Ситуация такая: есть веб-шелл, например, PhpRemoteView или r57shell от rst с установленными логином и паролем на каком-то сервере. При неправильном вводе логина (пароля), попадёт ли неудачная попытка аутентификации в лог ошибок веб-сервера?

otmorozok428, скорее оно попалёт в аксеслог...

Собственно, у меня тут шелл помер недавно безо всяких видимых причин - больше и не знаю на что думать... :( Возможно, аутентификацию лучше вообще отключать?

Возможно, аутентификацию лучше вообще отключать?


Да нет лучше помнить пасс и логин от авторизации!


При неправильном вводе логина (пароля), попадёт ли неудачная попытка аутентификации в лог ошибок веб-сервера?


нет попадёт в access.log как ГЕТ запрос

Собственно, у меня тут шелл помер недавно безо всяких видимых причин - больше и не знаю на что думать...
Может админ посмотрел access.log, или авером просканил сервер и снес твой шел.

Просмотрел access.log очень маловероятно, т.к. там за сутки мегов 70-90 мегов капало;
шелл лежал на серваке почти год и всё было "пучком"; собственно я захотел убедиться в работоспособности шелла (точнее даже двух) и ввёл путь, но авторизовываться не стал, а нажал отмену; на следующий день меня уже снесли...

Ещё, правда, первый раз я неправильно ввёл путь и этот URL наверняка попал в лог ошибок... Возможно, что админ меня запалил именно так, но я всё равно пока думаю на аутентификацию. Неудачная аутентификация она ведь тоже куда-то логается?

AkyHa_MaTaTa, а что такое авер - какой-то хост-сканнер?

otmorozok428, ну тебе же сказали как ты пропалился... Авторизация тут не при чём! В лог ошибок попадает именно информация об ошибках программного обеспечения и дебажная информация. Любой доступ к ресурсу, пускай посредством HTTP-аутентификации или какой-то другой - всё сыплется в access_log... Если ты ввёл не правильно логин/пароль - твой запрос с кодом Forbidden попал в access_log... Не в error_log, а в access_log...

Просмотр access.log очень маловероятно...
Я думаю не секрет, что уже давно существуют средства анализа логов... И это не значит, что одмин будет сидеть и пялиться в каждую строчку гигабайтного лога... Он просто выберет записи по какому-то критерию - HTTP-код результата, длина запроса, содержание в запросе определённой строки...

Как файл на хосте с шелом твой назывался?

23547.php :)

Ну на мой взгляд - палевно... Хот хз, чё там за файло было... Кроме того файло могло по сигнатуре спалится антивирусом...

А не палевные названия какие?

Может Админ поумнел....

с99madshell.php у меня не палится...
Кста, а если не соединяет с шеллом, а ввожу пароль и логин правиль - это значит, что идет портовая фильтрация?

Если на сайте есть форум или СMS то коси под них, например: vbajax.php.(для булки),
А титал у тебя не палится:
<title>RST shell</title> - многие шеллы слителли именно из-за этого, или стали паблик:).

с99madshell.php у меня не палится...
Кста, а если не соединяет с шеллом, а ввожу пароль и логин правиль - это значит, что идет портовая фильтрация?

Обясьни, мне нубу - как это - скрипт запускается(ну в смысле требует ввода пасса и узера), а потом идет - "портовая фильтрация", как это(не догоняю при чем здесь фильтрация)?
Скорее всего ты не правильно водишь данные для авторизации.

Когда шелл требует логин и пароль - ввожу их.
Но соединение не проходит - требует ввести еще раз.
Проверял несколько раз. Не соединяет. Отрубил авторизацию, соединился сразу.

Кстати, только что проверил оба шелла Каспером - r57shell распознаётся как Backdoor.PHP.RST.q, а PhpRemoteView не пропалился. Забавно... Правда, PhpRemoteView работает, в основном, через GET-запросы, что есть "минус".

нет попадёт в access.log как ГЕТ запрос
попадает в error когда возвращает 401

Когда шелл требует логин и пароль - ввожу их.
Но соединение не проходит - требует ввести еще раз.
Проверял несколько раз. Не соединяет. Отрубил авторизацию, соединился сразу.
Это с большой вероятностью значит, что на HTTP-сервере не поддерживается метод аутентификации используемый в веб-шелле(например Basic WWW-Authenticate как в phpRemoteView).

А кто нить проверял палит ли антивирус если шелл в base64 ??