Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Windows системы (https://forum.antichat.xyz/forumdisplay.php?f=125)
-   -   чем зашифрован httpd.conf? (https://forum.antichat.xyz/showthread.php?t=102368)

TANZWUT 21.01.2009 13:09
чем зашифрован httpd.conf?
 
попалась вот такая тема:
Код:
<VirtualHost *>
CustomLog H:/Logs/Apache1/01-01-09.****-ru.log combined
DocumentRoot _ev17F8m~29zvp6u;lz0uÇbB<=l>=lf6k|u
php_admin_value _ev1ounwf3:|pBl{#O?7[RW@2[j<wCG@4\h5:[hps?F?2OZFZPPü:24JIcOWü=2QRFJW^ü62[mpsDGC7bn93FztprqY7pl;>GC7bn93Vly~r5hz:UKVdX8luG=5rzwztqpFKD2Wvp|2[RWkP>rwJ55r~swssmD:C5o{w9;rxh8wBsr2w}d:9:i;:ih8m|y|B:=;Çh;7<j52u}8orv}q@;5rth>q@qt8u}hB7<m=Bqd@:@8krth:yuw|ézz2~b5rth>q@qt8u}hB7<m=Bqd@:@8krth:yuw|ézz2~b5rth>q@qt8u}hB7<m=Bqd
php_admin_value disable_functions exec,passthru,system,proc_close,proc_open,shell_exec,popen,pcntl_exec,pcntl_fork
ServerName www.***.ru
ServerAlias ***.ru
</VirtualHost>
Microsoft(R) Windows(R) Server 2003 Standard x64 Edition
5.2.3790 Service Pack 2 Build 3790

расшифровать чемнибуть можно?

system_32 21.01.2009 13:23
По моему пароли зашифрованы DES’ом.

TANZWUT 21.01.2009 13:30
список процесов
Код:
Image Name                    PID Session Name        Session#    Mem Usage
========================= ======== ================ =========== ============
System Idle Process              0                            0        24 K
System                          4                            0        256 K
smss.exe                      300                            0        648 K
csrss.exe                      352                            0    11 404 K
winlogon.exe                  376                            0    16 424 K
services.exe                  424                            0    39 880 K
lsass.exe                      436                            0    52 324 K
svchost.exe                    600                            0      4 348 K
svchost.exe                    680                            0      9 788 K
svchost.exe                    744                            0    10 604 K
svchost.exe                    780                            0      9 476 K
svchost.exe                    796                            0    36 412 K
iscsiexe.exe                  852                            0      5 136 K
spoolsv.exe                  1056                            0      8 724 K
msdtc.exe                    1080                            0      7 204 K
Apache.exe                    1256                            0        60 K
Apache.exe                    1364                            0        52 K
aspnet_state.exe              4636                            0      6 764 K
SRVANY.EXE                    4844                            0      2 572 K
inetinfo.exe                  5140                            0    16 960 K
cmd.exe                      5288                            0      2 968 K
MsDtsSrvr.exe                5712                            0    32 588 K
msftesql.exe                11048                            0      5 068 K
sqlservr.exe                11076                            0  2 471 736 K
mysqld-ntX.exe              11132                            0    25 352 K
svchost.exe                  11192                            0      2 308 K
sqlwriter.exe                11284                            0      6 272 K
war-ftpd.exe                11416                            0    33 480 K
svchost.exe                  11528                            0    21 660 K
SQLAGENT90.EXE              12992                            0      6 004 K
svchost.exe                  11660                            0      9 488 K
svchost.exe                  11852                            0      6 012 K
wmiprvse.exe                12536                            0      8 724 K
sshd.exe                    20532                            0      5 832 K
ServerPerformanceReaderSe    20584                            0    35 860 K
SpamAssassinCheck.exe        20668                            0    44 976 K
SpamAssassinCheck.exe        17928                            0    33 148 K
SpamAssassinCheck.exe        13968                            0    56 032 K
SpamAssassinCheck.exe        17248                            0    77 800 K
SpamAssassinCheck.exe        24444                            0    68 468 K
SpamAssassinCheck.exe        7716                            0    41 808 K
SpamAssassinCheck.exe        18184                            0    67 852 K
SpamAssassinCheck.exe        25480                            0    41 592 K
mysqld-max-nt.exe            13108                            0    332 804 K
ProcessFailSafeService.ex    14524                            0    31 980 K
csrss.exe                    6168                            1      4 992 K
winlogon.exe                10600                            1      3 180 K
rdpclip.exe                  15220                            1      1 668 K
ctfmon.exe                    944                            1        596 K
explorer.exe                  7100                            1      5 352 K
ctfmon.exe                    9756                            1        544 K
Far.exe                      2532                            1      1 404 K
cmd.exe                      13836                            1        120 K
pfsStateServer.exe          28100                            0      6 832 K
Apache.exe                  21436                            0    33 336 K
Apache.exe                  24088                            0    16 580 K
Apache.exe                    7816                            0    16 576 K
Apache.exe                    1452                            0    16 580 K
Apache.exe                    6072                            0        324 K
Apache.exe                  27816                            0    105 728 K
Apache.exe                    1524                            0    41 144 K
Apache.exe                    4676                            0    198 868 K
ProcessObserver.exe          16192                            0    45 988 K
pfswp.exe                    1612                            0    33 944 K
Apache.exe                  22524                            0    17 020 K
Apache.exe                  13496                            0    17 432 K
Apache.exe                  12904                            0    16 852 K
Apache.exe                  18256                            0    25 612 K
Apache.exe                  21596                            0    16 816 K
SRVANY.EXE                  10736                            0      2 696 K
php_cli.exe                  4112                            0      6 236 K
SRVANY.EXE                    9304                            0      2 712 K
php_cli.exe                  4908                            0      6 148 K
SRVANY.EXE                  22980                            0      2 712 K
Apache.exe                  25336                            0        132 K
Apache.exe                  10516                            0    150 236 K
Apache.exe                  20660                            0    45 956 K
SRVANY.EXE                    6444                            0      2 680 K
MERCURY.EXE                  5208                            0    26 880 K
SRVANY.EXE                  11652                            0      2 660 K
MERCURY.EXE                  25280                            0    17 128 K
SRVANY.EXE                  17396                            0      2 684 K
MERCURY.EXE                  3712                            0    16 708 K
SRVANY.EXE                  16208                            0      2 668 K
MERCURY.EXE                  13768                            0    16 448 K
SRVANY.EXE                    6024                            0      2 676 K
MERCURY.EXE                  11028                            0    16 948 K
SRVANY.EXE                  24960                            0      2 676 K
mercury.exe                  25148                            0      4 776 K
SRVANY.EXE                  24280                            0      2 684 K
mercury.exe                  2968                            0      5 132 K
SRVANY.EXE                    6392                            0      2 676 K
SRVANY.EXE                  23176                            0      2 680 K
mercury.exe                  7840                            0      6 384 K
MERCURY.EXE                  26116                            0    16 944 K
SRVANY.EXE                  22804                            0      2 660 K
mercury.exe                  15200                            0      5 408 K
SRVANY.EXE                    7192                            0      2 664 K
mercury.exe                  21736                            0      4 924 K
SRVANY.EXE                    6684                            0      2 676 K
MERCURY.EXE                  25568                            0    16 636 K
SRVANY.EXE                  26596                            0      2 672 K
MERCURY.EXE                  14136                            0    16 444 K
SRVANY.EXE                  23476                            0      2 664 K
mercury.exe                  2948                            0      3 324 K
SRVANY.EXE                  14588                            0      2 648 K
mercury.exe                  7612                            0      3 724 K
SRVANY.EXE                  13288                            0      2 648 K
mercury.exe                  24424                            0      4 428 K
ResourceMonitorService.ex    24528                            0    16 356 K
cmd.exe                      9512                            0      2 844 K
php.exe                      27056                            0        120 K
cmd.exe                      25708                            0      2 852 K
php.exe                      16948                            0        120 K
cmd.exe                      25816                            0      2 832 K
php.exe                      2516                            0        120 K
cmd.exe                      22484                            0      2 852 K
php.exe                      11668                            0        120 K
w3wp.exe                      7692                            0    56 524 K
Apache.exe                    6876                            0    256 500 K
Apache.exe                    1552                            0    50 168 K
Apache.exe                  19212                            0    50 172 K
Apache.exe                  17312                            0    51 168 K
Apache.exe                  23576                            0    50 164 K
Apache.exe                    9452                            0    368 692 K
w3wp.exe                    24812                            0    15 796 K
w3wp.exe                    10940                            0    34 848 K
w3wp.exe                    24616                            0      8 960 K
w3wp.exe                    23120                            0      4 360 K
Apache.exe                  19692                            0    75 652 K
Apache.exe                    7776                            0    79 104 K
Apache.exe                    5952                            0    80 200 K
Apache.exe                  25432                            0    143 436 K
cmd.exe                      5468                            0      2 808 K
wmiprvse.exe                20732                            0      8 228 K
clamd.exe                    10648                            0    31 512 K
Apache.exe                    1360                            0    93 760 K
Apache.exe                    8216                            0    117 812 K
AdvProcess.exe              25084                            0    10 088 K
Apache.exe                  28292                            0    121 712 K
Apache.exe                  28340                            0    107 832 K
Apache.exe                    4856                            0    103 112 K
cmd.exe                      1536                            0      2 748 K
php.exe                      4016                            0    24 444 K
wait_for_files.exe            2104                            0      1 344 K
cmd.exe                      10204                            0      2 768 K
php.exe                      7148                            0    28 376 K
php.exe                      16472                            0    16 276 K
cmd.exe                      25440                            0      3 024 K
cmd.exe                      8496                            0      2 856 K
tcpvcon.exe                  21956                            0      5 040 K
grep.exe                      5992                            0      1 812 K
php.exe                      26916                            0    15 972 K
cmd.exe                      22264                            0      2 884 K
tasklist.exe                17320                            0      5 980 K

groundhog 21.01.2009 13:31
Танз, если не секрет каким образом ты получил этот контент вхостов? Что-то я не уверен, что в конфигах апача можно выкидывать такие штуки... Мне кажется у тебя битый контент...

TANZWUT 21.01.2009 13:34
groundhog, это на всех серверах у одного из хостеров, в начале прошлого года этим интересовался, щас опять встретил. то что фал не битый 100%. может у них модуль на апач стоит..

groundhog 21.01.2009 13:42
TANZWUT, возможно, просто я не слышал про такие модули, и нигде про такое не писалось... Но ведь API модулей открытое, так что под Apache написать модно что угодно... Ещё идея, что это какой-то процесс типа антивируса висит в памяти и шифрует/мусорит заданные строки... Вот я и спросил - с помощью каких средств ты получил этот вывод, чтобы прикинуть возможность подмены контенты вывода "на лету".

TANZWUT 21.01.2009 13:49
в r57 ставил насвание файла и скачал, через правку или cat - тожесамое...
/me ушёл настраивать сеть, буду ближе к вечеру.

groundhog 21.01.2009 13:59
Даже если на вскидку проанализировать строки:

Код:
DocumentRoot _ev17F8m~29zvp6u;lz0uÇbB<=l>=lf6k|u
php_admin_value _ev1ounwf3:|pBl{#O?7[RW@2[j<wCG@4\h5:[hps?F?2OZFZPPü:24JIcOWü=2QRFJW^ü62[mpsDGC7bn93FztprqY7pl;>GC7bn93Vly~r5hz:UKVdX8luG=5rzwztqpFKD2Wvp|2[RWkP>rwJ55r~swssmD:C5o{w9;rxh8wBsr2w}d:9:i;:ih8m|y|B:=;  Çh;7<j52u}8orv}q@;5rth>q@qt8u}hB7<m=Bqd@:@8krth:yuw|ézz2~b5rth>q@qt8u}hB7<m=Bqd@:@8krth:yuw|ézz2~b5rth>q@qt8u}hB7<m=Bqd
Это уже точно не DES. Если подвергнуть статистическому анализу - DocumentRoot вполне короткое значение... Чтож... Вполне резонно, он не бывает особо длинен. Значение же php_admin_value имеет гораздо более длинную строку чем DocumentRoot, хотя на практике таких значений не бывет (разве что это какой-то очень длинный путь). Очень удивляет одинаковая сигнатура вначале _ev1 и большая вариация символов и знаков... Причём схожих... Они не поддаются статистическому анализу в рамках английского или русского алфавита, что даёт основание полагать, что это не шифр простой замены... Хотя тут надо подумать... Просто если сопоставить, что хостинг виндовый, и обе шифрованные директивы это пути, то сигнатура _ev1 вполне может определять диск, если взять за отправную точку, что это диск H:\ (как и в логах), то можно будет предположить чем это шифровано... Но пока это похоже на мусор...

groundhog 21.01.2009 14:03
Танз, а grep на том хосте был изначально? Или это уже ты положил? Попробуй зазипуй целевой файл и прими архивом... Истина где-то рядом...

GuD-ok 21.01.2009 14:33
Посмотри какие модули подключены.

А вообще похоже апач компилили из исходников с некоторой доработкой(ничего сложного в принципе тут нет). 90% что исходники где-то там и лежат. Надо их найти, и будет тебе щастье)))

Dronga 21.01.2009 14:50
Сомневаюсь, что r57 шелл будет работать при таких disable_functions... Допускаю, что это неактульный файл и ты находишься в чрут окружении.
Вариант с битым контентом тоже имеет право на жизнь..
Бросается в глаза префикс (или суффикс, или постфикс)) _ev1.. Гугль не в курсе.

groundhog 21.01.2009 14:53
GuD-ok, это винда... Я сомневаюсь, что они под виндой компилили апач... Ты сам пробовал это хоть раз делать? :)

GuD-ok 21.01.2009 14:58
Цитата:
Сообщение от groundhog
GuD-ok, это винда... Я сомневаюсь, что они под виндой компилили апач... Ты сам пробовал это хоть раз делать? :)
Пардон, не заметил. А под виндой пробовал((( Я в данной ситуации вероятно не прав.

А что это за хостер такой с апачем на винде?

Dronga 21.01.2009 15:55
Тут справочки навёл, для некоторых языков путь указывыается весьма своеобразно... Пример с японской вистой.. слеш значком ены, остальное тоже в иероглифах))) Так что не исключаю экзотическую версию ОС.. Отсюда и шелл неправильно отображает на наших CP1251 машинах..

Pernat1y 21.01.2009 16:39
System Idle Process тогда по другому назывался-бы, наверное. процесс языкозависимый )

Dronga 03.02.2009 13:56
Цитата:
Сообщение от groundhog
GuD-okЯ сомневаюсь, что они под виндой компилили апач...
=) Вообще-то необходимости компилить Апач под виндой нет, он поставляется уже готовой msi-кой под Win (http://httpd.apache.org/download.cgi)

Dr.Frank 06.04.2009 16:05
недавно столкнулся с такой же проблемой, т.е. в файле host.conf:
Код:
<VirtualHost *>
CustomLog H:/Logs/Apache1/09-04-06.***.log combined
DocumentRoot _ev17B4sz{86;{l}…kw9uЃjC9i;n69l:sЂ{t
php_admin_value _ev1oyhqj7>vj<pu'IC;UL[:6Un6{GKD8`l94_ltwCJC6ITJ^TJ…468NMgS[…76UVJDQX…:6_qtw>K=;\h37JtxtvuSy;tp5BK=;\h37Zp}‚l9l~4YOZhR<poK79v~q~nuj@O>6Qzjv6UL[eT8lqD99vxw{mwq>>=9s{36;vl}Ђpw4u|jC>i@i;9l:s{ЂyC>@6|l328n57||4k{x{nB4<7ynwq{9wЃf;=i9n>5l@>B4svtl:ЃqyЂ‚~~6|f89zh‚ny4{|h?6i:i?7l>>A5k{rl8yr}{{~~6~f<;{l}…kw9uЃjC9i;n69l
php_admin_value disable_functions exec,passthru,system,proc_close,proc_open,shell_exec,popen,pcntl_exec,pcntl_fork
ServerName www.***.ru
ServerAlias ***.ru
</VirtualHost>
ни у кого не появилось новых идей?

Dr.Frank 10.04.2009 15:20
появились некоторые мысли насчет DocumentRoot:
_ev1 - это скорее всего dev1, т.к. все сайты расположены на диске d: (на серваке стоит cygwin)
5 последних символов в пути - это "/http"
дальнейшие мысли уходят в никуда :-(

KaZ@NoVa 10.04.2009 20:51
Цитата:
DocumentRoot _ev17B4sz{86;{l}…kw9uЃjC9i;n69l:sЂ{t
php_admin_value _ev1oyhqj7>vj<pu'IC;UL[:6Un6{GKD8`l94_ltwCJC6ITJ^TJ…468NMgS[…76UVJDQX…:6_qtw>K=;\h37JtxtvuSy;tp5BK=;\h37Zp }‚l9l~4YOZhR<poK79v~q~nuj@O>6Qzjv6UL[eT8lqD99vxw{mwq>>=9s{36;vl}Ђpw4u|jC>i@i;9l:s{Ђy C>@6|l328n57||4k{x{nB4<7ynwq{9wЃf;=i9n>5l@>B4svt l:ЃqyЂ‚~~6|f89zh‚ny4{|h?6i:i?7l>>A5k{rl8yr} {{~~6~f<;{l}…kw9uЃjC9i;n69l

Боженьки ты мой!!! Откуда такой ужас?
насчёт дев вполне возможно, хотя файлам серва в том разделе делать нечего по идее....
а вот с остальным у меня чтото глаза разбегаются

RedAlert 10.04.2009 22:32
А список модулей апача ? Наверняка есть какой то модуль , надыбаем а там попробуем отреверсить (если не сложный алго)

Dr.Frank 11.04.2009 09:00
apache -l
Код:
Compiled-in modules:
  http_core.c
  mod_so.c
  mod_mime.c
  mod_access.c
  mod_auth.c
  mod_negotiation.c
  mod_include.c
  mod_autoindex.c
  mod_dir.c
  mod_cgi.c
  mod_userdir.c
  mod_alias.c
  mod_env.c
  mod_log_config.c
  mod_asis.c
  mod_imap.c
  mod_actions.c
  mod_setenvif.c
  mod_isapi.c

RedAlert 11.04.2009 19:47
В модулях ничего лишнего нет (

Велемир 11.04.2009 21:25
А почему тогда виртуал хост норм отображается ? Смахивает на брата Zenda :D

KaZ@NoVa 11.04.2009 23:09
Это наверняка путь к документ руту. а как он в реале выглядит известно?

Dr.Frank 12.04.2009 06:23
да, несколько правильных вариантов documentroot я нашел:
Цитата:
_ev1/srvh2Ѓo}|zzz2|b|8rmpr{s8uxhAmhkoq?i4qwzs
/home/virtwww/w_sakhmoto-ru_6eeffe43/http

_ev1/srvh2Ѓo}|zzz2|bvhp<o?r8uxhm9i9n?f@4qwzs
/home/virtwww/w_megalait-ru_05fae628/http
_ev1 отсекаем и получается(в этих двух случаях) даже одинаковые начало и конец DocumentRoot. Но так не во всех строчках.

KaZ@NoVa 12.04.2009 19:11
Цитата:
bvhp<o?r8uxhm9i9n?f@4qwzs
b|8rmpr{s8uxhAmhkoq?i4qwzs
Явно некая системная информация, понятная только серву.


Время: 17:06