CMSdetektor - program do rozpoznawania CMS

[Przemo32]

PROFIL   DLE

 

 

<?xml version="1.0"?>
<FiltrCMS>
    <JakieZadanie>Rozpoznawanie formularza rejestracjiPROFIL DLE</JakieZadanie>
    <SciezkiPrzeszukiwania>
        <sciezka>/index.php?do=register</sciezka>
    </SciezkiPrzeszukiwania>
    <MuszaWystapic dopasowanie="wszystkie">
        <szukanyciag>name="login_name"</szukanyciag>
        <szukanyciag>name="login_password"</szukanyciag>
        <szukanyciag>name="login"</szukanyciag>        
    </MuszaWystapic>
    <NiemogaWystapic dopasowanie="jedenznich">
    </NiemogaWystapic>
    <PomijaneDomeny>
    </PomijaneDomeny>
</FiltrCMS>

[Mion]

Panie Przemku - dobrze by było te footprinty wklejać jako  < > [ kod], co da ich formatowanie.

Poza tym dziękuję w imieniu userów programu CMSDetektorNET za ich zamieszczenie 

 

[Oxan_20]

Soft nie obsługuje znaku "&" ?

 

 

[Mion]

Obsługuje, ale  & jest znakiem specjalnym, wiec trzeba zamienić w tym kodzie na encje html

&

[automatyk]

 

następny soft do szpiegowania

Jak Jakubie piszesz nadgorliwi admini wysyłali 2 x abuse jak testowałem na formularzy zakładania blogów multiwp

 

Sam jestem ciekaw, co zostanie dla w/z footprinta, więc robię publiczny test  na dwóch VPS'ach będzie to samo...

Na starcie ~736 K załadowanych rożnej maści URL domen z masowego harvestowania ogólnymi footprint'ami.

 

 

Coraz bardziej upierdliwi ci admini. Ja właśnie dostałem abuse za sprawdzanie obecności formularzy rejestracyjnych :/ Tylko zapytania GET, i tylko tyle co te wymienione w informacji (aż 4) i już "malicious activity against Web server".

 

Witamy,

 

Otrzymaliśmy informacje, że komputer o adresie IP ( xxx - przydzielonym na czas połączenia [usługa Neostrada] ) jest źródłem (lub pośredniczy) w zdarzeniu dotyczącym nieautoryzowanych prób połączeń (malware/apache-attack). Niewykluczone, że komputer jest zainfekowany. Poniżej dołączono oryginalne zgłoszenie (przykładowe logi).

 

Prosimy o podjęcie odpowiednich działań eliminujących przyczyny/źródło zaistniałego zdarzenia (np. poprzez sprawdzenie komputerów na obecność złośliwego oprogramowania) oraz potwierdzenie otrzymania informacji. Będziemy również wdzięczni za poinformowanie nas o podjętych działaniach.

 

Jeśli ten e-mail powinien trafić do innej osoby (odpowiedzialnej za utrzymanie tej sieci) będziemy wdzięczni za przekazanie i poinformowanie nas o tym.

 

Więcej informacji:

https://cert.orange.pl/baza

 

Więcej informacji o złośliwym oprogramowaniu i walce z nim:

https://cert.orange.pl/baza/malware

 

Pozdrawiamy,

Zespół CERT OPL

 

=================================

CERT Orange Polska

E-mail: cert.opl@orange.com

Tel.: +48 22 887 17 88

https://www.cert.orange.pl

=================================

Prosimy o umieszczenie nadanego ciągu znaków, w temacie ewentualnych kolejnych wiadomości, dotyczących tej sprawy. /

Please include the string, in the subject line of all future correspondence about this issue.

---------------------------------

Treść tej wiadomości zawiera informacje przeznaczone tylko dla adresata. Jeśli nie jesteście Państwo jej adresatem, bądź otrzymaliście ja przez pomyłkę, prosimy o powiadomienie o tym nadawcy oraz trwale jej usunięcie. /

The content of this message contains information intended only for the addressee. If you are not the addressee, or have received accidentally, please delete it permanently and notify the sender.

---------------------------------

 

---- Wiadomość przekazana

 

Temat: xxx: malicious activity against Web server

Data: 2016-01-04 20:15:42

 

You are receiving this message because you are listed as the contact

for the networks below.

 

This message is intended for the person responsible for computer

security at your site.  If this is not the correct address, please

forward this message to the appropriate party.

 

Our logs show that malicious attempts, targeting well-known webserver

vulnerabilities, were made from your network against servers in our

domain.  This is definitely not an authorized request and we view it

as an attempt to compromise our network.

 

Either your machine has been compromised and is now being used to

launch hostile activity, or a legitimate user is engaged in activity

that is probably in violation of your terms of service agreement.  In

either case, please investigate this matter.

 

At the bottom of this message we have attached parts of our logs in

order to help you investigating.

 

 

########################################################################

 

# begin logs

xxx - - [yyy] "GET /wp-login.php?action=register

HTTP/1.1" 404 6143 "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:38.0) Gecko/20100101

Firefox/38.0"

xxx - - [yyy] "GET /wp-login.php HTTP/1.1" 404 6143

"Mozilla/5.0 (Windows NT 6.1; WOW64; rv:38.0) Gecko/20100101 Firefox/38.0"

xxx - - [yyy] "GET

/index.php?option=com_user&view=register HTTP/1.1" 404 6143 "Mozilla/5.0 (Windows

NT 6.1; WOW64; rv:38.0) Gecko/20100101 Firefox/38.0"

xxx - - [yyy] "GET

/index.php?option=com_user&view=register HTTP/1.1" 404 6143 "Mozilla/5.0 (Windows

NT 6.1; WOW64; rv:38.0) Gecko/20100101 Firefox/38.0"

# end logs

 

########################################################################

 

 

 

[Mion]

Coraz bardziej upierdliwi ci admini. Ja właśnie dostałem abuse za sprawdzanie obecności formularzy rejestracyjnych

Dokładnie. Wielki problem, że klient wykonał żądanie GET .....

Trzeba zmienić User Agenta na ten od G boot, to może nie będą, aż tak nadgorliwi ... a jeszcze lepiej korzystać z sprawdzonych "SEO" hostingów jak ten astrovm https://astrovm.net/klient/cart.php?gid=7

[Przemo32]

<?xml version="1.0"?>

<FiltrCMS>

<JakieZadanie>Rozpoznawanie formularza rejestracji PHPMelody </JakieZadanie>

<SciezkiPrzeszukiwania>

<sciezka>/register.html</sciezka>

</SciezkiPrzeszukiwania>

<MuszaWystapic dopasowanie="wszystkie">

<szukanyciag>name="login_form" </szukanyciag>

<szukanyciag>name="pass"</szukanyciag>

<szukanyciag>/register.html</szukanyciag>

</MuszaWystapic>

<NiemogaWystapic dopasowanie="jedenznich">

<szukanyciag>captha</szukanyciag>

</NiemogaWystapic>

<PomijaneDomeny>

</PomijaneDomeny>

</FiltrCMS>

[Mion]

Jedna mała uwaga dla użytkowników w moim testowym footprint było / jest captcha przez "h"

<NiemogaWystapic dopasowanie="jedenznich">
   <szukanyciag>captha</szukanyciag>    
</NiemogaWystapic>

Ale jak ktoś faktycznie nie chce z kapczą to trzeba zapisać poprawnie:

<NiemogaWystapic dopasowanie="jedenznich">
     <szukanyciag>captcha</szukanyciag>    
     <szukanyciag>recaptcha</szukanyciag>    
     <szukanyciag>g-recaptcha</szukanyciag>    
</NiemogaWystapic>

Choć wystarczy dać samo:

<NiemogaWystapic dopasowanie="jedenznich">
     <szukanyciag>captcha</szukanyciag>  
</NiemogaWystapic>

[Przemo32]

Po parodniowych testach ,polecam program przydatny. Można sobie ładne listy zrobić o dobrej skuteczności.

[RTS]

Ma ktoś filtry na wymianę?

[MaxPan]

Zrób na forum Xneolinks temat i tam wymieniajcie się, nie ma sensu świecić kodami na otwartym forum, szczególnie do "malo popularnych" CMS

 

 

p.s zrobiłem 

https://xneolinks.com/forums/topic/826-szablony-do-cmsdetektor-program-do-rozpoznawania-cms-wymiana-spzerdaż-za-darmo/

[RTS]

Ja wiem, mam w planach udostępnić na forum xneolink, w sumie to miałem pisać do Ciebie w tej sprawie.

[MaxPan]

Co więcej poproszę koderów z ekipy xneo jak będą mieć wolna chwilę żeby napisali parę szablonów i wyłożyli za darmo. Bo to co Pzremo32 wyłożył na przykład do DLE to nie jest do końca to co ma być, w DLE Xneo obsługuje 4 typy forum, każdy ma inne fotosy.

[Mion]

to co Pzremo32 wyłożył na

To włożył "Przemo" ... parafrazując one nie pochodzą z autoryzowanego serwisu obsługi... 

Jak już pisałem każdy z użytkowników programu CMSDetektor Linux /NET może się do mnie zgłosić z prośbą o przygotowanie dedykowanych footprint pod konkretny skrypt. Z tym, że jak ktoś znalazł unikalne miejscówki - typ skryptu i uważa, że są to jego prywatne odkrycia powinien mnie uprzedzić gdyż w takim wypadku przygotować  footprint się nie podejmę. Ma, to na celu uniknięcie kwestii spornych "o prawa do odkrycia" na wypadek gdyby mój program taki typ również obsługiwał.

 

[MaxPan]

Tu nawet nie chodzi o prawa do odkrycia, ale napewno czym mniej osób spamuje miejscówkę tym lepiej. Ja taki szablon to taka mapa drogowa jak tam trafić