del

n1ppyyyy · 11.12.2019

Возможно конечно, что еще и бд наебнулась и все проблемы из-за нее.

doggi · 11.12.2019

было у человека одного недавно так, толи ав это все, толи чет такое было...хрень в общем, но не эксплоит это

n1ppyyyy · 11.12.2019

doggi сказал(а):

было у человека одного недавно так, толи ав это все, толи чет такое было...хрень в общем, но не эксплоит это

Спасибо, утешил

Только этот ав как-то поспамил мне всю страницу настроек (Там где показывает статистику по браузерам точно такая же картина)

doggi · 11.12.2019

NaMneCash сказал(а):

Спасибо, утешил
Только этот ав как-то поспамил мне всю страницу настроек (Там где показывает статистику по браузерам точно такая же картина)

ну как у него это выглядело не могу точно сказать...помню что говорил 300 с чем то логов у него этой хрени было, типо жопа крч, а че он дальше творил я не знаю...это всё в разговоре не о чем было, поэтому я не вдавался)

RedBear · 11.12.2019

NaMneCash сказал(а):

Всех приветствую, буквально 30 минут назад с панелкой стало просходить нечто.
За 1 секунду появилось 500 битых логов, которые засрали всю панель, при попытке скачать их выдавало ошибку поврежденного архива.
Вот как это все выглядит:
Посмотреть вложение 7000
Несколько раз перезагружал сервер, сменил пароль от впски, ничего не помогло.
Боюсь даже по ssh подключаться и чекать логи, ибо есть подозрение, что ебнули сервак и подгрузили туда эксплоит,или еще что нибудь.
Какие ваши предположения, сталкивался ли кто нибудь с этим? .
ps
сервер нигде не светил, все лишние порты закрыты.

тебе просто зафлудили админку, вот и всё. почисть базу, удали файл guest.php если он есть, и в принципе всё.
если одна из последних версий - 3.3.1 например, то там даже от рута если база, то ничего толком сделать нельзя.

n1ppyyyy · 11.12.2019

RedBear сказал(а):

тебе просто зафлудили админку, вот и всё. почисть базу, удали файл guest.php если он есть, и в принципе всё.
если одна из последних версий - 3.3.1 например, то там даже от рута если база, то ничего толком сделать нельзя.

Спасибо за ответы.
Вы засейвили мои 100$ на сегодняшний день. (уже собирался переходить на оски)

a5smg · 12.12.2019

да это боты ав

ColorS · 14.12.2019

лул у меня тоже были именно боты аверов, мою админку по логам пытались ломануть, и засрать, и прожила она 3 месяца на фри хосте

wefewfeadf · 24.12.2019

Можешь почитать подробнее, таким способом логи скачивают с панели через guest.php https://www.trustwave.com/en-us/res...sing-with-azorult-part-2-command-and-control/

n1ppyyyy · 24.12.2019

wefewfeadf сказал(а):

Можешь почитать подробнее, таким способом логи скачивают с панели через guest.php https://www.trustwave.com/en-us/res...sing-with-azorult-part-2-command-and-control/

да там просто лог баганый отстучал.
Я его удалил и все чики бомбони

Haunt · 24.12.2019

О, опять пост о криворуких авторах админки. А добавить при разработке панельки проверки по юзерагенту не судьба было. Чтобы даже форму авторизации не показывало если в ua нет нужной строки, таким образом избежав и ботов и левых людей. И автоматических сканов типо шодана в поисках админки по сигнатуре формы авторизации. СЛОЖНАА

Mirder · 24.12.2019

Haunt сказал(а):

О, опять пост о криворуких авторах админки. А добавить при разработке панельки проверки по юзерагенту не судьба было. Чтобы даже форму авторизации не показывало если в ua нет нужной строки, таким образом избежав и ботов и левых людей. И автоматических сканов типо шодана в поисках админки по сигнатуре формы авторизации. СЛОЖНАА

Тогда половина пользователей вообще никогда в админку не попадёт)) Нужно что-нибудь полегче, типа гет запрос к урлу приписал и зашёл. При чём у всех одинаковый, чтобы не путаться. Только всё равно многие будут спрашивать, а чё оно не работает?

Какая там в азоре сигнатура формы авторизации? Там примитивно всё. Как это всё приосходит. Аверы берут ваш билд и снифают куда он стучит, находят ваш гейт например: http://google.com/as5fw8sfw/index.php
Потом просто подставляют к гейту путь к входу в админку: http://google.com/as5fw8sfw/panel/admin.php
И вот, если файл admin.php существует проверяют его сигнатуру и заносят в трекеры. Просто нужно инструкцию читать внимательно и переименовывать всё что нужно.

Haunt · 24.12.2019

Mirder сказал(а):

Тогда половина пользователей вообще никогда в админку не попадёт))

Ну так это их проблемы. Для подобных админок, где по сути 1 участник или команда работает - показываешь норм страницу, остальным 404. Пользователю говоришь, что не увидишь даже формы авторизации пока себе в браузер нужный юа не поставишь. Идеальный security through obscurity. То есть не выдавать даже присутствие панели, отдавая 404 если юа не тот.
Ну хотя что говорить, если у азора была уязвимость в панели, когда по пути /files можно было выкачать все логи. И даже сейчас можно с доп манипуляциями и с помощью sqli, как сделать - ссылку в этом топе уже оставили

Mirder сказал(а):

Аверы берут ваш билд и снифают куда он стучит, находят ваш гейт например:

Я тебе даже больше скажу. Когда малварь становится популярна, делают сигнатуры морды малвари для умных сканеров, которые прочесывают инет 24/7. И как только найдёт - автоматически летит абуза на твой хостинг и он блеклистится. Такое было например у смока, когда не успеваешь ничего прогрузить, а хост улетает в блек чуть ли не сразу же. Хостер или абуза с третьей стороны - не суть важно.

.

mugwort · 24.12.2019

Haunt сказал(а):

О, опять пост о криворуких авторах админки. А добавить при разработке панельки проверки по юзерагенту не судьба было. Чтобы даже форму авторизации не показывало если в ua нет нужной строки, таким образом избежав и ботов и левых людей. И автоматических сканов типо шодана в поисках админки по сигнатуре формы авторизации. СЛОЖНАА

И что помешало бы запустить флудер в в гейт с нужным Ua?

Haunt · 24.12.2019

mugwort сказал(а):

И что помешало бы запустить флудер в в гейт с нужным Ua?

О том и разговор, что нужно сначала найти админку куда флудер запускать. Это бы позволило отсечь всех тех, кто мог бы заиметь адрес панели без наличия билда. Естественно имея билд, который был создан под эту самую админку никакие скрытия не спасут.

wefewfeadf · 26.12.2019

NaMneCash сказал(а):

да там просто лог баганый отстучал.
Я его удалил и все чики бомбони

Посмотри на свой скрин внимательней, конкретно в каждой строке адрес к логам. 10.1 + 10.2 + 10.3 = получается полное имя одного из логов расположенного в /files. Таким методом уже давно логи сливаю, а когда эксплоит выложили примерно в августе, так вообще массово начилось. Вот к примеру http://musicwwv.beget.tech/panel/guest.php первая попавшая панель с трекера, такая же песня, пиши грабер и скачивай логи)

netcat · 26.12.2019

ставить ботнет на хостинге это превосходно

n1ppyyyy · 26.12.2019

wefewfeadf сказал(а):

Посмотри на свой скрин внимательней, конкретно в каждой строке адрес к логам. 10.1 + 10.2 + 10.3 = получается полное имя одного из логов расположенного в /files. Таким методом уже давно логи сливаю, а когда эксплоит выложили примерно в августе, так вообще массово начилось. Вот к примеру http://musicwwv.beget.tech/panel/guest.php первая попавшая панель с трекера, такая же песня, пиши грабер и скачивай логи)

Что предложишь делать? Панельку в 20 папок засунуть?)

Sema41 · 28.12.2019

Было тоже самое просто поменял на версию с php билдером

del

n1ppyyyy

(L1) cache

n1ppyyyy

(L1) cache

doggi

(L1) cache

n1ppyyyy

(L1) cache

doggi

(L1) cache

RedBear

RAID-массив

n1ppyyyy

(L1) cache

a5smg

HDD-drive

ColorS

wefewfeadf

floppy-диск

n1ppyyyy

(L1) cache

Haunt

PWSH

Mirder

HDD-drive

Haunt

PWSH

mugwort

(L3) cache

Haunt

PWSH

wefewfeadf

floppy-диск

netcat

(L3) cache

n1ppyyyy

(L1) cache

Sema41

HDD-drive