Web文件和数据库都被篡改,指向恶意JavaScript。他们已经委托我重建他们的网站,但我希望能够查看该网站,如果可能的话,可以访问内容并查看网站,因为他们有很多页面。由于我最初没有构建网站,所以我不知道内容的结构。
我不需要修理网站;我只需要用我选择的CMS重建它。我对Joomla数据库一无所知,或者知道我是否可以访问它以便能够从那里开始。
我原本以为使用虚拟机可以做到这一点,但我不确定我是否会冒这个主机使用这种方法。我当然会关闭JavaScript,但我希望其他人可能已经走了这条路,并且可能会提供一些见解。
答案 0 :(得分:2)
难道你不能只是FTP到他们的主机,把它拉下来让它在没有连接的机器上工作吗?
如果你真的是偏执狂。我不认为XSS感染的网站会对受到适当保护的机器造成太大的损害。
答案 1 :(得分:1)
我的偏执回答:
关闭Javascript是一个好主意。我会得到像Firefox的Nocript或Chrome的Notscript这样的扩展。我经常使用这些名字,这样可以很容易地看到Javascript来自哪里。
其次,您对VM的想法很好,但更进一步,在该VM中运行Linux。 Linux可能被感染,但很少见到会感染Linux的东西。
正则表达式和HTML解析器也可以是你的朋友。编写可以扫描文件的东西,查找脚本标签,特别是iframe。通过这种方式,您可以了解已损坏的文件以及调用哪些文件。
另一个不太可能的问题是伪装成像JPEG,PDF等无辜的恶意可执行文件或脚本。如果您从该计算机下载并打开文件,请确保它至少在您的VM上没有网络连接。
如果可以,获取服务器日志;也许你的攻击者很草率,并且对他们的活动有一些线索。也许在第二台机器上运行Wireshark来寻找呼叫奇怪域名的东西。这可能是过度的,但我觉得这是一个有趣的练习。 :)
如果您认为自己有恶意文件或看到恶意活动,Virustotal和Threat Expert之类的内容也可能是您的朋友。最好是偏执而不是妥协。
答案 2 :(得分:0)
清理这种类型的东西并不完全是火箭科学。您只需要连接到后备数据库服务器并运行几个查询以从存储的内容中删除xss内容。
通过开始这样做,你可以为你的客户提供优质的服务。
答案 3 :(得分:0)
VM的想法很好。 krs1建议运行Linux,这是一个更好的主意,因为几乎所有下载的木马都是针对Windows的。如果您在使用网站时运行Wireshark,那么您可以看到网络流量的样子以及请求的URL等。如果您在Linux VM中运行它,尽管您可能只能获得一半的图片因为在编写程序员时保持程序员活着所花费的任何漏洞都将会检查你所使用的平台,并且只有当你处于可利用程序时才下载。
但我离题了,你正在重建一个网站,而不是进行恶意软件分析(IMO更有趣)。一旦您识别并删除了违规内容,您就应该做得很好。看看你是否可以找到获得它们的漏洞,并与他们的IT人员合作,如果他们有一个,那么可以采取措施来减轻它再次发生。