Netcat4 нулим вместе

Тема в разделе "NetCat", создана пользователем najel, 7 апр 2010.

  1. najel

    najel Постоялец

    Регистр.:
    3 фев 2009
    Сообщения:
    145
    Симпатии:
    15
    Есть предложение, давайте рассмотрим netcat4 и найдем все места, где netcat стучит. Совместно легче найти все "стучалки".


    Я бы удалил следующее:
    \netcat\admin\CheckUserFunction.inc.php строка 245
    \netcat\admin\functions.inc.php строки 165-186
    \netcat\admin\patch\function.inc.php строка 174, 573

     
    FoxMALDER и NewS нравится это.
  2. bozar

    bozar Постоялец

    Регистр.:
    8 май 2006
    Сообщения:
    114
    Симпатии:
    46
    а не проче удалить целую папку /admin/patch


     
  3. najel

    najel Постоялец

    Регистр.:
    3 фев 2009
    Сообщения:
    145
    Симпатии:
    15
    Может быть и проще, но там больше подозрительных мест нету. Какие еще есть предложения? Может быть в коде есть более замысловатые стучалки выполненные eval-ом или адреса выполненные склейкой строк, символов?
    Кто, что думает?
     
  4. InoffLine

    InoffLine

    Регистр.:
    18 апр 2007
    Сообщения:
    573
    Симпатии:
    155
    Я по-моему выкладывал инструкцию для 3.2. Я ничего нового не видел.
    Если есть подозрения в чем-то более интересном - устанавливай файрвол и тесть на денвере.
    И, да, искать легче не вместе, а с помощью powergrep.
     
  5. komyak

    komyak

    Регистр.:
    4 фев 2009
    Сообщения:
    482
    Симпатии:
    183
    InoffLine, нет ли случайно PowerGREP v.4?
    И выложи пожалуйста ещё раз -Я по-моему выкладывал инструкцию
     
  6. InoffLine

    InoffLine

    Регистр.:
    18 апр 2007
    Сообщения:
    573
    Симпатии:
    155
    нет, у меня 3.5.5.
    Он отлично работает, а инструкция вот - http://www.nulled.ws/showthread.php?t=70454.
    С того момента обновился 100% код обновления системы. Добавилось автообновление.
     
    komyak нравится это.
  7. komyak

    komyak

    Регистр.:
    4 фев 2009
    Сообщения:
    482
    Симпатии:
    183
    Если КМС с офф.сайта, то в файле - netcat/connect_io.php
    Смотрим Функции:
    nc_demo_evaluation_form()
    nc_demo_expired()
     
  8. najel

    najel Постоялец

    Регистр.:
    3 фев 2009
    Сообщения:
    145
    Симпатии:
    15
    А кто подскажет есть ли какая нибудь программа, типа фаервола, позволяющая определять что такой то файл обращается в интернет, может под апач какая утилитка. Идея в том, чтобы отловить все обращения нетката в интернет. Т.к. ситуация может быть элементарно следующая:
    $str="ht"."tp://"."ne"."t"."cat".".ru/"."?alarm";
    $ff=fopen($str, "r");
    и т.д.

    В этом случае обычный поиск слова netcat.ru ничего не даст, а найти такую стучалку удастся только тогда, когда она полезе в нет.
     
  9. marimari

    marimari Писатель

    Регистр.:
    13 фев 2010
    Сообщения:
    4
    Симпатии:
    0
    Еще нужно произвести поиск по всем файлам aist.ru, т.к. туда тоже может стучать
     
  10. komyak

    komyak

    Регистр.:
    4 фев 2009
    Сообщения:
    482
    Симпатии:
    183
    Это мало что даст. Почему на нуление таких(больших) скриптов и собираются команды, чтоб распределить между союой файлы и просмотреть "каждый своё".
    Чтоб отследить какой файл- такого не встречал, лучше потратить неделю и просмотреть всё ручками.
    А поиском юзать:
    file_put_contents
    fwrite
    curl
    file_get_contents
    base64_decode

    Но этого всё равно мало. Посмотрите шелл - WSO, там реализация на preg_replace.