Czy niebezpieczne jest przechowywanie kopii zainfekowanej witryny na dysku lokalnym?

8

Po pierwsze, nie interesuję się programowaniem w HTML i PHP.

Witryna znajomego Joomla została zhakowana przez jakiś zastrzyk html, a teraz każdy plik php i html ma ramkę iframe, która jest połączona z jakąś stroną złośliwego oprogramowania. A teraz chcę skopiować zainfekowane pliki z serwera na mój komputer i je „wyczyścić”. Czy to jest głupie i niebezpieczne?


źródło
1
szkodliwy kod został prawdopodobnie wstrzyknięty do bazy danych, więc musisz to również wyczyścić. jedyne inne rzeczy, których to dotyczy, to pliki szablonów
knittl

Odpowiedzi:

14

Nie, przechowywanie nie jest niebezpieczne. To, co zamierzasz z nimi zrobić, może być niebezpieczne.

Jeśli otworzysz te pliki lokalne w przeglądarce internetowej, prawdopodobnie odwiedzą one adresy określone w elementach iframe. Lub JavaScipt w tych plikach może zrobić coś złego, np. Sprawdzenie luk bezpieczeństwa przeglądarki.

  • Otwórz te pliki w edytorze, który nie będzie próbował renderować strony. Zrobi to każdy głupi edytor inny niż HTML.

  • Wyłącz JavaScript w przeglądarce podczas otwierania plików

  • Powiedz przeglądarce, aby nie otwierała żadnych linków niepochodzących z głównej domeny (w twoim przypadku będzie to lokalny system plików). W rzeczywistości jest to ostrożny środek bezpieczeństwa do codziennego przeglądania.


Możesz przechowywać w domu coś trującego jak niektóre grzyby przez lata, ale jeśli nie zamierzasz ich jeść, jesteś bezpieczny.


źródło
5
Jeśli jednak nie jest oznaczony jako trujący, ktoś inny może go zjeść. Upewnię się, że wspomniana strona internetowa jest dobrze zidentyfikowana jako niebezpieczna.
8

Tak długo, jak pobierasz pliki za pomocą klasycznego FTP i otwierasz / edytujesz pliki tylko w edytorze tekstowym lub HTML (bez funkcji WYSIWYG / podgląd!), Jest to całkowicie nieszkodliwe. Patrzenie na plik w edytorze tekstu nie jest niebezpieczne, wykonywanie go w przeglądarce jest.

Pobierz najnowsze aktualizacje zabezpieczeń dla przeglądarki, której będziesz używać do przeglądania stron - za pośrednictwem Windows Update dla IE, lub po prostu pobierając najnowszą wersję Firefoxa, Chrome'a ​​itp. Polecam Firefox ze względu na pasek narzędzi dla programistów stron internetowych.

Aby być w 100% bezpiecznym podczas edycji w edytorze WYSIWYG i przetestować oczyszczone strony w przeglądarce (jeśli masz lokalną Joomla do testowania), możesz odłączyć komputer od Internetu podczas edycji.

Aby przetestować czyszczoną stronę, rozważ także wyłączenie JavaScript, na przykład za pomocą paska narzędzi Web Developer Toolbar w przeglądarce Firefox.

Również posiadanie skanera antywirusowego działającego w tle nie jest złym pomysłem.

Pamiętaj, że naprawdę musisz sprawdzić każdy pojedynczy zasób w witrynie, każdą stronę HTML i plik JavaScript.

Nie zapomnij jednak najpierw naprawić rzeczywistego problemu - luki, która umożliwiła zastrzyk! Zakładam, że to, co piszesz, zostało już posortowane, ale upewnij się, że dowiedziałeś się, gdzie miało miejsce włamanie.

Jako minimum zmień wszystkie hasła na wszystkie konta związane z hostingiem (FTP, Panel sterowania itp.).

Artykuł w blogu Google dla webmasterów Moja witryna została zhakowana - co teraz? to zawsze dobra lektura. Opisuje również, jak szybko zaindeksować witrynę za pomocą Google.

Pekka
źródło
Świetne wskazówki. Zrób je wszystkie, a będziesz w 100% w porządku.
+1 za połączenie z Internetem podczas pracy.
Dominic Rodger
3

Powinieneś dobrze przechowywać i edytować pliki; jednak uważaj na ich wykonanie (w rzeczywistości obsługując je z php i serwerem WWW). Zrób to tylko wtedy, gdy masz pewność, że są czyste i mają odpowiednie uprawnienia.

Tim Lytle
źródło
2

Niekoniecznie jest to niebezpieczne, pod warunkiem, że nie podejmiesz próby załadowania żadnej z zainfekowanych stron do czegokolwiek, co byłoby zgodne z linkami. Powiedział, że gdybym to robił, to pewnie zrobić w maszynie wirtualnej - w ten sposób, czy przypadkiem powinno się zdarzyć, przywrócenia do stanu wcześniejszego, lub po prostu wyrzucić je z dala i budowę nowego VM kiedy / jeśli jest potrzebna względnie trywialne.

Jerry Coffin
źródło
1

Nie, ale Twój program antywirusowy wykrywa go i czyści, co prawdopodobnie zniweczy cel.

Natalie Adams
źródło
4
Poważnie wątpię, aby program antywirusowy wykrył włamanie do javascript w pobranej witrynie.
Wykrywanie jest przypadkowe, ale tak, wiele AV uruchomi kod exploita JS.
Bobin
@incrediman Wiem na pewno, że AVG zrobi to, ponieważ klient poprosił mnie, żebym rzucił okiem na ich stronę, ponieważ jakoś coś ciągle infekowało go, a kiedy go pobrałem, zawierało trochę JS i AVG wykrył linię i powiedział mi, co to jest „wirus” " to było.
Natalie Adams
1

Zakładając, że będziesz je ręcznie sprawdzać i usuwać „złe” rzeczy, wszystko powinno być w porządku. W końcu to tylko pliki tekstowe, które nie mogą cię skrzywdzić - dopóki nie użyjesz ich jako instrukcji dla jakiegoś programu. Pliki HTML mogą zawierać szkodliwy kod, na który działa przeglądarka. Podobnie jest w przypadku skryptów PHP i serwera WWW (np. Apache).

Dopóki otworzysz je tylko za pomocą edytora tekstu, nic ci nie będzie. Jeśli musisz je otworzyć za pomocą przeglądarki, pamiętaj o zablokowaniu Javascript i ActiveX.


źródło
1

Przechowywanie tych plików na dysku nie zaszkodzi, dopóki nie otworzysz ich w przeglądarce z włączonym javascript i ramkami.


źródło
1

To wcale nie jest zły pomysł. To najlepszy sposób na wyczyszczenie strony internetowej.

Oto co robimy:

1). Użyj FTP i pobierz całą witrynę na swój komputer. 2). Zdobądź kopię grepWin (za darmo) 3). Poszukaj w niektórych obszarach skryptów malscript: przed otwierającym znacznikiem html, między zamykającym znacznikiem głowicy a otwierającym znacznikiem treści, po otwierającym znaczniku treści, po zamykającym znaczniku treści i po zamykającym znaczniku HTML.

4). Użyj grepWin do skanowania: eval (ciągi znaków base64_decode. Często znajdują się one w plikach gifimg.php i służą do zdalnego infekowania stron internetowych po zmianie haseł FTP.

5). Użyj wyszukiwania wyrażeń regularnych. Pomoże Ci znaleźć popularne skrypty malscript, w których domena lub mały segment uległy zmianie.

W zależności od posiadanego programu antywirusowego wiele z nich wykryje złośliwe pliki javascript i zablokuje ich edytowanie lub poddanie kwarantannie. Programy takie jak Avast, Vipre i Kaspersky muszą zostać wyłączone lub wyłączone podczas czyszczenia strony internetowej.


źródło
0

Muszę zgodzić się z innymi, że przechowywanie nie jest niebezpieczne, ale jeśli chcesz mieć pewność, że nie uszkodzisz maszyny podczas czyszczenia, wezmę kopię Virtualbox , zainstaluję Ubuntu na maszynie wirtualnej i pobierz stronę w Ubuntu i stamtąd ją wyczyść.

W ten sposób twoja główna maszyna jest tak bezpieczna, jak to tylko możliwe, a jeśli zabije maszynę wirtualną, zbawienie jest tylko kluczem do usunięcia.

Mokubai
źródło