É perigoso se eu armazenar uma cópia de um site infectado no meu disco local?


8

Primeiro, não gosto de programação HTML e PHP.

O site Joomla de um amigo foi invadido por algum tipo de injeção de html, e agora todos os arquivos php e html têm um iframe vinculado a algum tipo de página de malware. E agora eu quero copiar os arquivos infectados do servidor para minha máquina e "limpá-los". Isso é burro e perigoso?


11
o código malicioso provavelmente foi injetado no banco de dados, então você também precisará limpá-lo. a única outra coisa a ser afetada são os arquivos de modelo
knittl

Respostas:


14

Não, não é perigoso guardar. O que você pretende fazer com eles pode ou não ser perigoso.

Se você abrir esses arquivos locais em um navegador da Web, provavelmente visitará os endereços especificados em iframes. Ou o JavaScipt nesses arquivos pode fazer algo ruim como verificar se há falhas na segurança do navegador.

  • Abra esses arquivos em algum editor que não tentará renderizar a página. Qualquer editor não-HTML estúpido serve.

  • Desative o JavaScript no seu navegador ao abrir os arquivos

  • Diga ao seu navegador para não abrir links que não venham do domínio principal (será o sistema de arquivos local no seu caso). Na verdade, essa também é uma medida de segurança prudente para a navegação diária.


Você pode armazenar algo venenoso como certos cogumelos por anos em sua casa, mas se não pretende comê-los, está seguro.


5
No entanto, se não for rotulado como venenoso, alguém poderá comê-lo. Certifique-se de que o site mencionado seja bem identificado como perigoso.

8

Contanto que você baixe os arquivos usando o FTP clássico e abra / edite os arquivos apenas em um editor de texto ou HTML (nenhuma função WYSIWYG / visualização!), Isso é totalmente inofensivo. Olhar para o arquivo em um editor de texto não é perigoso, executá-lo em um navegador é.

Receba as atualizações de segurança mais recentes do navegador que você usará para consultar as páginas - pelo Windows Update para IE ou baixando apenas a versão mais recente do Firefox, Chrome ou outros enfeites. Eu recomendo o Firefox por causa de sua barra de ferramentas Web Developer.

Para ser 100% seguro durante a edição em um editor WYSIWYG e testar as páginas limpas em um navegador (se você tiver um Joomla local para testar), você pode desconectar o computador da Internet durante a edição.

Para testar uma página que você está limpando, considere também desativar o JavaScript, por exemplo, usando a Barra de Ferramentas do Desenvolvedor da Web no Firefox.

Além disso, ter um antivírus em execução em segundo plano não é uma má idéia.

Observe que você realmente precisa verificar todos os recursos do site, todas as páginas HTML e arquivos JavaScript.

No entanto, não se esqueça de corrigir o problema real primeiro - a vulnerabilidade que tornou a injeção possível! Presumo que, pelo que você está escrevendo, isso já foi resolvido, mas verifique se o local da invasão ocorreu.

Como medida mínima, altere todas as senhas para todas as contas relacionadas à hospedagem na web (FTP, Painel de Controle etc.).

O artigo do Blog do webmaster do Google Meu site foi invadido - e agora? é sempre uma boa leitura também. Também descreve como tornar o site indexado rapidamente com o Google.


Ótimas dicas. Faça todos eles e você estará 100% bem.

+1 para desconectar da Internet enquanto trabalha.
Dominic Rodger

3

Você deve ficar bem armazenando e editando os arquivos; no entanto, tenha cuidado ao executá- los (na verdade, atendê-los com php e um servidor web). Faça isso apenas quando tiver certeza de que estão limpos e com as permissões corretas.


2

Não é necessariamente perigoso, desde que você não tente carregar nenhuma das páginas infectadas em algo que siga os links. Dito isto, se eu estava fazendo isso, eu provavelmente fazê-lo dentro de uma máquina virtual - de que maneira se um acidente deveria acontecer, restaurar a um estado anterior, ou simplesmente jogá-lo fora e construir uma nova VM quando / é se necessários relativamente trivial.


1

Não, mas seu antivírus pode detectá-lo e limpá-lo, o que provavelmente derrotaria o objetivo.


4
Eu duvido seriamente que um antivírus detecte algum javascript hackeado em um site baixado.

A detecção é aleatória, mas sim, muitos AVs acionam o código de exploração JS.
bobince

@incrediman Eu sei de fato que o AVG irá, pois um cliente me pediu para dar uma olhada no site deles, porque de alguma forma algo continuava infectando-o e quando eu o baixei, havia alguns JS incluídos e o AVG detectou a linha e me disse o que "vírus " isso foi.
Natalie Adams

1

Supondo que você os examine manualmente e remova as coisas "ruins", você deve ficar bem. Afinal, são apenas arquivos de texto e eles não podem machucá-lo - até que você os use como instruções para algum programa. Os arquivos HTML podem conter código prejudicial no qual um navegador atuará. Da mesma forma para os scripts PHP e um servidor web (por exemplo, Apache).

Contanto que você os abra apenas com um editor de texto, você ficará bem. Se você precisar abri-los com um navegador, bloqueie o Javascript e o ActiveX.


1

Não haverá nenhum mal em manter esses arquivos em seu disco, desde que você não os abra em um navegador com javascript e quadros ativados.


1

Não é uma má ideia. É a melhor maneira de limpar um site.

Aqui está o que fazemos:

1) Use o FTP e baixe o site inteiro no seu PC. 2) Obtenha uma cópia do grepWin (é grátis) 3). Procure por códigos maliciosos em algumas áreas: antes da tag html de abertura, entre a tag da cabeça de fechamento e a etiqueta do corpo de abertura, depois da tag do corpo de abertura, após a tag do corpo de fechamento e após a tag html de fechamento.

4) Use o grepWin para procurar: eval (strings base64_decode. Geralmente são encontradas em arquivos gifimg.php e são usadas para infectar remotamente sites após a alteração das senhas de FTP.

5) Use pesquisas regex. Pode ajudá-lo a encontrar mal-scripts comuns em que o domínio ou algum pequeno segmento foi alterado.

Dependendo do programa antivírus que você possui, muitos deles detectam os arquivos javascript maliciosos e o impedem de editá-los ou os colocam em quarentena. Programas como Avast, Vipre e Kaspersky precisam ser desativados ou desativados durante a limpeza de um site.


0

Eu teria que concordar com outras pessoas que não é perigoso armazenar, mas se você quiser garantir que não danifique sua máquina durante a limpeza, eu pegaria uma cópia do Virtualbox , instale o Ubuntu na máquina virtual e baixe o site no Ubuntu e limpe-o a partir daí.

Dessa forma, sua máquina principal é o mais segura possível e, se ela matar a máquina virtual, a salvação estará a apenas uma chave de exclusão.

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.