Опасно ли хранить копию зараженного сайта на локальном диске?

8

Во-первых, я не занимаюсь программированием на HTML и PHP.

Сайт Joomla друга был взломан каким-то html-внедрением, и теперь каждый php и html-файл имеет iframe, который связан с какой-то страницей вредоносного ПО. И теперь я хочу скопировать зараженные файлы с сервера на мой компьютер и «очистить» их. Это глупо и опасно?


источник
1
Вредоносный код, вероятно, был введен в базу данных, поэтому вам также придется его очистить. единственное, что может быть затронуто, это файлы шаблонов
knittl

Ответы:

14

Нет, хранить не опасно. То, что вы намереваетесь делать с ними, может или не может быть опасным.

Если вы откроете эти локальные файлы в веб-браузере, он, скорее всего, посетит адреса, указанные в фреймах. Или JavaScipt в этих файлах может сделать что-то плохое, например, проверить дыры в безопасности браузера.

  • Откройте эти файлы в каком-то редакторе, который не будет пытаться отобразить страницу. Подойдет любой тупой редактор не-HTML.

  • Отключите JavaScript в вашем браузере при открытии файлов

  • Скажите вашему браузеру, чтобы он не открывал ссылки, не исходящие из основного домена (в вашем случае это будет локальная файловая система). На самом деле, это разумная мера безопасности для ежедневного просмотра.


Вы можете хранить в своем доме что-то ядовитое, например, грибы, но если вы не собираетесь их есть, вы в безопасности.


источник
5
Однако, если это не маркировано ядовитым, кто-то еще мог бы съесть это. Я позабочусь о том, чтобы указанный сайт был идентифицирован как опасный.
8

Пока вы загружаете файлы с использованием классического FTP и открываете / редактируете файлы только в текстовом или HTML-редакторе (без функции WYSIWYG / предварительного просмотра!), Это абсолютно безопасно. Смотреть на файл в текстовом редакторе не опасно, выполнение в браузере.

Получите последние обновления безопасности для браузера, который вы будете использовать для просмотра страниц - через Центр обновления Windows для IE или просто загрузив последнюю версию Firefox, Chrome или еще много чего. Я бы порекомендовал Firefox из-за его панели инструментов для веб-разработчиков.

Чтобы быть на 100% безопасным при редактировании в редакторе WYSIWYG и тестировать очищенные страницы в браузере (если у вас есть локальный Joomla для тестирования), вы можете отключить компьютер от Интернета во время редактирования.

Чтобы протестировать очищаемую страницу, также подумайте об отключении JavaScript, например, с помощью панели инструментов веб-разработчика в Firefox.

Кроме того, наличие антивирусного сканера в фоновом режиме - неплохая идея.

Обратите внимание, что вам действительно нужно проверить каждый ресурс на сайте, каждую HTML-страницу и файл JavaScript.

Однако не забудьте сначала решить реальную проблему - уязвимость, которая сделала возможным внедрение! Из того, что вы пишете, я предполагаю, что это уже отсортировано, но убедитесь, что вы узнали, где произошло взлом.

Как минимум, измените все пароли для всех учетных записей, связанных с веб-хостингом (FTP, Панель управления и т. Д.).

Статья в блоге Google для веб-мастеров Мой сайт взломан - что теперь? всегда хорошо читать. Также описывается, как быстро переиндексировать сайт с помощью Google.

Пекка
источник
Отличные советы. Сделайте все из них, и вы будете на 100% хорошо.
+1 за отключение от интернета во время работы.
Доминик Роджер
3

Вы должны просто хранить и редактировать файлы; однако, будьте осторожны с их выполнением (на самом деле обслуживайте их с помощью php и веб-сервера). Делайте это только тогда, когда вы уверены, что они чисты и имеют правильные разрешения.

Тим Лайтл
источник
2

Это не обязательно опасно, если вы не пытаетесь загрузить любую из зараженных страниц во что-либо, что будет следовать ссылкам. Тем не менее, если бы я это делал, я бы , вероятно , сделать это в виртуальной машине - это путь , если несчастный случай должен произойти, восстановление в прежнее состояние, или просто выбросить и построить новую виртуальную машину , когда / если необходимо , так это относительно тривиально

Джерри Гроб
источник
1

Нет, но ваш антивирус обнаружит и очистит его, что, вероятно, приведет к поражению цели.

Натали Адамс
источник
4
Я серьезно сомневаюсь, что антивирус обнаружит взлом JavaScript на загруженном веб-сайте.
Обнаружение является случайным, но да, многие AV запускают код эксплойта JS.
Бобинц
@incrediman Я точно знаю, что AVG сделает это, поскольку клиент попросил меня взглянуть на их сайт, потому что каким-то образом что-то продолжало заражать его, и когда я загружал его, в него входил какой-то JS, и AVG обнаруживал линию и говорил мне, какой «вирус» " это было.
Натали Адамс
1

Предполагая, что вы будете вручную проверять их и удалять «плохие» вещи, у вас все будет хорошо. В конце концов, это всего лишь текстовые файлы, и они не причинят вам вреда, пока вы не используете их в качестве инструкций для какой-либо программы. Файлы HTML могут содержать вредоносный код, с которым будет работать браузер. Аналогично для сценариев PHP и веб-сервера (например, Apache).

Пока вы открываете их только в текстовом редакторе, все будет в порядке. Если вам необходимо открыть их с помощью браузера, убедитесь, что вы заблокировали Javascript и ActiveX.


источник
1

Хранение этих файлов на диске не повредит, если вы не откроете их в браузере с включенными JavaScript и фреймами.


источник
1

Это совсем не плохая идея. Это лучший способ очистить сайт.

Вот что мы делаем:

1). Используйте FTP и загрузите весь сайт на свой компьютер. 2). Получить копию grepWin (это бесплатно) 3). В некоторых областях можно найти скрипты: перед открывающим тегом html, между закрывающим тегом заголовка и открывающим тегом тела, после открывающего тега тела, после закрывающего тега тела и после закрывающего тега html.

4). Используйте grepWin для поиска строк: eval (base64_decode). Они часто находятся в файлах gifimg.php и используются для удаленного заражения веб-сайтов после изменения паролей FTP.

5). Используйте поиск по регулярному выражению. Это может помочь вам найти распространенные сценарии, в которых изменился домен или небольшой сегмент.

В зависимости от того, какая у вас антивирусная программа, многие из них обнаружат вредоносные файлы javascript и либо заблокируют вам редактирование, либо изолируют их. Такие программы, как Avast, Vipre и Kaspersky, должны быть выключены или выключены, когда мы чистим веб-сайт.


источник
0

Я должен согласиться с другими, что хранить их не опасно, но если вы хотите убедиться, что вы не повредите свою машину во время очистки, я бы взял копию Virtualbox , установил Ubuntu на виртуальную машину и загрузите сайт в Ubuntu и очистите его оттуда.

Таким образом, ваша главная машина настолько безопасна, насколько вы можете ее создать, и если она убивает виртуальную машину, то спасение - это только удаление ключа.

Мокубай
источник