попалась вот такая тема:

<VirtualHost *>
CustomLog H:/Logs/Apache1/01-01-09.****-ru.log combined
DocumentRoot _ev17F8m~29zvp6u;lz0uÇbB<=l>=lf6k|u
php_admin_value _ev1ounwf3:|pBl{#O?7[RW@2[j<wCG@4\h5:[hps?F?2OZFZPPü:24JIcOWü=2QRFJW^ü62[mpsDGC7bn93FztprqY7pl;>GC7bn93Vly~r5hz:UKVdX8luG=5rzwztqpFKD2Wvp|2[RWkP>rwJ55r~swssmD:C5o{w9;rxh8wBsr2w}d:9:i;:ih8m|y|B:=; Çh;7<j52u}8orv}q@;5rth>q@qt8u}hB7<m=Bqd@:@8krth:yuw|ézz2~b5rth>q@qt8u}hB7<m=Bqd@:@8krth:yuw|ézz2~b5rth>q@qt8u}hB7<m=Bqd
php_admin_value disable_functions exec,passthru,system,proc_close,proc_open,shell_ex ec,popen,pcntl_exec,pcntl_fork
ServerName www.***.ru
ServerAlias ***.ru
</VirtualHost>


Microsoft(R) Windows(R) Server 2003 Standard x64 Edition
5.2.3790 Service Pack 2 Build 3790

расшифровать чемнибуть можно?

По моему пароли зашифрованы DES’ом.

список процесов

Image Name PID Session Name Session# Mem Usage
========================= ======== ================ =========== ============
System Idle Process 0 0 24 K
System 4 0 256 K
smss.exe 300 0 648 K
csrss.exe 352 0 11 404 K
winlogon.exe 376 0 16 424 K
services.exe 424 0 39 880 K
lsass.exe 436 0 52 324 K
svchost.exe 600 0 4 348 K
svchost.exe 680 0 9 788 K
svchost.exe 744 0 10 604 K
svchost.exe 780 0 9 476 K
svchost.exe 796 0 36 412 K
iscsiexe.exe 852 0 5 136 K
spoolsv.exe 1056 0 8 724 K
msdtc.exe 1080 0 7 204 K
Apache.exe 1256 0 60 K
Apache.exe 1364 0 52 K
aspnet_state.exe 4636 0 6 764 K
SRVANY.EXE 4844 0 2 572 K
inetinfo.exe 5140 0 16 960 K
cmd.exe 5288 0 2 968 K
MsDtsSrvr.exe 5712 0 32 588 K
msftesql.exe 11048 0 5 068 K
sqlservr.exe 11076 0 2 471 736 K
mysqld-ntX.exe 11132 0 25 352 K
svchost.exe 11192 0 2 308 K
sqlwriter.exe 11284 0 6 272 K
war-ftpd.exe 11416 0 33 480 K
svchost.exe 11528 0 21 660 K
SQLAGENT90.EXE 12992 0 6 004 K
svchost.exe 11660 0 9 488 K
svchost.exe 11852 0 6 012 K
wmiprvse.exe 12536 0 8 724 K
sshd.exe 20532 0 5 832 K
ServerPerformanceReaderSe 20584 0 35 860 K
SpamAssassinCheck.exe 20668 0 44 976 K
SpamAssassinCheck.exe 17928 0 33 148 K
SpamAssassinCheck.exe 13968 0 56 032 K
SpamAssassinCheck.exe 17248 0 77 800 K
SpamAssassinCheck.exe 24444 0 68 468 K
SpamAssassinCheck.exe 7716 0 41 808 K
SpamAssassinCheck.exe 18184 0 67 852 K
SpamAssassinCheck.exe 25480 0 41 592 K
mysqld-max-nt.exe 13108 0 332 804 K
ProcessFailSafeService.ex 14524 0 31 980 K
csrss.exe 6168 1 4 992 K
winlogon.exe 10600 1 3 180 K
rdpclip.exe 15220 1 1 668 K
ctfmon.exe 944 1 596 K
explorer.exe 7100 1 5 352 K
ctfmon.exe 9756 1 544 K
Far.exe 2532 1 1 404 K
cmd.exe 13836 1 120 K
pfsStateServer.exe 28100 0 6 832 K
Apache.exe 21436 0 33 336 K
Apache.exe 24088 0 16 580 K
Apache.exe 7816 0 16 576 K
Apache.exe 1452 0 16 580 K
Apache.exe 6072 0 324 K
Apache.exe 27816 0 105 728 K
Apache.exe 1524 0 41 144 K
Apache.exe 4676 0 198 868 K
ProcessObserver.exe 16192 0 45 988 K
pfswp.exe 1612 0 33 944 K
Apache.exe 22524 0 17 020 K
Apache.exe 13496 0 17 432 K
Apache.exe 12904 0 16 852 K
Apache.exe 18256 0 25 612 K
Apache.exe 21596 0 16 816 K
SRVANY.EXE 10736 0 2 696 K
php_cli.exe 4112 0 6 236 K
SRVANY.EXE 9304 0 2 712 K
php_cli.exe 4908 0 6 148 K
SRVANY.EXE 22980 0 2 712 K
Apache.exe 25336 0 132 K
Apache.exe 10516 0 150 236 K
Apache.exe 20660 0 45 956 K
SRVANY.EXE 6444 0 2 680 K
MERCURY.EXE 5208 0 26 880 K
SRVANY.EXE 11652 0 2 660 K
MERCURY.EXE 25280 0 17 128 K
SRVANY.EXE 17396 0 2 684 K
MERCURY.EXE 3712 0 16 708 K
SRVANY.EXE 16208 0 2 668 K
MERCURY.EXE 13768 0 16 448 K
SRVANY.EXE 6024 0 2 676 K
MERCURY.EXE 11028 0 16 948 K
SRVANY.EXE 24960 0 2 676 K
mercury.exe 25148 0 4 776 K
SRVANY.EXE 24280 0 2 684 K
mercury.exe 2968 0 5 132 K
SRVANY.EXE 6392 0 2 676 K
SRVANY.EXE 23176 0 2 680 K
mercury.exe 7840 0 6 384 K
MERCURY.EXE 26116 0 16 944 K
SRVANY.EXE 22804 0 2 660 K
mercury.exe 15200 0 5 408 K
SRVANY.EXE 7192 0 2 664 K
mercury.exe 21736 0 4 924 K
SRVANY.EXE 6684 0 2 676 K
MERCURY.EXE 25568 0 16 636 K
SRVANY.EXE 26596 0 2 672 K
MERCURY.EXE 14136 0 16 444 K
SRVANY.EXE 23476 0 2 664 K
mercury.exe 2948 0 3 324 K
SRVANY.EXE 14588 0 2 648 K
mercury.exe 7612 0 3 724 K
SRVANY.EXE 13288 0 2 648 K
mercury.exe 24424 0 4 428 K
ResourceMonitorService.ex 24528 0 16 356 K
cmd.exe 9512 0 2 844 K
php.exe 27056 0 120 K
cmd.exe 25708 0 2 852 K
php.exe 16948 0 120 K
cmd.exe 25816 0 2 832 K
php.exe 2516 0 120 K
cmd.exe 22484 0 2 852 K
php.exe 11668 0 120 K
w3wp.exe 7692 0 56 524 K
Apache.exe 6876 0 256 500 K
Apache.exe 1552 0 50 168 K
Apache.exe 19212 0 50 172 K
Apache.exe 17312 0 51 168 K
Apache.exe 23576 0 50 164 K
Apache.exe 9452 0 368 692 K
w3wp.exe 24812 0 15 796 K
w3wp.exe 10940 0 34 848 K
w3wp.exe 24616 0 8 960 K
w3wp.exe 23120 0 4 360 K
Apache.exe 19692 0 75 652 K
Apache.exe 7776 0 79 104 K
Apache.exe 5952 0 80 200 K
Apache.exe 25432 0 143 436 K
cmd.exe 5468 0 2 808 K
wmiprvse.exe 20732 0 8 228 K
clamd.exe 10648 0 31 512 K
Apache.exe 1360 0 93 760 K
Apache.exe 8216 0 117 812 K
AdvProcess.exe 25084 0 10 088 K
Apache.exe 28292 0 121 712 K
Apache.exe 28340 0 107 832 K
Apache.exe 4856 0 103 112 K
cmd.exe 1536 0 2 748 K
php.exe 4016 0 24 444 K
wait_for_files.exe 2104 0 1 344 K
cmd.exe 10204 0 2 768 K
php.exe 7148 0 28 376 K
php.exe 16472 0 16 276 K
cmd.exe 25440 0 3 024 K
cmd.exe 8496 0 2 856 K
tcpvcon.exe 21956 0 5 040 K
grep.exe 5992 0 1 812 K
php.exe 26916 0 15 972 K
cmd.exe 22264 0 2 884 K
tasklist.exe 17320 0 5 980 K

Танз, если не секрет каким образом ты получил этот контент вхостов? Что-то я не уверен, что в конфигах апача можно выкидывать такие штуки... Мне кажется у тебя битый контент...

groundhog, это на всех серверах у одного из хостеров, в начале прошлого года этим интересовался, щас опять встретил. то что фал не битый 100%. может у них модуль на апач стоит..

TANZWUT, возможно, просто я не слышал про такие модули, и нигде про такое не писалось... Но ведь API модулей открытое, так что под Apache написать модно что угодно... Ещё идея, что это какой-то процесс типа антивируса висит в памяти и шифрует/мусорит заданные строки... Вот я и спросил - с помощью каких средств ты получил этот вывод, чтобы прикинуть возможность подмены контенты вывода "на лету".

в r57 ставил насвание файла и скачал, через правку или cat - тожесамое...
/me ушёл настраивать сеть, буду ближе к вечеру.

Даже если на вскидку проанализировать строки:

DocumentRoot _ev17F8m~29zvp6u;lz0uÇbB<=l>=lf6k|u
php_admin_value _ev1ounwf3:|pBl{#O?7[RW@2[j<wCG@4\h5:[hps?F?2OZFZPPü:24JIcOWü=2QRFJW^ü62[mpsDGC7bn93FztprqY7pl;>GC7bn93Vly~r5hz:UKVdX8luG=5rzwztqpFKD2Wvp|2[RWkP>rwJ55r~swssmD:C5o{w9;rxh8wBsr2w}d:9:i;:ih8m|y|B:=; Çh;7<j52u}8orv}q@;5rth>q@qt8u}hB7<m=Bqd@:@8krth:yuw|ézz2~b5rth>q@qt8u}hB7<m=Bqd@:@8krth:yuw|ézz2~b5rth>q@qt8u}hB7<m=Bqd

Это уже точно не DES. Если подвергнуть статистическому анализу - DocumentRoot вполне короткое значение... Чтож... Вполне резонно, он не бывает особо длинен. Значение же php_admin_value имеет гораздо более длинную строку чем DocumentRoot, хотя на практике таких значений не бывет (разве что это какой-то очень длинный путь). Очень удивляет одинаковая сигнатура вначале _ev1 и большая вариация символов и знаков... Причём схожих... Они не поддаются статистическому анализу в рамках английского или русского алфавита, что даёт основание полагать, что это не шифр простой замены... Хотя тут надо подумать... Просто если сопоставить, что хостинг виндовый, и обе шифрованные директивы это пути, то сигнатура _ev1 вполне может определять диск, если взять за отправную точку, что это диск H:\ (как и в логах), то можно будет предположить чем это шифровано... Но пока это похоже на мусор...

Танз, а grep на том хосте был изначально? Или это уже ты положил? Попробуй зазипуй целевой файл и прими архивом... Истина где-то рядом...

Посмотри какие модули подключены.

А вообще похоже апач компилили из исходников с некоторой доработкой(ничего сложного в принципе тут нет). 90% что исходники где-то там и лежат. Надо их найти, и будет тебе щастье)))

Сомневаюсь, что r57 шелл будет работать при таких disable_functions... Допускаю, что это неактульный файл и ты находишься в чрут окружении.
Вариант с битым контентом тоже имеет право на жизнь..
Бросается в глаза префикс (или суффикс, или постфикс)) _ev1.. Гугль не в курсе.

GuD-ok, это винда... Я сомневаюсь, что они под виндой компилили апач... Ты сам пробовал это хоть раз делать? :)

GuD-ok, это винда... Я сомневаюсь, что они под виндой компилили апач... Ты сам пробовал это хоть раз делать? :)

Пардон, не заметил. А под виндой пробовал((( Я в данной ситуации вероятно не прав.

А что это за хостер такой с апачем на винде?

Тут справочки навёл, для некоторых языков путь указывыается весьма своеобразно... Пример с японской вистой.. слеш значком ены, остальное тоже в иероглифах))) Так что не исключаю экзотическую версию ОС.. Отсюда и шелл неправильно отображает на наших CP1251 машинах..

System Idle Process тогда по другому назывался-бы, наверное. процесс языкозависимый )

GuD-okЯ сомневаюсь, что они под виндой компилили апач... =) Вообще-то необходимости компилить Апач под виндой нет, он поставляется уже готовой msi-кой под Win (http://httpd.apache.org/download.cgi)

недавно столкнулся с такой же проблемой, т.е. в файле host.conf:
<VirtualHost *>
CustomLog H:/Logs/Apache1/09-04-06.***.log combined
DocumentRoot _ev17B4sz{86;{l}…kw9uЃjC9i;n69l:sЂ{t
php_admin_value _ev1oyhqj7>vj<pu'IC;UL[:6Un6{GKD8`l94_ltwCJC6ITJ^TJ…468NMgS[…76UVJDQX…:6_qtw>K=;\h37JtxtvuSy;tp5BK=;\h37Zp}‚l9l~4YOZhR<poK79v~q~nuj@O>6Qzjv6UL[eT8lqD99vxw{mwq>>=9s{36;vl}Ђpw4u|jC>i@i;9l:s{ЂyC>@6|l328n57||4k{x{nB4<7ynwq{9wЃf;=i9n>5l@>B4svtl:ЃqyЂ‚~~6|f89zh‚ny4{|h?6i:i?7l>>A5k{rl8yr}{{~~6~f<;{l}…kw9uЃjC9i;n69l
php_admin_value disable_functions exec,passthru,system,proc_close,proc_open,shell_ex ec,popen,pcntl_exec,pcntl_fork
ServerName www.***.ru
ServerAlias ***.ru
</VirtualHost>

ни у кого не появилось новых идей?

появились некоторые мысли насчет DocumentRoot:
_ev1 - это скорее всего dev1, т.к. все сайты расположены на диске d: (на серваке стоит cygwin)
5 последних символов в пути - это "/http"
дальнейшие мысли уходят в никуда :-(

DocumentRoot _ev17B4sz{86;{l}…kw9uЃjC9i;n69l:sЂ{t
php_admin_value _ev1oyhqj7>vj<pu'IC;UL[:6Un6{GKD8`l94_ltwCJC6ITJ^TJ…468NMgS[…76UVJDQX…:6_qtw>K=;\h37JtxtvuSy;tp5BK=;\h37Zp}‚l9l~4YOZhR<poK79v~q~nuj@O>6Qzjv6UL[eT8lqD99vxw{mwq>>=9s{36;vl}Ђpw4u|jC>i@i;9l:s{ЂyC>@6|l328n57||4k{x{nB4<7ynwq{9wЃf;=i9n>5l@>B4svtl:ЃqyЂ‚~~6|f89zh‚ny4{|h?6i:i?7l>>A5k{rl8yr}{{~~6~f<;{l}…kw9uЃjC9i;n69l


Боженьки ты мой!!! Откуда такой ужас?
насчёт дев вполне возможно, хотя файлам серва в том разделе делать нечего по идее....
а вот с остальным у меня чтото глаза разбегаются

А список модулей апача ? Наверняка есть какой то модуль , надыбаем а там попробуем отреверсить (если не сложный алго)

apache -l

Compiled-in modules:
http_core.c
mod_so.c
mod_mime.c
mod_access.c
mod_auth.c
mod_negotiation.c
mod_include.c
mod_autoindex.c
mod_dir.c
mod_cgi.c
mod_userdir.c
mod_alias.c
mod_env.c
mod_log_config.c
mod_asis.c
mod_imap.c
mod_actions.c
mod_setenvif.c
mod_isapi.c

В модулях ничего лишнего нет (

А почему тогда виртуал хост норм отображается ? Смахивает на брата Zenda :D

Это наверняка путь к документ руту. а как он в реале выглядит известно?

да, несколько правильных вариантов documentroot я нашел:
_ev1/srvh2Ѓo}|zzz2|b|8rmpr{s8uxhAmhkoq?i4qwzs
/home/virtwww/w_sakhmoto-ru_6eeffe43/http

_ev1/srvh2Ѓo}|zzz2|bvhp<o?r8uxhm9i9n?f@4qwzs
/home/virtwww/w_megalait-ru_05fae628/http

_ev1 отсекаем и получается(в этих двух случаях) даже одинаковые начало и конец DocumentRoot. Но так не во всех строчках.

bvhp<o?r8uxhm9i9n?f@4qwzs
b|8rmpr{s8uxhAmhkoq?i4qwzs
Явно некая системная информация, понятная только серву.