问题标签 [malware-detection]

我们必须开发在 Windows Server 2008 R2 服务器上的 WebLogic Server 12.2.1 上运行的 Java Web 服务。Web 服务允许客户端以 BASE64 格式向其发送文件，然后 Web 服务将对其进行解码，然后使用解码后的二进制文件在服务器上创建实际文件。

服务器安装了趋势科技防毒墙网络版客户端，我被告知它将扫描复制到服务器的任何文件。如果我正在写入磁盘的二进制文件包含病毒，那么病毒检测会立即导致 IO 写入失败吗？我不确定何时会进行病毒扫描。是在服务器上创建文件时立即进行，还是在服务器上已经创建文件之后？

我需要知道这一点，因为如果客户端发送的文件包含恶意软件，我们希望 Web 服务向客户端发送警报。因此，Web 服务如何确定趋势科技防毒墙网络版客户端未检测到病毒？

谢谢。

由于恶意软件检测，我的网站被谷歌阻止。我从服务器上删除了所有文件，并上传了干净和扫描的文件，但我仍然得到相同的恶意软件检测页面。我与服务器人员交谈过，他们说他们与此无关。我已经尝试了其他所有方法来删除标志，但徒劳无功。这是该网站的屏幕截图。 https://gyazo.com/e396ab2d475f1aaf5ccb75884fdadb7f

任何人都可以帮助我如何从谷歌中删除恶意软件标志吗？

谢谢

在 cuckoo 中提交二进制文件进行分析时，它似乎没有做任何事情。我能够在虚拟机和主机操作系统（Ubuntu 14.04 LTS）之间进行 ping，python 2.7 和 PIL 安装在虚拟机（Windows 7 32 位）上。Cuckoo 能够启动 VM 快照，但它似乎并没有实际发送文件。从主机操作系统执行 curl 可以让我在 Windows 7 VM 中运行的 agent.py 上输出。这是我在调试模式下运行 cuckoo.py 时得到的输出，以及 submit.py 的输出

我有一个被黑客入侵的网站。我们恢复了它，一切似乎都很好。但谷歌一直说该网站上的一个页面仍在提供恶意链接。但他们不会具体说是哪一页。所以我的问题是，有没有办法下载所有站点文件并进行字符串搜索？

如果可能的话，我想在 localhost 上执行此操作。

当我访问这些网站时，这个广告软件显示了太多的广告，它覆盖了所有的网页。我试图卸载它，并通过 chrome 扩展程序阻止它，但它不起作用。我尝试了不同的软件来删除它，即使我卸载了 chrome 并安装了一个新的 chrome，它仍然显示大量广告。我应该怎么办？请帮忙。

出于效率原因，我试图在单个来宾 VM 中同时运行多个示例，这将比分布式布谷鸟解决方案或使用几个来宾 VM 更有效。

例如，要提交几个 URL，它们将在 Cuckoo 的几个选项卡（IE 或 FF）中打开，因此我不需要为每个 URL 运行一个干净的 VM。

然后，如果在任何 URL 中检测到任何恶意活动，我将找到该恶意 URL，并使用所有其他 cuckoo 插件和模块等对其活动进行更深入的检查。

你能想出一种用杜鹃制作的方法吗？或任何解决方法？

我的用例是我有很多样本，但只有极少数是恶意的，因此为每个样本运行一个 VM 将浪费资源。

我在 Google Chrome 中收到通知

前面的欺骗性网站 {mysite-here} 上的攻击者...可能会诱使您做一些危险的事情，例如安装软件或泄露您的个人信息（例如密码、电话号码或信用卡）。

谷歌网站管理员工具提供的信息：

有害内容 请求处理中 Google 在您网站的某些页面上检测到有害内容。我们建议您尽快将其删除。在此之前，当用户从您的网站访问或下载某些文件时，Google Chrome 等浏览器会显示警告。

恶意内容 这些页面包含有害内容。不幸的是，无法隔离页面内的恶意代码。

显示的示例 URL 之类的页面会导致有害下载或包含将浏览器定向到恶意软件、不需要的软件或社会工程内容的代码。有害内容的来源可能是这些 URL 上的嵌入广告或其他第三方内容。不幸的是，无法隔离页面内的恶意代码。

谷歌还提供了一些关于受感染页面的信息，但实际上没有什么可看的：

想到两个问题：

1. 为什么谷歌与信息不一致。谷歌浏览器页面谈论网络钓鱼，但网站管理员工具谈论恶意代码和有害网站。这是两个不同的东西？

2. 接下来做什么？如何调试/解决此问题。我们删除了所有不必要的图片，我们在语义上改进了网站，没有给出任何将该网站视为网络钓鱼网站的理由。但谷歌仍然表示将网站标记为有害，并且目前 - 在最后一个版本之后 - 网站管理员工具表示审查正在进行中。

是否有一些测试套件可以解决此问题。

该站点不使用任何框架，它是带有自定义 mini-MVC 框架的 XAMPP 上的 PHP。也许我们网站的逻辑是这样的，谷歌将其视为网络钓鱼网站？可以吗？谷歌是唯一在我们的网站上发现了一些东西的网站，所有其他测试网站都报告没有问题。

我有两份静态和动态恶意软件分析报告，在我的静态报告中确实有一些 MSVCRT 的 dll 的 API（例如 _p_commode,_setusermatherr ，...）在动态报告中没有。我不知道动态报告中是否有等效的 API？为什么他们不在动态报告中？

我不知道这是否是问这个问题的正确地方，如果不是，请告诉我。

我最近有一个项目将网站从一个主机（不知道是哪个主机）移动到一个新主机（hostgator）。我这样做了，一天之内就收到了来自 hostgator 的邮件，说该网站已被阻止，因为在服务器上发现了恶意文件。他们给了我一份包含“恶意软件”的 php 文件列表。我打开它们，肯定有一些不寻常的东西。有一个巨大的十六进制字符串（以下称为THE STRING）分配给一个全局变量，并且在它下面有更多的乱码。

我试图理解代码，我所理解的都写在评论中

所以最后它使用了一个preg_replace函数来替换一个字符串，但是这段代码的目的是从中实现什么，它没有做任何事情，甚至没有echo'ed它。是不是要消耗CPU时间？/e修饰符与它有什么关系吗？

我想提到的另一件事是文件中有更多代码，普通代码。这些不是垃圾文件，它们是网站的管理文件，用于管理网站，如添加或删除内容等。

此外，所有文件并不完全相同，它们具有不同的字符串，并根据字符数提取不同的部分。

知道它是什么吗？

编辑：我发现了一个类似的问题，其中发布了清理后的版本并进行了详细解释

我的 WordPress 网站上有一个恶意脚本，在我的源代码中随机出现和消失

我有自定义设计的 footer.php 文件，我发现脚本以某种方式回显到页脚中，因为如果我从页脚中删除，那是我那里唯一的脚本，那么恶意脚本将不再出现。

我一直用这个来寻找病毒的来源，至今没有成功。寻找 。-name " .php" -exec grep "base64" '{}' \; -print &> b64-detections.txt 找到 . -name " .php" -exec grep "eval" '{}' \; -print &> eval-detections.txt

任何人都可能对我如何找到此脚本有任何想法？