問題タブ [malware]

自分の Eclipse IDE がポート 42540 をリッスンしていることに愕然としました。この数週間、多かれ少なかれ有用なプラグインをいくつかインストールしました (そして、それらのいくつかを削除しました)。そのうちの 1 人がこのポートをリッスンしているかもしれませんが、私はそうは思わない/望んでいません。現在、以下のプラグインがインストールされています。

• Eclipse カラーテーマ 0.11.0.201104281646 com.github.eclipsecolortheme.feature.feature.group
• Javascript 開発者向け Eclipse IDE 1.3.2.20110218-0812 epp.package.javascript
• FontsFeature 1.0.4 FontsFeature.feature.group
• Eclipse 用 PyDev 2.0.0.2011040403 org.python.pydev.feature.feature.group
• Pydev Mylyn 統合 0.3.0 org.python.pydev.mylyn.feature.feature.group

Eclipse はポート 42540 で HTTP 要求に応答しません。ポート 42540 でリッスンするのは意図した動作ですか? このポートでリッスンしている Eclipse を停止するにはどうすればよいですか?

パラノイアでごめんなさい。

私はphpWebサイトで作業していますが、マルウェアに定期的に感染しています。すべてのセキュリティ手順を実行しましたが、失敗しました。しかし、私はそれが私のコードに毎回どのように感染するかを知っています。これは、私のphpインデックスファイルの先頭に次のように表示されます。

サーバーフォルダにあるすべてのインデックスファイルの開始ブロックコードを削除するにはどうすればよいですか？これにはcronを使用します。

javascriptマルウェアを削除するための正規表現の質問をすでに受けましたが、必要なものが見つかりませんでした。

これは私のサイトに常駐するマルウェアで、非常に悪質です。

これは私のサーバー上のすべてのindex.phpファイルで修正されました.sshまたはcentosのリモートですべてのindex.phpページをクリーンアップしたいのですが、単純なphpコードと正規表現(多分)で可能だと思います.これが必要です.スクリプト [英語が苦手でごめんなさい]

本当にありがとう

現在、msvcp60.dll からいくつかの関数をインポートする実行可能ファイルを逆にしています。IDA Pro で実行可能ファイルを開くと、関数名が非常に長く、何をしているのかについてのヒントがありません。これらの機能をすべて逆にするのは、今のところ時間の無駄です。

これらの関数の意味のある名前を取得する方法、または少なくとも IDA に表示されたリストを解釈する方法はありますか? 関数の例を次に示します (コードのアドレス 0040377C での呼び出し)。

これが初心者の質問なら許してください、しかし私は正直に困惑しています。

Wordpressでホストされている私のサイトは、いくつかの悪意のあるもののためにブラックリストに載せられました。これまで、unmaskparasites.com、google webmasterツール、およびsucurisitecheckを試しました。私は（私が思うに）問題のほとんどを.htaccessのいくつかの条件リダイレクトに絞り込みました。これは私が見つけたものです：

だから、私は明らかにこれがクールではないことを集めました。.htaccessを標準のワードプレス形式に編集してみました。

しかし、それはうまくいきませんでした。これを修正するためのより良い方法はありますか？それともそれだけの価値はありませんか？.htaccessについてはよくわからないので、ちょっと戸惑っています。また、新しい.htaccessファイルのアップロードにも問題があります。

ワードプレスの.htaccessファイルのリセット、悪意のあるものの削除、または私がまだ知らないかもしれない他の何かについてあなたが持っているどんな助けでも、私はそれを本当に感謝します。

最近、私は Web 攻撃の被害者でした。この攻撃は、さまざまな PHP サーバーの変数を取得し、それらを攻撃者の Web サイトに転送したようです。(訪問者/ウェブサイト、リファラー、ユーザーエージェントなどの IP) 次に、URL 要求を送信したファイルを取得し、それをソースに echo() します。

この種のリクエストがたくさんあることは承知していますが (主に貧乏人の XSS 試行として)、私は JS の経験があまりないので、ここで助けていただければ幸いです。それが何をしたかを理解するのにPHPのスクランブルを解除するのに数時間かかり、ダミーの情報を渡した後、これが返されました（ソースにエコーされていました）

この件についてお時間をいただき、ありがとうございます。

顧客のコンピューターで Client.jar ファイルを見つけました。このファイルには、次の 2 つのファイルに逆コンパイルできる 2 つの .class ファイルが含まれています。

クライアント.java

I.java

さらに、16 進エディタで見ると明らかに GIF ではない I.gif があります。

それらは明らかに難読化されており、私は Java にはあまり興味がありません。VM で実行しようとしましたが、「Client.jar から Main-Class マニフェスト属性を読み込めませんでした」と表示されます。

メインクラスがマニフェストにない可能性がありますが、これを修正するにはどうすればよいですか? これは、顧客のコンピュータで実行できなかったということですか?

ファイル MANIFEST.MF、ME.DSA、ME.SF を含む META-INF フォルダーもあります。

MANIFEST.MF は次のようになります。

サンドボックスまたは VM で実行して、これをさらに分析したいのですが、どのように実行すればよいでしょうか?

これは明らかにある種のマルウェアであるため、専門家のみがこれに回答する必要があります。前もって感謝します！

私はマルウェアであると思われるコードを逆コンパイルしており、それが何をするのかを理解しようとしています。特定のウィンドウ タイトルを検索し、そのウィンドウの名前を使用して残りの命令をデコードします。一般的なウィンドウ タイトル (メモ帳、Document1 - Microsoft Word など) のリストを実行して、適切なウィンドウ タイトルを見つけようとしました。

Python で使用するハッシュを書き直しました。

値が 0x2227205 になる文字列を探しています。ハッシュ関数を見ると、一方通行で衝突しているように見えます。取得しようとしているウィンドウのタイトルを見つける良い方法は何ですか? マルウェア防止サイトに一般的なウィンドウ タイトルのリストはありますか? 辞書攻撃を実行する必要がありますか? 最善のアプローチは何ですか？

私は特定のマルウェア サンプルを分析しており、explorer.exe のプロセス メモリに書き込み、コードを実行するために、次のことを行っているようです:-

1. OpenProcess (explorer.exe 上)
2. NtAllocateVirtualMemory
3. NtWriteVirtualMemory
4. ハンドルを閉じる
5. CreateRemoteThread
6. WaitForSingleObject
7. GetExitCodeThread

ここでやりたいことは、explorer.exe で新しく作成されたスレッドにデバッガーを接続し、そのエントリ ポイントからデバッグすることです。それは可能でしょうか？

どうすれば同じことをすることができますか？

Web サイトでリダイレクトを引き起こしているマルウェアを見つけようとしています。ほとんどの場合、header("location: ...") を使用しているので、header() を呼び出しているスクリプト ファイルを特定する方法があるのではないかと考えています。

どんな助けでも大歓迎です