问题标签 [virus]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
10 回答
4071 浏览

php - PHP 脚本:末尾的恶意 JavaScript 代码

问题:

在我的网站上,有一些 PHP 文件都以此结尾:

在此行之前,文件中还有 HTML 代码。

当然,浏览器中的输出以此结束:

但是昨天,突然间,最后出现了一些恶意代码。我的 index.php 的输出是:

我在我的网站空间上打开了文件(通过 FTP 下载),我看到有人将这段代码直接放入了文件中!

这怎么可能发生?

我能想象的唯一方法:

  • 有人知道了我的 FTP 密码。但他不会只把它放在一个文件中。他本可以造成更大的伤害。所以我无法想象会是这样。
  • 我自己的电脑上有病毒。我使用 Notepad++ 进行编辑,使用 FileZilla 进行上传。也许这些程序也被污染了,我上传了恶意代码 - 不知道。
  • 有人使用安全漏洞 (XSS) 将该代码放入页面。但他不可能把它直接放进文件里,不是吗?

症状:

用户报告在 Firefox 中弹出一个蓝色面板。它要求他们安装一个插件。现在他们中的一些人在他们的 PC 上安装了 Exploit.Java.CVE-2010-0886.a。

这是由于恶​​意代码吗?代码到底做了什么?

你能帮助我吗?

请帮帮我,我真的很绝望。

也许还有一个问题,如果你知道我怎么能得到它:我怎么能防止将来发生这样的事情?

编辑#1:

我在我的网站空间的根目录中找到了一个名为“x76x09.php”的文件。它的文件大小为 44.281 字节。我已经下载并尝试打开它。但是我的杀毒软件说是木马(Trojan.Script.224490)。我认为该文件已被执行,并将恶意代码添加到每个目录的“index.php”中。这有帮助吗?特洛伊木马怎么会进入我的空间?这是众所周知的病毒吗?

编辑#2:

我的主持人说他现在可以确定该文件不是通过 FTP 上传的。所以感染不是通过 FTP 发生的。据我的主持人说,它一定是不安全的脚本。

编辑#3:

根据 PHPSecInfo 的安全漏洞:

  • allow_url_fopen = 1
  • allow_url_include = 1
  • 暴露_php = 1
  • file_uploads = 1(这是恶意“x76x09.php”文件的罪魁祸首吗?)
  • group_id = 99
  • 用户 ID = 99

编辑#4:

我已经分析了在我的网络服务器上执行的文件。这是结果

所以这个病毒似乎被称为:

  • PHP/C99Shell.BF
  • 后门/PHP.C99Shell
  • BackDoor.Generic_c.CQA
  • 木马.Script.224490
  • Exploit.PHP.635
  • 后门.PHP.C99Shell.bf
  • 木马.Script.224490

其中一些会导致我的网站空间上的恶意文件添加了恶意代码吗?

0 投票
2 回答
877 浏览

html - 个人网站在 ovh.com 上被黑,在 html 中添加代码

我的朋友在 ovh.com 上有一个网站。几天后,该网站被谷歌标记为危险。

我查看了文件(该站点仅包含 html、css、pjg),似乎有一行新代码:

(我不记得确切的网址)已添加到一些 html 页面中。这显然是在显示页面时会运行的病毒。

如果我删除此行并再次扫描文件,这很好。

如何将其添加到服务器上的文件中?有什么办法可以防止这种事情发生吗?(考虑 .htaccess 的东西或其他)。我看不出 ftp 标识符是如何被盗的,所以对我来说,这个代码插入必须来自其他地方。

能否请你帮忙 ?

非常感谢,

卢克

0 投票
10 回答
8994 浏览

assembly - 在 X86 机器上组装,Windows 与 Linux

他们是一样的吗?

更长的版本:

假设我在 Windows 机器上在汇编中编写了一个小应用程序,它所做的只是添加 1+1 并将其存储在寄存器中。然后,我在 Linux 机器上编写完全相同的代码。它会起作用吗?

我想是的,因为在硬件级别,它是同一台机器,所以“硬件语言”(请原谅不精确)是相同的。

所以我认为一个针对 windows 的病毒但用汇编编写的不会只是 windows 病毒。

0 投票
2 回答
902 浏览

drupal - 帮助通过站点的潜在木马

所以我很确定我的网站已经感染了某种木马或病毒,这些木马或病毒会附着在网站内的脚本上。每次我尝试更新我的基于 Drupal 的站点时,我都会得到一个白屏,并显示这个愚蠢的“我在这里”消息。重新加载后,更改将生效,但我不知道保存更改后这是做什么的。这只会在管理站点、IE 发布新内容、激活/停用模块等时弹出。

问题是,我一点也不知道如何或去哪里删除它。源代码没有引用任何恶意代码。它不是我通过试图找到这个问题的答案而发现的 iFrame 链接类型的木马。

我尝试过的事情:

- 多次扫描计算机中的病毒(据说这些东西会攻击不安全的 FTP 数据并劫持您的客户端以上传恶意代码)

-更改了 FTP 凭据

-将管理员用户密码更改为站点后端(Drupal 登录)

-更新了 Drupal

到目前为止没有任何工作,我正在努力解决这个问题。任何正确方向的提示将不胜感激。

0 投票
1 回答
1820 浏览

windows-vista - 如何删除 TBS WMP 插件?

如何删除 TBS WMP 插件?这似乎是我的计算机上安装的恶意软件。非常感谢!

0 投票
3 回答
13734 浏览

php - 保护网站免受后门/PHP.C99Shell aka Trojan.Script.224490

我的网站被木马脚本感染了。

有人设法创建/上传了一个名为“x76x09.php”或“config.php”的文件到我的网络空间的根目录中。它的大小为 44287 字节,其 MD5 校验和为 8dd76fc074b717fccfa30b86956992f8。我已经使用 Virustotal 分析了这个文件。这些结果表明它是“Backdoor/PHP.C99Shell”或“Trojan.Script.224490”。

该文件在创建的同时执行。所以它一定是自动发生的。该文件将以下恶意代码添加到我网站空间上每个 index.php 的末尾。

在我的页面上出现该代码后,用户报告说 Firefox 中弹出了一个蓝色面板。它要求他们安装一个插件。现在他们中的一些人在他们的 PC 上安装了 Exploit.Java.CVE-2010-0886.a。

尽管我关闭了 allow_url_fopen 和 allow_url_include,但感染确实发生了。我的托管人说该文件不是通过 FTP 上传的。

所以我的问题是:

  • 恶意代码有什么作用?它是如何编码的?
  • 远程文件(“x76x09.php”或“config.php”)如何进入我的网站?SQL注入?我自己的电脑上病毒?
  • 将来如何保护我的网站免受此类攻击?

非常感谢您!我真的需要帮助。

这个问题类似。但它更像是一份报告。我从一开始就不知道这是病毒。所以这里这个问题是指病毒本身,另一个问题不是。

0 投票
2 回答
263 浏览

windows - 为什么 Windows.dcu 被标记为病毒?德尔福

我想也许是 delphi 病毒感染了我的 .dcu,所以我重新编译了 Delphi 的 C:\Program Fiels...\source\Win32\rtl\win 中的 windows.pas。这是结果。

这是病毒总数的结果

http://www.virustotal.com/analisis/419f755ae57e6ba469f5c6e36305153dc298517edae2f48ae24af6682335260b-1281224937

我重新改造了我的电脑并重新安装了 Delphi。我正在使用德尔福 2007。

0 投票
1 回答
2008 浏览

java - Java webapp中的病毒扫描?

我正在编写一个基于 Java 的 Web 应用程序,它允许用户向网站上传和提交内容。不过,在它可用之前,我想执行病毒扫描以确保没有恶意内容被发布。有谁知道可以通过 Java 访问的防病毒扫描程序?该应用程序将托管在 Linux (CentOS 5.5 x64) 上并在 Tomcat 6.x 上运行。任何意见或建议将不胜感激!

0 投票
2 回答
11418 浏览

mysql - MySQL InnoDB auto_increment 值增加 2 而不是 1。病毒?

有一个 InnoDB 表用于存储自定义构建的 Web 应用程序使用的博客文章的评论。

最近我注意到评论的自动递增主键值递增 2 而不是 1。

我还注意到,在另一个用于记住最后几个评论者的足迹签名(例如 ip、会话 id、uagent 字符串等)的 MySQL 表中,PHP 会话的名称以“viruskinq”开头,这很奇怪,因为我认为它应该始终是一个类似于 md5 的十六进制字符串。

谷歌只为“viruskinq”提供了几个结果,全部都是土耳其语。有趣的是,大约一年前,该网站被土耳其恶棍破坏。(我 100% 确定攻击者没有成功,因为我的应用程序中存在任何安全漏洞,因为同一公司托管的其他网站当时也遭到破坏。)

该站点位于使用 Linux 的共享主机上。

您认为服务器本身可能仍然受到那些黑客的影响吗?检查评论的 id 值显示,这种翻倍现象自今年 5 月以来就存在,但污损发生在差不多一年前。

还有什么其他原因可以解释自动增量值的奇怪行为?应用程序没有更改,并且在较早的注释中,自动递增的主键值是按顺序排列的。

编辑:解决方案摘要

托管公司告诉我,自动增量值翻倍的原因是因为他们使用主从 MySQL 架构师,据他们说这种现象是正常的。

他们还承认,各种黑客不断地攻击他们的服务器,“尤其是会话”,他们对此无能为力。

我想我最好开始收拾东西并搬到更好的网络主机上。

0 投票
4 回答
258 浏览

windows-server-2008 - On-demand virus scanning Windows

I'm wanting to scan files a user uploads to our websites on the server-side. I'd prefer it to be something we can run on-demand that doesn't have to be running all the time on the server. What solutions are available for Windows Server 2008 R2? Which products specifically would you recommend?