Autor Zpráva
valecekm
Profil
Dobry den. Chtel bych se zeptat, jestli nekdo nevi kde se da sehnat seznam(ale poradnej seznam) webovejch viru a to jak Javascriptovejch,PHP a dalsich..v hledani sem sam bohuzel moc neuspel.. Vzdycky jsem nasel jen opravdu seznam(nazvy), ale ja bych spise potreboval nekde seznam zdrojovejch kodu techto svin_ren. Pokud by nekdo o necem vedel byl bych moc rad, a taky bych se chtel poptat skusenejsich jestli by bylo nebezpecne tento seznam hnusackejch scriptu vhodit do pole(PHP). Jde mi oto jestli i kdyby to bylo v poli vlastne jako obycejnej txt, tak jestli by to porad predstavovalo hrozbu? Diky
AM_
Profil
Kdyz budou v poli tak pochopitelne ne. Ale ani nevim, k cemu ti to bude. Psat antivir je dost tezka vec, webovy viry sou navic casto polymorfni (alespon do te miry identifikatory se v nich generuji nahodne). A s tou databazi verejne to asi nikde nebude, aby si mohl kazdej trinactiletej typek hezky vybrat co svymu dvanactiletymu kolegovi nasadi na stranky ;) jednotlivy mozna sem tam najdes, ale nejak rozumne kompletni databazi pochybuju.
valecekm
Profil
to:AM_
skoda.. no urcite sem se neptal kvuli nakazeni stranky kamoradovi(12letymu frackovi) :-D ..no prave jen sem tam nejaky...prave sem prolezl vsechny mozny antivir stranky a google my vyhodi vzdycky jen sem tam neco a vetsinou to jsou jen nazvy techto viru jinak nic. No pokud se nekdo o nalezeni neceho takoviho co potrebuji ja zabyval jiz predemnou a vedel kde hledat informace(kdekoli), tak se prosim ozvete.
AM_
Profil
A na co to tedy chceš?
valecekm
Profil
Do jednoho rs, abych proklep vzdycky puvodni vkladanou adresu stranky jeslti se vni nenachazi nejaka paskvilovina...Z duvodu aby nato nekdo neklik a pak to zbytecne nechyt...Bohuzel ani clovek, ktery nechce sirit viry je omylem rozsirit muze jen kvuli nejake url(nechtene).
AM_
Profil
Jo, tak to je to co sem se snažil naznačit:ty viry jsou polymorfní (pokaždé vypadají jinak) a navíc jsou pořád nové a nové. Tam ti bude databáze prd platná, můžeš zkusit vymyslet nějakou jednoduchou prevenci (třeba odstranit všechny javascripty a iframy) nebo ukládat nějaký kontrolní součet souborů - pokud je změní neautorizovaný zásah, součet se bude rozcházet.
valecekm
Profil
skoda skodenka...:-(.... jinak myslis ze nekdo nekdy napsal nejakou ochranu na urovni...myslim ted v php, ktera by neco takoviho zvladla?asi ne vid? :-(...sem tma sme neco nasel, ale nevim jeslti tomu mam verit..aby to neudelalo nejako sak vime co ze... trebas priklad vyhledavani googlu...vetsinou s ejedna o ten jeden a sam soubor PHP Antivirus-Google
blaaablaaa
Profil
takove viry se vetsinou vkladaji az na konec stranky, tedy by mohlo stacit overit, zda se jako posledni element nenachazi iframe
AM_
Profil
blaaablaaa
nebo na začátek nebo hned za <body>. A ty maskovanější se vloží jako šifrovaný javascript, který iframe dynamicky tvoří. A ani to nemusí být pravidlem.
blaaablaaa
Profil
AM_
jj, ja bych prochazel nejcastejsi umisteni a je to - jiny zakladni zpusob detekce me nenapada
Proste neukladat nikam heslo a mit osetrene vstupy a clovek nemusi mit strach
Chamurappi
Profil
Reaguji na blaaablaaa a AM_:
takove viry se vetsinou vkladaji az na konec stranky
nebo na začátek nebo hned za <body>
Dělají to tak proto, že se snaží, aby na stránce byly vždy jen jednou, i pokud je poskládaná z více souborů. Když infikující bot prolézá FTP a přemýšlí, do čeho strčit svůj reprodukční řetězec, hledá kostru stránky. Pokud ji nenajde, předpokládá, že zkoumaný soubor je jen dílčí část stránky a do té hrabat nechce.

Dle mého pozorování je web, jehož kód neobsahuje <!doctype>, <html>, <head> a <body>, proti současným druhům zavšivení imunní.
AM_
Profil
Chamurappi
možná nerozumím, ale jak má tedy dokument vypadat, když tohle nemá obsahovat? nebo si myslel jako neobsahovat přímo - tedy třeba <bo<?php ?>dy> ?
Sám jsem se setkal s virem, který umisťoval kód za <body> do všech indexů, když v nich <body> nenašel, umístil jej na konec souboru. Proto je tedy dobrá ochrana dát před konec indexu <?php die(); ?>
srigi
Profil
Chamurappi
Dle mého pozorování je web, jehož kód neobsahuje <!doctype>, <html>, <head> a <body>, proti současným druhům zavšivení imunní.

Zda sa ze je to tak. Weby napisane v nejakom frameworku (Zend, Symfony) su pre tuto haved neprekonatelna prekazka.
Bubák
Profil
Dělají to tak proto, že se snaží, aby na stránce byly vždy jen jednou
Přibližně před dvěmi týdny jsem narazil na stránku, kde byl virus 2×, naprosto stejný kód (javascript) na dvou řádcích po sobě. Bohužel, podrobnosti si nepamatuji, a stránka už je čistá.
Chamurappi
Profil
Reaguji na AM_:
jak má tedy dokument vypadat, když tohle nemá obsahovat?
Kromě <!doctype> deklarace při standardním režimu nejsou ty značky potřeba. Takže má vypadat úplně normálně, akorát bez nich. Příslušné elementy v dokumentu pořád jsou, i když mají vynechané značky.

tedy třeba <bo<?php ?>dy> ?
I to by mělo zabrat.

umisťoval kód za <body> do všech indexů
V tom případě je ještě zapotřebí nenazývat soubory „index.*“.

Proto je tedy dobrá ochrana dát […]
Neříkám, že popsané postupy jsou dobrá ochrana. Může to být ale rychlé nouzové řešení přepisovací války s robotem. Když někdo brečí, že má zavirovaný web, často dostává rady „nejdřív se odviruj, pak přehesluj, pak vyčisti stránku“, jenže ono může chvíli trvat, než se dostane k tomu třetímu kroku a během té doby zkazí náladu svým návštěvníkům.


Reaguji na Bubáka:
před dvěmi týdny jsem narazil na stránku, kde byl virus 2×, naprosto stejný kód
Zajímavé. Mno jo, pokrok nezastavíš :-)
DoubleThink
Profil *
Zahlédl jsem taky variantu, kdy virus hledá externí js soubory (a na dnešních webech je většinou najde) a vkládá sám sebe jednoduše dovnitř. Vícenásobné spuštění pak ošetřuje sám skriptově.

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: