | гашиш | шишки | бошки | гидропоника | опий | ханка | спайс | микс | россыпь | бошки, haze, гарик, гаш | реагент | MDA | лирика | кокаин (VHQ, HQ, MQ, первый, орех), | марки | легал | героин и метадон (хмурый, гера, гречка, мёд, мясо) | амфетамин (фен, амф, порох, кеды) | 24/7 | автопродажи | бот | сайт | форум | онлайн | проверенные | наркотики | грибы | план | КОКАИН | HQ | MQ |купить | мефедрон (меф, мяу-мяу) | фен, амфетамин | ск, скорость кристаллы | гашиш, шишки, бошки | лсд | мдма, экстази | vhq, mq | москва кокаин | героин | метадон | alpha-pvp | рибы (психоделики), экстази (MDMA, ext, круглые, диски, таблы) | хмурый | мёд | эйфория