Старый 15.05.2015, 17:14   #1
nomad
 
Аватар для nomad
 
Регистрация: 23.07.2010
Сообщений: 179
Репутация: 7
По умолчанию Работа шеллов

Имеется сервер Linux 2.6.31.5, PHP/5.3.3 Apache/2.2.0.
Шелл WSO 2.5 (оригинал или любая из модификаций) выводит окошко для ввода пароля, после введения верного пароля Not Found. Шелл от profexer работает. Disabled functions пусто. Где искать проблему?
PS WSO1 тоже Not found
__________________
Roamer, wanderer
Nomad, vagabond
Call me what you will

(c) Metallica
nomad вне форума   Ответить с цитированием
Старый 15.05.2015, 18:50   #2
Boolean
 
Регистрация: 19.10.2011
Сообщений: 111
Репутация: 34
По умолчанию

Цитата:
Сообщение от nomad Посмотреть сообщение
Имеется сервер Linux 2.6.31.5, PHP/5.3.3 Apache/2.2.0.
Шелл WSO 2.5 (оригинал или любая из модификаций) выводит окошко для ввода пароля, после введения верного пароля Not Found. Шелл от profexer работает. Disabled functions пусто. Где искать проблему?
PS WSO1 тоже Not found
Может стоит подебажить например? Повтыкать банальных
PHP код:
echo __LINE__
и посмотреть на каком этапе отваливается.
__________________
|
Boolean вне форума   Ответить с цитированием
Старый 15.05.2015, 20:32   #3
omen666
 
Регистрация: 06.09.2014
Сообщений: 64
Репутация: 9
По умолчанию

Цитата:
Сообщение от nomad Посмотреть сообщение
Имеется сервер Linux 2.6.31.5, PHP/5.3.3 Apache/2.2.0.
Шелл WSO 2.5 (оригинал или любая из модификаций) выводит окошко для ввода пароля, после введения верного пароля Not Found. Шелл от profexer работает. Disabled functions пусто. Где искать проблему?
PS WSO1 тоже Not found
Код:
if(!empty($_SERVER['HTTP_USER_AGENT'])) {
    $userAgents = array("Google", "Slurp", "MSNBot", "ia_archiver", "Yandex", "Rambler");
    if(preg_match('/' . implode('|', $userAgents) . '/i', $_SERVER['HTTP_USER_AGENT'])) {
        header('HTTP/1.0 404 Not Found');
        exit;
    }
}
__________________
Анонимный интернет без ограничений https://multi-vpn.biz
omen666 вне форума   Ответить с цитированием
Старый 15.05.2015, 20:46   #4
Beched
 
Регистрация: 06.07.2010
Сообщений: 400
Репутация: 118
По умолчанию

Гы, яндекс-браузер в бане
Beched вне форума   Ответить с цитированием
Старый 15.05.2015, 22:48   #5
nomad
 
Аватар для nomad
 
Регистрация: 23.07.2010
Сообщений: 179
Репутация: 7
По умолчанию

Не понятно, после авторизации, даже если первой строкой echo __LINE__ прописать, - просто Not found выводит.
__________________
Roamer, wanderer
Nomad, vagabond
Call me what you will

(c) Metallica

Последний раз редактировалось nomad; 16.05.2015 в 09:45..
nomad вне форума   Ответить с цитированием
Старый 16.05.2015, 11:49   #6
Boolean
 
Регистрация: 19.10.2011
Сообщений: 111
Репутация: 34
По умолчанию

Цитата:
Сообщение от nomad Посмотреть сообщение
Не понятно, после авторизации, даже если первой строкой echo __LINE__ прописать, - просто Not found выводит.
Проблема только при самом POST запросе? Если ручками добавить авторизационные cookies, то проблема остается?
__________________
|
Boolean вне форума   Ответить с цитированием
Старый 16.05.2015, 12:20   #7
nomad
 
Аватар для nomad
 
Регистрация: 23.07.2010
Сообщений: 179
Репутация: 7
По умолчанию

Цитата:
Сообщение от Boolean Посмотреть сообщение
Проблема только при самом POST запросе? Если ручками добавить авторизационные cookies, то проблема остается?
Добавлял куки ручками, проблема осталась
__________________
Roamer, wanderer
Nomad, vagabond
Call me what you will

(c) Metallica
nomad вне форума   Ответить с цитированием
Старый 16.05.2015, 15:50   #8
Pashkela
 
Аватар для Pashkela
 
Регистрация: 05.07.2010
Сообщений: 1,243
По умолчанию

1. Ну дык попробуй пароль удалить и зайти на шелл без пароля
2. Загрузи wso через другой шелл и посмотри, что происходит (например, попробуй его отредактировать в другом шелле)
Pashkela вне форума   Ответить с цитированием
Старый 16.05.2015, 17:46   #9
nomad
 
Аватар для nomad
 
Регистрация: 23.07.2010
Сообщений: 179
Репутация: 7
По умолчанию

Цитата:
Сообщение от Pashkela Посмотреть сообщение
1. Ну дык попробуй пароль удалить и зайти на шелл без пароля
2. Загрузи wso через другой шелл и посмотри, что происходит (например, попробуй его отредактировать в другом шелле)
1. Пробовал - сразу 404 ошибка прилетает.
2. Редактировать через PAS шелл - обычно выдает 501 ошибку. Через шелл от команды itsecteam.com - тоже ошибка (уже не помню какая)

Авторизация проходит абсолютно нормально, куки пишутся, но после нее сразу "Not found".


Ответ найден в логах:
Код:
[Sat May 16 13:48:23 2015] [error] [client 111.222.1.2] ModSecurity: Access denied with code 404 (phase 4). Pattern match "(?:<title>[^<]*?(?:\\b(?:(?:c(?:ehennemden|gi-telnet)|gamma web shell)\\b|imhabirligi phpftp)|(?:r(?:emote explorer|57shell)|aventis klasvayv|zehir)\\b|\\.::(?:news remote php shell injection::\\.| rhtools\\b)|ph(?:p(?:(?: commander|-terminal)\\b|remoteview)| ..." at RESPONSE_BODY. [file "/etc/httpd/modsecurity.d/modsecurity_crs_45_trojans.conf"] [line "34"] [id "950922"] [msg "Backdoor access"] [severity "CRITICAL"] [tag "MALICIOUS_SOFTWARE/TROJAN"] [hostname "site.com"] [uri "/debug.php"] [unique_id "VVcgd38AAAEAAF4qw@UAAADq"]
__________________
Roamer, wanderer
Nomad, vagabond
Call me what you will

(c) Metallica

Последний раз редактировалось nomad; 16.05.2015 в 18:14..
nomad вне форума   Ответить с цитированием
Старый 17.05.2015, 14:31   #10
Boolean
 
Регистрация: 19.10.2011
Сообщений: 111
Репутация: 34
По умолчанию

Цитата:
Сообщение от nomad Посмотреть сообщение
1. Пробовал - сразу 404 ошибка прилетает.
2. Редактировать через PAS шелл - обычно выдает 501 ошибку. Через шелл от команды itsecteam.com - тоже ошибка (уже не помню какая)

Авторизация проходит абсолютно нормально, куки пишутся, но после нее сразу "Not found".


Ответ найден в логах:
Код:
[Sat May 16 13:48:23 2015] [error] [client 111.222.1.2] ModSecurity: Access denied with code 404 (phase 4). Pattern match "(?:<title>[^<]*?(?:\\b(?:(?:c(?:ehennemden|gi-telnet)|gamma web shell)\\b|imhabirligi phpftp)|(?:r(?:emote explorer|57shell)|aventis klasvayv|zehir)\\b|\\.::(?:news remote php shell injection::\\.| rhtools\\b)|ph(?:p(?:(?: commander|-terminal)\\b|remoteview)| ..." at RESPONSE_BODY. [file "/etc/httpd/modsecurity.d/modsecurity_crs_45_trojans.conf"] [line "34"] [id "950922"] [msg "Backdoor access"] [severity "CRITICAL"] [tag "MALICIOUS_SOFTWARE/TROJAN"] [hostname "site.com"] [uri "/debug.php"] [unique_id "VVcgd38AAAEAAF4qw@UAAADq"]

Вырежи из исходного кода шелла все, что связано с <title>, должно помочь.
__________________
|

Последний раз редактировалось Boolean; 17.05.2015 в 18:02..
Boolean вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot