問題タブ [malware]

最近、私のLinuxサーバーがマルウェアに感染し、その結果、100以上のファイルが1行のJavascriptコードに感染しました。

手動で削除するには疲れすぎるので、グーグルを掘り下げて（Linuxについてあまり知らなくても役に立たなかった）、この目的でsedを使用できることがわかりました。

残念ながら、私はラインを逃れることができなかったので、私は使うことができました

構文では、一重引用符、二重引用符、円記号でいっぱいです。

どうすれば文字列をエスケープできますか、またはこれを行う他の-より簡単な-方法はありますか？

私のウェブサイトでは、ユーザーが投稿に外部画像を添付できます。イメージのホスト サーバーにマルウェアがある場合があります。

私のウェブサイトには、この Google マルウェアの警告が表示されます http://media.photobucket.com/image/google%20malware%20warning/unfuccwittable/MalwareWarning.jpg

これを防ぐために私にできることはありますか？私のウェブサイトでの画像の表示を許可する前に画像をチェックするphpコードのように？

1年以上電源がオフになっていた古いWindowsXPPro（SP3）ワークステーションでウイルスを処分するように指示されました。クリーンアップできた（Malware Bytes、SpyBot、Symantecなど）か、そう思いました。

ハブでトラフィックをスニッフィングしても何も表示されないため、ウイルスは実際に休止または除去されているように見えます。また、*。microsoft.com、symantec.comなどを参照できないことを除いて、ワークステーションで他の症状が発生していることもありません。まだInternetExplorer内から。

IEやhostsファイルなどでプロキシ設定が変更されるという通常の容疑者以外に、Internet Explorerでのアクセスを制限できる場所は他にありますか？アドオンがロードされていないようで、不正なプロセスが実行されていることもわかりません。

注：実行する別のツール（つまり、コンボフィックス）は探していませんが、これらの制限を実装する方法と場所に関する技術的な詳細を探しています。つまり、TCP / IPスタック、レジストリキーなどにフックします。

あまりにも多くのアクセス許可を要求するプログラムを実行したいとします。たとえば、マイクから録音したり、電話のIMEIを読み取ったりします。ただし、データマイニングを除いて、この特定のアプリケーションでマイクまたはIMEI番号からの録音が必要な理由についての実際的な説明はありません。

このアプリを試してみたいのですが、権限を制限しています。たとえば、IMEIを読み取る場合、ランダムなIMEIを取得する必要があります（ただし、毎回同じです）。マイクを読み込もうとすると、無音になるはずです。

その他の興味深い権限：

1. 電話帳の読み取り/書き込みアクセス-連絡先をゼロにし、書き込みはOKのふりをしますが、実際には何もしません。
2. SMSの送信-SMSが送信されたふりをしますが、何もしません。
3. 表示されているWi-Fiネットワークのリストを取得します-ゼロネットワークを返します。

明らかに、ツールにはルート化された電話が必要です。そのようなツールはありますか？

私は約2か月間、Windows XPHomeSP3で多額のプロセス作成ペナルティを享受してきました。問題は、シェルスクリプト（ちなみに、Cygwin上のbashスクリプト）、Makefile、SpringSource Tool SuiteインストーラーなどのIzPackパッケージの解凍（多数の個別のunpack200.exeJAR抽出プロセス）など、多くのプロセスを作成するタスクで最も明白で厄介です。 ）。bashスクリプトの診断出力を監視するか、タスクマネージャーにプロセスが表示されるのを監視することで、プロセスが作成されると確信しています。プロセスが稼働すると、目立った遅延はありません。

Cygwinのみが影響を受けていると最初に誤って考え、Cygwin DLLのバグを疑っていたため、Cygwinメーリングリストでその問題を報告しました。

Win32（XPホーム）での更新後の速度低下- （Cygwinリストへの私の投稿へのリンク）

Windowsに存在すると思われるプロセス作成フックに何かががらくたをインストールしたのではないかと思います。（Javaのセキュリティマネージャと同様です。）ウイルス、またはセキュリティソフトウェア？私も意識的にインストールしていません。また、Microsoft Updateの不具合も疑われましたが、今では修正されていると思います。

私の知る限り、Win32のプロセスはによって作成されCreateProcessます。

プロセスの作成に時間がかかる理由と、ここで何が起こっているのかをどのように知ることができますか？Linuxのようなものstrace、あるいはもっと良いものはありますか？

この Web サイトは、次のアドオンを実行しようとしています: Adob​​e Flash Player from ...

ページでフラッシュを実行していないのに、なぜこれが発生するのでしょうか?? ありがとう

私はただ興味があります。私はいつもCやアセンブリがウイルスに選ばれる言語だと聞いていますが、lispやschemeのようなもっと難解な言語もそれに使用できるのではないかと思います。

サポートベクターマシン（SVM）を使用して、Androidプラットフォーム用の悪意のあるアプリケーションを検出できるアプリケーションを開発しようとしています。「logcat」および「strace」ツールから多くのシステム情報を取得できますが、実際の悪意のあるアプリケーションを検出する方法がわかりません。これらのツールを使用してデバイスの通常の動作の使用を確立/記録する方法を知っている人はいますか？つまり、デバイスから情報を取得し、動作パターンを設定します。

よろしくお願いします

私のウェブサイトwww.safwanmanpower.comは、各ページのマルウェアスクリプトによって攻撃されています。このスクリプトが私のウェブサイトのマルウェアにどのように影響するかは誰にもわかりません。

迅速で前向きな反応を期待しています。

編集

アップロードの許可なしにsumoneが私のWebサイトを攻撃する方法は??

We have a web site builder in use by thousands of users, and for some reason, our web servers are receiving a glut of requests to the urls "inherit" and "null". We have no idea what is carrying out these requests. It's happening pretty frequently, though still for a minority of the time, and they come from multiple customers. Here's what we've ruled out:

1. Our web sites do not appear to contain any links to "inherit" or "null" URLs, so we don't think our AJAX code is making the requests. None of us are able to get this to happen from our web browsers. Our belief that there are no links to these URLs in our page is boosted by the fact that some of the bad URLs are appended to the ends of URLs that appear to have belonged to web sites that used to be hosted elsewhere.

2. We don't think a bot is responsible. Most of the bad requests are from authenticated customers.

3. We don't think a common web browser is performing these requests. I've visited the site in IE 8, IE 6, Firefox, Chrome, Safari (both Windows and Mac), and Opera.

My favored theory is that there is a very common browser plugin/extension, an uncommon-but-common-enough web browser, or some malware that is making these requests as users browse/admin their sites. Have any of you seen requests of this form before? Where are these coming from?