[PMR]

Межсайтовый скриптинг (XSS) - интересно, кто понимает, что это, и как он работет?
Я так понимаю, это когда страница сайта содержит вирус?

[Anonymous]

:) это когда небо в крапинку)

[PMR]

Тогда наш специалист хакер как объяснит такой лог:
Вчера делал REPAIR TABLE `post`, но после:

Invalid SQL:
SELECT post.*,
IF(post.visible = 2, 1, 0) AS isdeleted,
editlog.userid AS edit_userid, editlog.dateline AS edit_dateline, editlog.reason AS edit_reason, editlog.hashistory
FROM post AS post
LEFT JOIN editlog AS editlog ON (editlog.postid = post.postid)
WHERE post.postid = 231938;
MySQL Error : Table '/post' is marked as crashed and last (automatic?) repair failed


Database error in vBulletin 3.8.7:
Invalid SQL:
SELECT
IF(votenum >= 1, votenum, 0) AS votenum,
IF(votenum >= 1 AND votenum > 0, votetotal / votenum, 0) AS voteavg,
post.pagetext AS preview,
thread.threadid, thread.title AS threadtitle, thread.forumid, pollid, open, postusername, postuserid, thread.iconid AS threadiconid,
thread.dateline, notes, thread.visible, sticky, votetotal, thread.attach, thread.lastpost, thread.lastposter, thread.lastpostid, thread.replycount, IF(thread.views<=thread.replycount, thread.replycount+1, thread.views) AS views,
thread.prefixid, thread.taglist, hiddencount, deletedcount
FROM thread AS thread
LEFT JOIN post AS post ON(post.postid = thread.firstpostid)
WHERE thread.threadid IN (0,2711,109348,108888,111635,107215,111631,10391,1 11616,110264,111167,111476,111549,111558,111062,11 1483,111472,111468,110892,111198,111112)
ORDER BY sticky DESC, lastpost DESC;
MySQL Error : Table '.post' is marked as crashed and last (automatic?) repair failed


Database error in vBulletin 3.8.7:
Invalid SQL:
SELECT post.*,
IF(post.visible = 2, 1, 0) AS isdeleted,
editlog.userid AS edit_userid, editlog.dateline AS edit_dateline, editlog.reason AS edit_reason, editlog.hashistory
FROM post AS post
LEFT JOIN editlog AS editlog ON (editlog.postid = post.postid)
WHERE post.postid = 183681;
MySQL Error : Table '/post' is marked as crashed and last (automatic?) repair failed

[PMR]

Или, что это значит, это вирус?
1.
/administrator/includes/pcl/pcltar.lib.php: $v_data = unpack("a100filename/a8mode/a8uid/a8gid/a12size/a12mtime/a8checksum/a1typeflag/a100link/a6magic/a2version/a32uname/a32gname/a8devmajor/a8devminor", $v_binary_data);
-------- Добавлено в 19:16 -------- Предыдущее было в 19:06 --------
2.
Что значит данный PHP код и как его дешифровывать? Код обрезан.
<?php $_F=__FILE__;$_X='P2lCP1ouWg1Wc0EoJF9DS1RqJ3NIQU8n ZD........1I9MDskX1g9MDs='));?>
-------- Добавлено в 19:22 -------- Предыдущее было в 19:16 --------
3.
Это вирус?
includes/class_encryption.php: var $prime = "1551728981814736974712322577637155399157248019669 15404479707795314057629378541917580651227423698188 99372781615264663143856159582568818888995127215884 26754199503412587065565498035801048705376814767265 13255747040765857479291291572334510643245094715007 22962109419434978392598476037559498584825335930558 5439638443";
-------- Добавлено в 19:23 -------- Предыдущее было в 19:22 --------
Это шелл?
Themes/default/languages/Ads.russian-utf8.php:
<form action="https://www.paypal.com/cgi-bin/webscr" method="post">
<input type="hidden" name="cmd" value="_s-xclick">
<input type="image" src="https://www.paypal.com/en_US/i/btn/x-click-butcc-donate.gif" border="0" name="submit" alt="Make payments with PayPal - it\'s fast, free and secure!">
<img alt="" border="0" src="https://www.paypal.com/en_US/i/scr/pixel.gif" width="1" height="1">
<input type="hidden" name="encrypted" value="-----BEGIN PKCS7-----MIIHLwYJKoZIhvcNAQcEoIIHIDCCBxwCAQExggEwMIIBLAIBAD CBlDCBjjELMAkGA1UEBhMCVVMxCzAJBgNVBAgTAkNBMRYwFAYD VQQHEw1Nb3VudGFpbiBWaWV3MRQwEgYDVQQKEwtQYXlQYWwgSW 5jLjETMBEGA1UECxQKbGl2ZV9jZXJ0czERMA8GA1UEAxQIbGl2 ZV9hcGkxHDAaBgkqhkiG9w0BCQEWDXJlQHBheXBhbC5jb20CAQ AwDQYJKoZIhvcNAQEBBQAEgYAKNafdegspqQMLS5TDyCGEAQhn IgaWnzT+JWDfIHJItQcCkyd3TLptqlQ+NGRGAguaZR3BmNh7t6 r93Z97XjUyDoCv53HNcE2W7HOF46FEIJRCRjcvIXEQh9RTxgmV +5vK9bXBlrUMzJfzzunVa/I9S4NJiBCdjMZxcSNu3A6TPzELMAkGBSsOAwIaBQAwgawGCSqG SIb3DQEHATAUBggqhkiG9w0DBwQIHvhGHbWDvZ6AgYgfKsLfrc RZpwOhCYR6WcMrMEtgloQpjqooDKNgP05CKy1DOU/ZsVUxhvcvY8YW7eSFHuX91puIrEreYFZ7KpN+/919Z+uZL0WkuO8HqJ1EN4FMOnRG47IoL65tF7am6iDZqWgftI9 fOfLsvPBHkZlunYKRNXyHLYytQkA8FIfyIsRePAgw7mvDoIIDh zCCA4MwggLsoAMCAQICAQAwDQYJKoZIhvcNAQEFBQAwgY4xCzA JBgNVBAYTAlVTMQswCQYDVQQIEwJDQTEWMBQGA1UEBxMNTW91b nRhaW4gVmlldzEUMBIGA1UEChMLUGF5UGFsIEluYy4xEzARBgN VBAsUCmxpdmVfY2VydHMxETAPBgNVBAMUCGxpdmVfYXBpMRwwG gYJKoZIhvcNAQkBFg1yZUBwYXlwYWwuY29tMB4XDTA0MDIxMzE wMTMxNVoXDTM1MDIxMzEwMTMxNVowgY4xCzAJBgNVBAYTAlVTM QswCQYDVQQIEwJDQTEWMBQGA1UEBxMNTW91bnRhaW4gVmlldzE UMBIGA1UEChMLUGF5UGFsIEluYy4xEzARBgNVBAsUCmxpdmVfY 2VydHMxETAPBgNVBAMUCGxpdmVfYXBpMRwwGgYJKoZIhvcNAQk BFg1yZUBwYXlwYWwuY29tMIGfMA0GCSqGSIb3DQEBAQUAA4GNA DCBiQKBgQDBR07d/ETMS1ycjtkpkvjXZe9k+6CieLuLsPumsJ7QC1odNz3sJiCbs2w C0nLE0uLGaEtXynIgRqIddYCHx88pb5HTXv4SZeuv0Rqq4+axW 9PLAAATU8w04qqjaSXgbGLP3NmohqM6bV9kZZwZLR/klDaQGo1u9uDb9lr4Yn+rBQIDAQABo4HuMIHrMB0GA1UdDgQWB BSWn3y7xm8XvVk/UtcKG+wQ1mSUazCBuwYDVR0jBIGzMIGwgBSWn3y7xm8XvVk/UtcKG+wQ1mSUa6GBlKSBkTCBjjELMAkGA1UEBhMCVVMxCzAJBg NVBAgTAkNBMRYwFAYDVQQHEw1Nb3VudGFpbiBWaWV3MRQwEgYD VQQKEwtQYXlQYWwgSW5jLjETMBEGA1UECxQKbGl2ZV9jZXJ0cz ERMA8GA1UEAxQIbGl2ZV9hcGkxHDAaBgkqhkiG9w0BCQEWDXJl QHBheXBhbC5jb22CAQAwDAYDVR0TBAUwAwEB/zANBgkqhkiG9w0BAQUFAAOBgQCBXzpWmoBa5e9fo6ujionW1hU hPkOBakTr3YCDjbYfvJEiv/2P+IobhOGJr85+XHhN0v4gUkEDI8r2/rNk1m0GA8HKddvTjyGw/XqXa+LSTlDYkqI8OwR8GEYj4efEtcRpRYBxV8KxAW93YDWzFGv ruKnnLbDAF6VR5w/cCMn5hzGCAZowggGWAgEBMIGUMIGOMQswCQYDVQQGEwJVUzELM AkGA1UECBMCQ0ExFjAUBgNVBAcTDU1vdW50YWluIFZpZXcxFDA SBgNVBAoTC1BheVBhbCBJbmMuMRMwEQYDVQQLFApsaXZlX2Nlc nRzMREwDwYDVQQDFAhsaXZlX2FwaTEcMBoGCSqGSIb3DQEJARY NcmVAcGF5cGFsLmNvbQIBADAJBgUrDgMCGgUAoF0wGAYJKoZIh vcNAQkDMQsGCSqGSIb3DQEHATAcBgkqhkiG9w0BCQUxDxcNMDc wMTEyMDQ1NzE0WjAjBgkqhkiG9w0BCQQxFgQUEb7yyVW63hI/vxBSUSouuG9uOI8wDQYJKoZIhvcNAQEBBQAEgYA+6kEAlZppzC l2G3caR/oOZipey6hpeYDks/yRph0/30upDp0qIAQJIjs2ne+Q40//cKZ0v7IV3wp2M2B3I6MyLj3AgUf0/yVrqqsp9G5qyOTQK5jt+0OqwlTstQUpB5JCP/79pNITNowyPZn+BmJSwMv0aPiS7BPYScVBDwxTOw==-----END PKCS7-----
">
</form>

[Sher]

PMR писал (а)

Table '/post' is marked as crashed and last (automatic?) repair failed

если с английского то это значит что взломано и последнее автоматическая починка неудачная что то там чинится но безуспешно.

[Duke_Cheb]

Я поковырялся - знаний не хватает. Иероглифы декодер выводит, но, вроде как, последний - пайпаловская цифровая подпись.

[PMR]

Мне вообще было интересно услышать что скажет Анонимус.

В certlogik.com/decoder/ введи PKCS7 содержимое. Это открытый ключ какой-то в форме пайпаловской скрыт.
В вопросе 2 - явно base64_encode кодировали.

[masai]

PMR писал (а)

Межсайтовый скриптинг (XSS) - интересно, кто понимает, что это, и как он работет?
Я так понимаю, это когда страница сайта содержит вирус?

Нет, это когда через дыру в движке кто-то публикует JavaScript с незаэскейпенными тегами, тот выполняется и делает что-то зловредное. Например, может подменить ссылки на страничке на адрес странички злоумышленника. Может переслать злоумышленнику куки, чтобы тот мог зайти от имени пользователя. И т. д.
-------- Добавлено в 22:54 -------- Предыдущее было в 22:36 --------

PMR писал (а)

Или, что это значит, это вирус?
1.
/administrator/includes/pcl/pcltar.lib.php: $v_data = unpack("a100filename/a8mode/a8uid/a8gid/a12size/a12mtime/a8checksum/a1typeflag/a100link/a6magic/a2version/a32uname/a32gname/a8devmajor/a8devminor", $v_binary_data);

Просто распаковка бинарных данных по указанному формату. Само по себе безобидно.

PMR писал (а)

2.
Что значит данный PHP код и как его дешифровывать? Код обрезан.
<?php $_F=__FILE__;$_X='P2lCP1ouWg1Wc0EoJF9DS1RqJ3NIQU8n ZD........1I9MDskX1g9MDs='));?>

Без контекста непонятно.

PMR писал (а)

3.
Это вирус?
includes/class_encryption.php: var $prime = "155172898181473697471232257763715539915724801 9669 15404479707795314057629378541917580651227423698188 99372781615264663143856159582568818888995127215884 26754199503412587065565498035801048705376814767265 13255747040765857479291291572334510643245094715007 22962109419434978392598476037559498584825335930558 5439638443";

Судя по названию файла и переменной — это простое число. В криптографии простые числа — обычное дело, но необычны две вещи: 1) записано явно; 2) на самом деле число не простое (или какие-то цифры выпали при копировании?). Само по себе безобидно, так как что-то большое в том числе не закодировать.

Без контекста вредоносность не определить.

PMR писал (а)

Это шелл?
Themes/default/languages/Ads.russian-utf8.php

Это не шелл, это самая обычная кнопочка для донейта через paypal. Там в зашифрованном виде информация о том, кому деньги слать.
-------- Добавлено в 22:54 -------- Предыдущее было в 22:54 --------

Sher писал (а)

если с английского то это значит что взломано и последнее автоматическая починка неудачная что то там чинится но безуспешно.

Не взломано, а поломалось. ;)
-------- Добавлено в 23:13 -------- Предыдущее было в 22:54 --------

PMR писал (а)

Вчера делал REPAIR TABLE `post`, но после:

Т. е. после успешного восстановления снова таблица помечена как crashed?

[Soap]

После разъяснений masai, выглядит как страничка обработанная анонимайзером, может и VPN. А вообще фиг его знает что это.

[Sher]

Не особо разбираюсь но может пригодится кому:

Организации, оказывающие услуги через интернет, призвали пользователей поменять пароли доступа, после того как в системе программной защиты OpenSSL была обнаружена уязвимость.
Сервис блогов Tumblr, принадлежащий компании Yahoo, рекомендовал интернет-пользователям "поменять все пароли, особенно те, которые обеспечивают доступ к банковским услугам, электронной почте и виртуальным хранилищам файлов".

Ранее появилась информация о том, что программный продукт OpenSSL, обеспечивающий безопасность передачи данных, мог быть использован для перехвата личной информации.

bbc.co.uk/russian/business/2014/04/140409_heartbleed_bug_reset_password.shtml

[PMR]

Да, мне на мыло пришло тоже письмо, что если использую OpenSSL определенной версии, то надо срочно патчить.

[MastHack]

Куплю sxx на гмайл