Příspěvky

1

Server / Re: Odhalení xmrig na serveru

« kdy: 11. 08. 2022, 11:09:20 »

Uz jsem zazil i leaknute heslo od cms, pripadne ftp, bugnutej plugin nebo jeste lepe plugin z backdoorem.

Zkusil bych obecne pro php-fpm zakat veskere exec funkce, vetsina cms to stejne nepotrebuje.
Napr do fpm poolu pridat
php_admin_value[disable_functions] = dl,exec,shell_exec,system,passthru,pclose,proc_open,proc_nice,proc_terminate,proc_get_status,proc_close,pfsockopen,leak,apache_child_terminate,posix_kill,posix_mkfifo,posix_setpgid,posix_setsid,posix_setuid,escapeshellcmd,show_source,pcntl_exec

A pak pri trose stesti bude nekde v logu error ze neco vola zakaznou funkci, jednak se to nespusti a druhak to navede kudy to tam leze.

2

Server / Re: Odhalení xmrig na serveru

« kdy: 11. 08. 2022, 08:41:14 »

Nehledal bych za tim slozitosti, xmrig na serveru nenajdes je jen v pameti. Ma stejne UID jako php-fpm. Dle me tam mas deravej wordpress nebo neco podobneho. Prez to mohou na serveru spustit prikaz a vetsinou se to dela tak ze se stahne binarka, spusti a smaze.

Takze pokud tam je vic webu tak kazdemu idelane vlastni php-fpm s vlastnim uzivatelem a pak velmi rychle poznas prez kterej web to tam leze. Nebo proste vsechny weby vypni a postupne zapinej.

3

Hardware / Re:Arduino a GSM modul SIM800L

« kdy: 15. 04. 2017, 20:19:27 »

Ahoj

co si pamatuji ja s posilanim tak L kovej firmware je locknutej pouze na asii musi se flasnout A nebo B ckovej firmware pak se to zaregistruje zde v EU. Pri flaovani jsem vybral SIMCOM 900B a strcil tam ten firwmware, pak se na modemu zmacne soft reset pin (pripadne se pripojni na zem) a zacne flash kterej nejdriv celej modem smaze cca 5 minut a pak flasne cca 5 min. Po resetu by se pak mel normalne zaregistrovat. Pokud se to v prubehu resetu podela( ala modra smrt) nic se nedeje, bootlader se neprepisuje a muze se cely proces opakovat.