問題タブ [trojan]

MitB 攻撃について読んでいて、これについていくつか心配しています。

ウィキから：

強力な認証ツールを使用すると、取引が安全であるという顧客と銀行の両方の側で見当違いの信頼が高まるだけです。

MitB 攻撃に対抗する最も効果的な方法の 1 つは、帯域外 (OOB) トランザクション検証プロセスを使用することです。これは、ホスト (銀行) が受信したトランザクションの詳細を、ブラウザー以外のチャネルを介してユーザー (顧客) に検証することにより、MitB トロイの木馬を克服します。

したがって、これを明確にすると、本当に安全な唯一の方法はブラウザ以外の確認方法です。（電話やその他の外部ツールなど）

電子メールは OOB トランザクションとしてカウントされますか? または、MitB が偽のメールを送信する可能性はありますか?

コードだけで MitB を防ぐ方法はありますか?

編集: 私たちのローカル バンキング システムは物理的なキー生成システムを採用しているため、番号を取得するにはプッシュしてから、その番号をトランザクション フォームのフィールドに入力する必要があります。

MitB攻撃は、あなたがしたことすべてが安全で正しいように見せかけているように見えるので、それが安全と見なされるかどうかはわかりませんが、実際に起こったことは、送信時にフォームデータが変更され、現在別のデータに転送されていることです銀行口座。したがって、この keygen 番号にアクセスできます。

OllyDbg のようなものを使用して、トロイの木馬のような特徴を持つ可能性のあるプログラムを調べることに興味があります。

これを安全に行う方法についての良いチュートリアルを知っている人はいますか?

基本的に、このプログラムはビデオ ゲームの「ボット」ですが、バック ドアがあるか、収集した情報 (パスワードなど) をリモート サーバーにアップロードする可能性があると思われます。

接続しようとしている URL や IP を見つけたり、接続を阻止したりしたいので、これはプログラムの典型的な「クラッキング」よりも少し具体的だと思います。私は主に、それが行っている可能性のあるネットワークベースのことを探し出し、それらを防止するか、それが成功したと思わせることに興味があります。

また、暗号化されたネットワーク トラフィックを詮索する方法にも興味があります。プログラムがネットワーク経由で送信するものを暗号化するために使用する暗号化キーとアルゴリズムを特定するにはどうすればよいですか? （ゲームサーバーとの通信をエミュレートするサードパーティクライアントの作成に興味があり、使用されているキーを発見する方法を知らなければそれを行うことができないため、私は尋ねます）

私は最近JavaScriptをたくさん使って遊んでいて、デバッグできないJavaScriptに出会うことはできないと考え始めました。

さて、私は今日、私たちの会社のWebサイトで多数のJavaScriptリダイレクトトロイの木馬を発見したとき、嬉しい驚きと怒りを覚えました。

私たちが見つけたコードのほとんどは、コード機能を難読化するために簡単に分析し、標準のエスケープを使用することができました。

しかし、コードの中で、以下のコードがその動作に完全に困惑していることがわかりました。（私が解決しているように見える唯一の部分は、いくつかのパラメーターを置き換えていることです）。

それで、誰かが私のために次のコードを分析するのに十分親切にしてくれませんか？何が起こっているのかを正確に知りたいです...

したがって、私のサイトは、サイト内のスクリプトに付着したある種のトロイの木馬またはウイルスに感染していると確信しています。Drupalベースのサイトを更新しようとするたびに、このばかげた「i'mhere」メッセージが表示された白い画面が表示されます。リロードすると、変更が有効になりますが、変更が保存されると、これが何をしているのかわかりません。これは、サイトの管理、IEによる新しいコンテンツの投稿、モジュールのアクティブ化/非アクティブ化などのときにのみポップアップします。

問題は、これを削除する方法や場所がわからないことです。ソースコードは悪意のあるコードを参照していません。この問題の答えを見つけようとして私が見たのは、iFrameリンクの種類のトロイの木馬ではありません。

私が試したこと：

-コンピュータを複数回スキャンしてウイルスを検出しました（おそらく、これらは安全でないFTPデータを攻撃し、クライアントを乗っ取って悪意のあるコードをアップロードします）

-FTPクレデンシャルを変更しました

-管理者ユーザーのパスワードをサイトのバックエンドに変更しました（Drupalログイン）

-Drupalを更新しました

これまでのところ何も機能しておらず、私はこれを理解しようとしています。正しい方向へのヒントをいただければ幸いです。

私のウェブサイトはトロイの木馬のスクリプトに感染していました。

誰かが「x76x09.php」または「config.php」というファイルを作成/アップロードして、私のWebスペースのルートディレクトリに入れました。サイズは44287バイトで、MD5チェックサムは8dd76fc074b717fccfa30b86956992f8です。Virustotalを使用してこのファイルを分析しました。これらの結果は、「Backdoor/PHP.C99Shell」または「Trojan.Script.224490」であることを示しています。

このファイルは、作成されたのと同じ瞬間に実行されました。したがって、それは自動的に発生したに違いありません。このファイルは、私のWebスペースのすべてのindex.phpの最後に次の悪意のあるコードを追加しました。

そのコードが私のページに表示された後、ユーザーはFirefoxで青いパネルがポップアップすることを報告しました。プラグインをインストールするように依頼しました。現在、それらの一部はPC上にExploit.Java.CVE-2010-0886.aを持っています。

allow_url_fopenとallow_url_includeをオフにしましたが、感染は発生しました。そして私のホスティング業者は、ファイルがFTP経由でアップロードされなかったと言っています。

だから私の質問は：

• 悪意のあるコードは何をしますか？どのようにエンコードされますか？
• リモートファイル（"x76x09.php"または"config.php"）はどのようにして私のWebスペースに届きますか？SQLインジェクション？自分のPCでウイルス？
• 将来、このような攻撃からWebサイトを保護するにはどうすればよいですか？

事前にどうもありがとうございました！本当に助けが必要です。

この質問も同様です。しかし、それはレポートのようなものです。最初からウイルスだとは知りませんでした。したがって、ここでのこの質問はウイルス自体に言及していますが、他の質問には言及していません。

安全でない可能性のあるコードを配布する新しい傾向に気づきました。透かしを入れた画像をサーバーに投稿し、ファイル名を.HTAファイル拡張子に変更することを提案します。

.HTAはHTMLアプリケーションファイルであり、Microsoftのロジックによって暗黙的に信頼されており、Webベースのほぼすべてのことを実行するコードを含めることができることに気付きました。お気に入りのテキストエディタでファイルを開いたところ、驚いたことに、画像ファイル内にJavascriptコードが含まれていました。

ソースコードの下にも文字化けした画像データがあります。これは単なるスニペットです。

画像ファイル形式を壊して表示できなくすることなく、JavaScriptコードを画像ファイルに追加する方法を知りたいと思います。私はこれを私の同僚の何人かに提示しました、そして彼らは等しく困惑しました。

私は FlashDevelop で自分自身をセットアップしています。このページ(Windows インストーラー)から Haxe (使用したい言語) をダウンロードしてインストールしました。ダウンロードしたインストーラーのディレクトリ (まだ実行していません)。間違ったサイトからダウンロードしましたか? 偽陽性ですか？

ウイルスに感染していることがわかっている.exeをアップロードして、リモートで実行できるサービスはありますか？

ありがとう

Windows でタスクを実行するために複数の人が JAR ファイルを送信したソフトウェア ソリューションを評価したいと考えています。

JAR ファイルが、マシン上で実行すると主張するもの以外に、望ましくない動作を実行するかどうかを確認することはできますか?

ライブウェブページで不明なコードを見つけました。また、共有ウェブホスティングスペースでホストされているいくつかのウェブサイトが不思議なことに削除されていることに気づきました。

見つかった不明なコードは、画像形式で以下に表示されます。これがどのようなコードであり、これらのコードがWebページに追加されないようにするにはどうすればよいかを更新してください。