Ist es gefährlich, wenn ich eine Kopie einer infizierten Website auf meiner lokalen Festplatte speichere?

8

Erstens beschäftige ich mich nicht mit HTML- und PHP-Programmierung.

Die Joomla-Site eines Freundes wurde durch eine Art HTML-Injektion gehackt, und jetzt hat jede PHP- und HTML-Datei einen Iframe, der mit einer Art Malware-Seite verknüpft ist. Und jetzt möchte ich die infizierten Dateien vom Server auf meinen Computer kopieren und sie "bereinigen". Ist das dumm und gefährlich?


quelle
1
Der Schadcode wurde wahrscheinlich in die Datenbank eingefügt, sodass Sie ihn auch bereinigen müssen. Das einzige andere, was betroffen ist, sind Vorlagendateien
knittl

Antworten:

14

Nein, es ist nicht gefährlich zu lagern. Was Sie mit ihnen vorhaben, kann gefährlich sein oder auch nicht.

Wenn Sie diese lokalen Dateien in einem Webbrowser öffnen, werden wahrscheinlich die in iframes angegebenen Adressen aufgerufen. Oder JavaScipt in diesen Dateien kann etwas Schlechtes bewirken, z. B. nach Sicherheitslücken im Browser suchen.

  • Öffnen Sie diese Dateien in einem Editor, der nicht versucht, die Seite zu rendern. Jeder dumme Nicht-HTML-Editor reicht aus.

  • Deaktivieren Sie JavaScript in Ihrem Browser, wenn Sie die Dateien öffnen

  • Weisen Sie Ihren Browser an, keine Links zu öffnen, die nicht von der Hauptdomäne stammen (in Ihrem Fall das lokale Dateisystem). Tatsächlich ist dies auch beim täglichen Surfen eine umsichtige Sicherheitsmaßnahme.


Sie können etwas Giftiges wie bestimmte Pilze jahrelang in Ihrem Haus aufbewahren, aber wenn Sie nicht vorhaben, sie zu essen, sind Sie in Sicherheit.


quelle
5
Wenn es jedoch nicht als giftig eingestuft ist, kann es jemand anderes essen. Ich würde sicherstellen, dass die besagte Website als gefährlich eingestuft wird.
8

Solange Sie die Dateien mit klassischem FTP herunterladen und die Dateien nur in einem Text- oder HTML-Editor öffnen / bearbeiten (keine WYSIWYG / Vorschaufunktion!), Ist dies völlig harmlos. Das Betrachten der Datei in einem Texteditor ist nicht gefährlich, das Ausführen in einem Browser ist gefährlich.

Holen Sie sich die neuesten Sicherheitsupdates für den Browser, mit dem Sie die Seiten anzeigen möchten - über Windows Update für IE oder indem Sie einfach die neueste Version von Firefox, Chrome oder so weiter herunterladen. Ich würde Firefox wegen seiner Web Developer-Symbolleiste empfehlen.

Um beim Bearbeiten in einem WYSIWYG-Editor 100% sicher zu sein und die bereinigten Seiten in einem Browser zu testen (wenn Sie ein lokales Joomla zum Testen haben), können Sie den Computer während der Bearbeitung vom Internet trennen.

Um eine Seite zu testen, die Sie bereinigen, sollten Sie auch JavaScript deaktivieren, z. B. mithilfe der Web Developer Toolbar in Firefox.

Es ist auch keine schlechte Idee, einen Virenscanner im Hintergrund laufen zu lassen.

Beachten Sie, dass Sie wirklich jede einzelne Ressource auf der Site, jede HTML-Seite und jede JavaScript-Datei überprüfen müssen.

Vergessen Sie jedoch nicht, zuerst das eigentliche Problem zu beheben - die Sicherheitslücke, die die Injektion ermöglicht hat! Ich gehe davon aus, dass das, was Sie schreiben, bereits sortiert wurde, aber stellen Sie sicher, dass Sie herausfinden, wo der Einbruch stattgefunden hat.

Ändern Sie mindestens alle Kennwörter in alle Webhosting-bezogenen Konten (FTP, Systemsteuerung usw.).

Der Artikel " Meine Website" des Google Webmaster-Blogs wurde gehackt - was nun? ist auch immer gut zu lesen. Außerdem wird beschrieben, wie Sie die Website schnell mit Google neu indizieren können.

Pekka
quelle
Tolle Tipps. Tun Sie alle und Sie werden 100% in Ordnung sein.
+1 für das Trennen der Verbindung aus dem Internet während der Arbeit.
Dominic Rodger
3

Sie sollten die Dateien problemlos speichern und bearbeiten können. Seien Sie jedoch vorsichtig bei der Ausführung (tatsächlich mit PHP und einem Webserver). Tun Sie dies nur, wenn Sie sicher sind, dass sie sauber sind und über die richtigen Berechtigungen verfügen.

Tim Lytle
quelle
2

Es ist nicht unbedingt gefährlich, solange Sie nicht versuchen, eine der infizierten Seiten in etwas zu laden, das den Links folgt. Das heißt, wenn ich es tun würde, würde ich es wahrscheinlich in einer virtuellen Maschine tun - auf diese Weise, wenn ein Unfall passieren sollte , ein früherer Zustand wiederhergestellt oder einfach weggeworfen und bei Bedarf eine neue VM erstellt werden sollte relativ trivial.

Jerry Sarg
quelle
1

Nein, aber Ihr Antivirenprogramm erkennt es und reinigt es, was wahrscheinlich den Zweck zunichte machen würde.

Natalie Adams
quelle
4
Ich bezweifle ernsthaft, dass ein Antivirenprogramm einen Javascript-Hack auf einer heruntergeladenen Website erkennen wird.
Die Erkennung ist zufällig, aber ja, viele AVs lösen JS-Exploit-Code aus.
Bobince
@incrediman Ich weiß, dass AVG dies tun wird, da ein Kunde mich gebeten hat, einen Blick auf seine Website zu werfen, weil sie irgendwie immer wieder infiziert wurde. Als ich sie herunterlud, waren einige JS enthalten, und AVG erkannte die Leitung und sagte mir, was für ein Virus " es war.
Natalie Adams
1

Angenommen, Sie werden sie manuell untersuchen und das "schlechte" Zeug entfernen, sollte es Ihnen gut gehen. Es sind schließlich nur Textdateien, die Sie nicht verletzen können - bis Sie sie als Anweisungen für ein Programm verwenden. Die HTML-Dateien können schädlichen Code enthalten, auf den ein Browser reagiert. Ebenso für die PHP-Skripte und einen Webserver (zB Apache).

Solange Sie sie nur mit einem Texteditor öffnen, ist alles in Ordnung. Wenn Sie sie mit einem Browser öffnen müssen, stellen Sie sicher, dass Sie Javascript und ActiveX sperren.


quelle
1

Es schadet nicht, diese Dateien auf Ihrer Festplatte zu speichern, solange Sie sie nicht in einem Browser mit aktiviertem Javascript und aktivierten Frames öffnen.


quelle
1

Es ist überhaupt keine schlechte Idee. Dies ist der beste Weg, um eine Website zu bereinigen.

Folgendes machen wir:

1). Verwenden Sie FTP und laden Sie die gesamte Site auf Ihren PC herunter. 2). Holen Sie sich eine Kopie von grepWin (kostenlos) 3). Suchen Sie in bestimmten Bereichen nach Malskripten: vor dem öffnenden HTML-Tag, zwischen dem schließenden Kopf-Tag und dem öffnenden Body-Tag, nach dem öffnenden Body-Tag, nach dem schließenden Body-Tag und nach dem schließenden HTML-Tag.

4). Verwenden Sie grepWin, um nach: eval (base64_decode-Zeichenfolgen) zu suchen. Diese befinden sich häufig in gifimg.php-Dateien und werden verwendet, um Websites remote zu infizieren, nachdem die FTP-Kennwörter geändert wurden.

5). Verwenden Sie Regex-Suchen. Es kann Ihnen helfen, häufig verwendete Malskripte zu finden, bei denen sich die Domäne oder ein kleines Segment geändert hat.

Je nachdem, über welches Antivirenprogramm Sie verfügen, erkennen viele von ihnen die schädlichen Javascript-Dateien und blockieren entweder die Bearbeitung oder die Quarantäne. Programme wie Avast, Vipre und Kaspersky müssen beim Bereinigen einer Website deaktiviert oder deaktiviert werden.


quelle
0

Ich muss anderen zustimmen, dass das Speichern nicht gefährlich ist, aber wenn Sie sicherstellen möchten, dass Ihr Computer beim Reinigen keinen Schaden nimmt, greife ich zu einer Kopie von Virtualbox , installiere Ubuntu in der virtuellen Maschine und Laden Sie die Site in Ubuntu herunter und bereinigen Sie sie von dort aus.

Auf diese Weise ist Ihre Hauptmaschine so sicher wie möglich. Wenn die virtuelle Maschine zerstört wird, ist die Rettung nur einen Löschschlüssel entfernt.

Mokubai
quelle