Autor | Zpráva | ||
---|---|---|---|
valecekm Profil |
#1 · Zasláno: 14. 5. 2009, 19:04:11
Dobry den. Chtel bych se zeptat, jestli nekdo nevi kde se da sehnat seznam(ale poradnej seznam) webovejch viru a to jak Javascriptovejch,PHP a dalsich..v hledani sem sam bohuzel moc neuspel.. Vzdycky jsem nasel jen opravdu seznam(nazvy), ale ja bych spise potreboval nekde seznam zdrojovejch kodu techto svin_ren. Pokud by nekdo o necem vedel byl bych moc rad, a taky bych se chtel poptat skusenejsich jestli by bylo nebezpecne tento seznam hnusackejch scriptu vhodit do pole(PHP). Jde mi oto jestli i kdyby to bylo v poli vlastne jako obycejnej txt, tak jestli by to porad predstavovalo hrozbu? Diky
|
||
AM_ Profil |
#2 · Zasláno: 14. 5. 2009, 19:21:50
Kdyz budou v poli tak pochopitelne ne. Ale ani nevim, k cemu ti to bude. Psat antivir je dost tezka vec, webovy viry sou navic casto polymorfni (alespon do te miry identifikatory se v nich generuji nahodne). A s tou databazi verejne to asi nikde nebude, aby si mohl kazdej trinactiletej typek hezky vybrat co svymu dvanactiletymu kolegovi nasadi na stranky ;) jednotlivy mozna sem tam najdes, ale nejak rozumne kompletni databazi pochybuju.
|
||
valecekm Profil |
#3 · Zasláno: 14. 5. 2009, 19:37:57
to:AM_
skoda.. no urcite sem se neptal kvuli nakazeni stranky kamoradovi(12letymu frackovi) :-D ..no prave jen sem tam nejaky...prave sem prolezl vsechny mozny antivir stranky a google my vyhodi vzdycky jen sem tam neco a vetsinou to jsou jen nazvy techto viru jinak nic. No pokud se nekdo o nalezeni neceho takoviho co potrebuji ja zabyval jiz predemnou a vedel kde hledat informace(kdekoli), tak se prosim ozvete. |
||
AM_ Profil |
#4 · Zasláno: 14. 5. 2009, 20:03:19
A na co to tedy chceš?
|
||
valecekm Profil |
#5 · Zasláno: 14. 5. 2009, 20:15:06 · Upravil/a: valecekm
Do jednoho rs, abych proklep vzdycky puvodni vkladanou adresu stranky jeslti se vni nenachazi nejaka paskvilovina...Z duvodu aby nato nekdo neklik a pak to zbytecne nechyt...Bohuzel ani clovek, ktery nechce sirit viry je omylem rozsirit muze jen kvuli nejake url(nechtene).
|
||
AM_ Profil |
#6 · Zasláno: 14. 5. 2009, 20:17:31
Jo, tak to je to co sem se snažil naznačit:ty viry jsou polymorfní (pokaždé vypadají jinak) a navíc jsou pořád nové a nové. Tam ti bude databáze prd platná, můžeš zkusit vymyslet nějakou jednoduchou prevenci (třeba odstranit všechny javascripty a iframy) nebo ukládat nějaký kontrolní součet souborů - pokud je změní neautorizovaný zásah, součet se bude rozcházet.
|
||
valecekm Profil |
#7 · Zasláno: 14. 5. 2009, 20:24:00 · Upravil/a: valecekm
skoda skodenka...:-(.... jinak myslis ze nekdo nekdy napsal nejakou ochranu na urovni...myslim ted v php, ktera by neco takoviho zvladla?asi ne vid? :-(...sem tma sme neco nasel, ale nevim jeslti tomu mam verit..aby to neudelalo nejako sak vime co ze... trebas priklad vyhledavani googlu...vetsinou s ejedna o ten jeden a sam soubor PHP Antivirus-Google
|
||
blaaablaaa Profil |
#8 · Zasláno: 15. 5. 2009, 09:10:44
takove viry se vetsinou vkladaji az na konec stranky, tedy by mohlo stacit overit, zda se jako posledni element nenachazi iframe
|
||
AM_ Profil |
#9 · Zasláno: 15. 5. 2009, 12:28:21
blaaablaaa
nebo na začátek nebo hned za <body>. A ty maskovanější se vloží jako šifrovaný javascript, který iframe dynamicky tvoří. A ani to nemusí být pravidlem. |
||
blaaablaaa Profil |
#10 · Zasláno: 15. 5. 2009, 13:16:29
AM_
jj, ja bych prochazel nejcastejsi umisteni a je to - jiny zakladni zpusob detekce me nenapada Proste neukladat nikam heslo a mit osetrene vstupy a clovek nemusi mit strach |
||
Chamurappi Profil |
#11 · Zasláno: 15. 5. 2009, 13:50:50
Reaguji na blaaablaaa a AM_:
„takove viry se vetsinou vkladaji az na konec stranky“ „nebo na začátek nebo hned za <body>“ Dělají to tak proto, že se snaží, aby na stránce byly vždy jen jednou, i pokud je poskládaná z více souborů. Když infikující bot prolézá FTP a přemýšlí, do čeho strčit svůj reprodukční řetězec, hledá kostru stránky. Pokud ji nenajde, předpokládá, že zkoumaný soubor je jen dílčí část stránky a do té hrabat nechce. Dle mého pozorování je web, jehož kód neobsahuje <!doctype>, <html>, <head> a <body>, proti současným druhům zavšivení imunní. |
||
AM_ Profil |
#12 · Zasláno: 15. 5. 2009, 15:08:29
Chamurappi
možná nerozumím, ale jak má tedy dokument vypadat, když tohle nemá obsahovat? nebo si myslel jako neobsahovat přímo - tedy třeba <bo<?php ?>dy> ? Sám jsem se setkal s virem, který umisťoval kód za <body> do všech indexů, když v nich <body> nenašel, umístil jej na konec souboru. Proto je tedy dobrá ochrana dát před konec indexu <?php die(); ?> |
||
srigi Profil |
#13 · Zasláno: 15. 5. 2009, 15:25:30
Chamurappi
„Dle mého pozorování je web, jehož kód neobsahuje <!doctype>, <html>, <head> a <body>, proti současným druhům zavšivení imunní.“ Zda sa ze je to tak. Weby napisane v nejakom frameworku (Zend, Symfony) su pre tuto haved neprekonatelna prekazka. |
||
Bubák Profil |
#14 · Zasláno: 15. 5. 2009, 15:26:03
„Dělají to tak proto, že se snaží, aby na stránce byly vždy jen jednou“
Přibližně před dvěmi týdny jsem narazil na stránku, kde byl virus 2×, naprosto stejný kód (javascript) na dvou řádcích po sobě. Bohužel, podrobnosti si nepamatuji, a stránka už je čistá. |
||
Chamurappi Profil |
#15 · Zasláno: 15. 5. 2009, 15:51:42
Reaguji na AM_:
„jak má tedy dokument vypadat, když tohle nemá obsahovat?“ Kromě <!doctype> deklarace při standardním režimu nejsou ty značky potřeba. Takže má vypadat úplně normálně, akorát bez nich. Příslušné elementy v dokumentu pořád jsou, i když mají vynechané značky. „tedy třeba <bo<?php ?>dy> ?“ I to by mělo zabrat. „umisťoval kód za <body> do všech indexů“ V tom případě je ještě zapotřebí nenazývat soubory „index.*“. „Proto je tedy dobrá ochrana dát […]“ Neříkám, že popsané postupy jsou dobrá ochrana. Může to být ale rychlé nouzové řešení přepisovací války s robotem. Když někdo brečí, že má zavirovaný web, často dostává rady „nejdřív se odviruj, pak přehesluj, pak vyčisti stránku“, jenže ono může chvíli trvat, než se dostane k tomu třetímu kroku a během té doby zkazí náladu svým návštěvníkům. Reaguji na Bubáka: „před dvěmi týdny jsem narazil na stránku, kde byl virus 2×, naprosto stejný kód“ Zajímavé. Mno jo, pokrok nezastavíš :-) |
||
DoubleThink Profil * |
#16 · Zasláno: 15. 5. 2009, 17:33:35
Zahlédl jsem taky variantu, kdy virus hledá externí js soubory (a na dnešních webech je většinou najde) a vkládá sám sebe jednoduše dovnitř. Vícenásobné spuštění pak ošetřuje sám skriptově.
|
||
Časová prodleva: 15 let
|
0