databaze web viru

Kdyz budou v poli tak pochopitelne ne. Ale ani nevim, k cemu ti to bude. Psat antivir je dost tezka vec, webovy viry sou navic casto polymorfni (alespon do te miry identifikatory se v nich generuji nahodne). A s tou databazi verejne to asi nikde nebude, aby si mohl kazdej trinactiletej typek hezky vybrat co svymu dvanactiletymu kolegovi nasadi na stranky ;) jednotlivy mozna sem tam najdes, ale nejak rozumne kompletni databazi pochybuju.

A na co to tedy chceš?

Jo, tak to je to co sem se snažil naznačit:ty viry jsou polymorfní (pokaždé vypadají jinak) a navíc jsou pořád nové a nové. Tam ti bude databáze prd platná, můžeš zkusit vymyslet nějakou jednoduchou prevenci (třeba odstranit všechny javascripty a iframy) nebo ukládat nějaký kontrolní součet souborů - pokud je změní neautorizovaný zásah, součet se bude rozcházet.

takove viry se vetsinou vkladaji az na konec stranky, tedy by mohlo stacit overit, zda se jako posledni element nenachazi iframe

blaaablaaa
nebo na začátek nebo hned za <body>. A ty maskovanější se vloží jako šifrovaný javascript, který iframe dynamicky tvoří. A ani to nemusí být pravidlem.

AM_
jj, ja bych prochazel nejcastejsi umisteni a je to - jiny zakladni zpusob detekce me nenapada
Proste neukladat nikam heslo a mit osetrene vstupy a clovek nemusi mit strach

Reaguji na blaaablaaa a AM_:
„takove viry se vetsinou vkladaji az na konec stranky“
„nebo na začátek nebo hned za <body>“
Dělají to tak proto, že se snaží, aby na stránce byly vždy jen jednou, i pokud je poskládaná z více souborů. Když infikující bot prolézá FTP a přemýšlí, do čeho strčit svůj reprodukční řetězec, hledá kostru stránky. Pokud ji nenajde, předpokládá, že zkoumaný soubor je jen dílčí část stránky a do té hrabat nechce.

Dle mého pozorování je web, jehož kód neobsahuje <!doctype>, <html>, <head> a <body>, proti současným druhům zavšivení imunní.

Chamurappi
možná nerozumím, ale jak má tedy dokument vypadat, když tohle nemá obsahovat? nebo si myslel jako neobsahovat přímo - tedy třeba <bo<?php ?>dy> ?
Sám jsem se setkal s virem, který umisťoval kód za <body> do všech indexů, když v nich <body> nenašel, umístil jej na konec souboru. Proto je tedy dobrá ochrana dát před konec indexu <?php die(); ?>

Chamurappi
„Dle mého pozorování je web, jehož kód neobsahuje <!doctype>, <html>, <head> a <body>, proti současným druhům zavšivení imunní.“

Zda sa ze je to tak. Weby napisane v nejakom frameworku (Zend, Symfony) su pre tuto haved neprekonatelna prekazka.

„Dělají to tak proto, že se snaží, aby na stránce byly vždy jen jednou“
Přibližně před dvěmi týdny jsem narazil na stránku, kde byl virus 2×, naprosto stejný kód (javascript) na dvou řádcích po sobě. Bohužel, podrobnosti si nepamatuji, a stránka už je čistá.

Reaguji na AM_:
„jak má tedy dokument vypadat, když tohle nemá obsahovat?“
Kromě <!doctype> deklarace při standardním režimu nejsou ty značky potřeba. Takže má vypadat úplně normálně, akorát bez nich. Příslušné elementy v dokumentu pořád jsou, i když mají vynechané značky.

„tedy třeba <bo<?php ?>dy> ?“
I to by mělo zabrat.

„umisťoval kód za <body> do všech indexů“
V tom případě je ještě zapotřebí nenazývat soubory „index.*“.

„Proto je tedy dobrá ochrana dát […]“
Neříkám, že popsané postupy jsou dobrá ochrana. Může to být ale rychlé nouzové řešení přepisovací války s robotem. Když někdo brečí, že má zavirovaný web, často dostává rady „nejdřív se odviruj, pak přehesluj, pak vyčisti stránku“, jenže ono může chvíli trvat, než se dostane k tomu třetímu kroku a během té doby zkazí náladu svým návštěvníkům.


Reaguji na Bubáka:
„před dvěmi týdny jsem narazil na stránku, kde byl virus 2×, naprosto stejný kód“
Zajímavé. Mno jo, pokrok nezastavíš :-)

Zahlédl jsem taky variantu, kdy virus hledá externí js soubory (a na dnešních webech je většinou najde) a vkládá sám sebe jednoduše dovnitř. Vícenásobné spuštění pak ošetřuje sám skriptově.