Est-il dangereux de stocker une copie d'un site Web infecté sur mon disque local?

8

Tout d'abord, je ne suis pas dans la programmation HTML et PHP.

Le site Joomla d'un ami a été piraté par une sorte d'injection html, et maintenant chaque fichier php et html a une iframe qui est liée à une sorte de page de malware. Et maintenant, je veux copier les fichiers infectés du serveur sur ma machine et les "nettoyer". Est-ce stupide et dangereux?

php  html  malware  iframe 
1
le code malveillant a probablement été injecté dans la base de données, vous devez donc le nettoyer également. la seule autre chose à être affectée sont les fichiers modèles
knittl

Réponses:

14

Non, ce n'est pas dangereux de stocker. Ce que vous avez l'intention de faire avec eux peut être dangereux ou non.

Si vous ouvrez ces fichiers locaux dans un navigateur Web, il visitera probablement les adresses spécifiées dans les iframes. Ou JavaScipt dans ces fichiers pourrait faire quelque chose de mal comme vérifier les trous de sécurité du navigateur.

  • Ouvrez ces fichiers dans un éditeur qui n'essaiera pas de rendre la page. N'importe quel éditeur non HTML stupide fera l'affaire.

  • Désactivez JavaScript dans votre navigateur lors de l'ouverture des fichiers

  • Dites à votre navigateur de ne pas ouvrir de liens ne provenant pas du domaine principal (ce sera le système de fichiers local dans votre cas). En fait, il s'agit également d'une mesure de sécurité prudente pour la navigation quotidienne.

Vous pouvez stocker quelque chose de toxique comme certains champignons pendant des années dans votre maison, mais si vous n'avez pas l'intention de les manger, vous êtes en sécurité.

5
Cependant, s'il n'est pas étiqueté toxique, quelqu'un d'autre pourrait le manger. Je m'assurerais que ledit site Web est bien identifié comme dangereux.
8

Tant que vous téléchargez les fichiers en utilisant le FTP classique et ouvrez / modifiez les fichiers dans un éditeur de texte ou HTML uniquement (pas de fonction WYSIWYG / aperçu!), Cela est totalement inoffensif. Regarder le fichier dans un éditeur de texte n'est pas dangereux, l'exécuter dans un navigateur l'est.

Obtenez les dernières mises à jour de sécurité pour le navigateur que vous utiliserez pour consulter les pages - via Windows Update pour IE, ou simplement en téléchargeant la dernière version de Firefox, Chrome ou autre. Je recommanderais Firefox en raison de sa barre d'outils Web Developer.

Pour être sûr à 100% lors de l'édition dans un éditeur WYSIWYG et pour tester les pages nettoyées dans un navigateur (si vous avez un Joomla local à tester), vous pouvez déconnecter l'ordinateur d'Internet pendant l'édition.

Pour tester une page que vous nettoyez, pensez également à désactiver JavaScript, par exemple en utilisant la barre d'outils des développeurs Web dans Firefox.

De plus, avoir un antivirus en arrière-plan n'est pas une mauvaise idée.

Notez que vous devez vraiment vérifier chaque ressource sur le site, chaque page HTML et fichier JavaScript.

Cependant, n'oubliez pas de résoudre d'abord le problème réel - la vulnérabilité qui a rendu l'injection possible! Je suppose que d'après ce que vous écrivez, cela a déjà été trié, mais assurez-vous de savoir où le cambriolage s'est produit.

Au minimum, changez tous les mots de passe pour tous les comptes liés à l'hébergement Web (FTP, Panneau de configuration, etc.).

L'article de Google Webmaster Blog My Site a été piraté - et maintenant? est toujours aussi une bonne lecture. Il décrit également comment obtenir le site réindexé rapidement avec Google.

Pekka
source
Grands conseils. Faites-les tous et tout ira bien à 100%.
+1 pour se déconnecter d'Internet tout en travaillant.
Dominic Rodger
3

Vous devriez très bien stocker et éditer les fichiers; cependant, faites attention à les exécuter (en les servant avec php et un serveur web). Ne faites cela qu'une fois que vous êtes sûr qu'ils sont propres et que vous disposez des autorisations appropriées.

Tim Lytle
source
2

Ce n'est pas nécessairement dangereux, tant que vous n'essayez pas de charger l'une des pages infectées dans quelque chose qui suivrait les liens. Cela dit, si je le faisais, je le ferais probablement à l'intérieur d'une machine virtuelle - de cette façon si un accident devait se produire, restaurer à un état antérieur, ou simplement le jeter et construire une nouvelle machine virtuelle quand / si nécessaire est relativement trivial.

Jerry Coffin
source
1

Non, mais votre antivirus le fait détecter et nettoyer, ce qui irait probablement à l'encontre du but recherché.

Natalie Adams
source
4
Je doute fortement qu'un antivirus détecte un piratage javascript dans un site Web téléchargé.
La détection est aléatoire, mais oui, de nombreux AV déclenchent le code d'exploitation JS.
bobince
@incrediman Je sais pertinemment qu'AVG le fera, car un client m'a demandé de jeter un œil à leur site parce que quelque chose continuait de l'infecter et quand je l'ai téléchargé, il y avait du JS inclus et AVG détectait la ligne et m'a dit quel "virus " c'était.
Natalie Adams
1

En supposant que vous les examiniez manuellement et en supprimant les "mauvais" trucs, ça devrait aller. Après tout, ce ne sont que des fichiers texte et ceux-ci ne peuvent pas vous blesser - jusqu'à ce que vous les utilisiez comme instructions pour un programme. Les fichiers HTML peuvent contenir du code nuisible sur lequel un navigateur agira. De même pour les scripts PHP et un serveur web (par exemple Apache).

Tant que vous ne les ouvrez qu'avec un éditeur de texte, tout ira bien. Si vous devez les ouvrir avec un navigateur, assurez-vous de verrouiller Javascript et ActiveX.

1

Il n'y aura aucun mal à conserver ces fichiers sur votre disque tant que vous ne les ouvrez pas dans un navigateur avec javascript et cadres activés.

1

Ce n'est pas du tout une mauvaise idée. C'est le meilleur moyen de nettoyer un site Web.

Voici ce que nous faisons:

1). Utilisez FTP et téléchargez l'intégralité du site sur votre PC. 2). Obtenez une copie de grepWin (c'est gratuit) 3). Recherchez dans certains domaines les faux scripts: avant la balise html d'ouverture, entre la balise head de fermeture et la balise body d'ouverture, après la balise body d'ouverture, après la balise body de fermeture et après la balise html de fermeture.

4). Utilisez grepWin pour rechercher: eval (chaînes de base64_decode. Elles se trouvent souvent dans les fichiers gifimg.php et sont utilisées pour infecter à distance des sites Web après la modification des mots de passe FTP.

5). Utilisez des recherches d'expression régulière. Il peut vous aider à trouver des faux scripts courants où le domaine ou un petit segment a changé.

Selon le programme antivirus dont vous disposez, bon nombre d'entre eux détectent les fichiers javascript malveillants et vous empêchent de les modifier ou les mettent en quarantaine. Des programmes comme Avast, Vipre et Kaspersky doivent tous être désactivés ou désactivés lorsque nous nettoyons un site Web.

0

Je dois être d'accord avec les autres pour dire que ce n'est pas dangereux de stocker, mais si vous voulez vous assurer que vous n'endommagez pas votre machine pendant le nettoyage, je prendrais une copie de Virtualbox , installer Ubuntu dans la machine virtuelle et téléchargez le site dans Ubuntu et nettoyez-le à partir de là.

De cette façon, votre machine principale est aussi sûre que possible et si elle tue la machine virtuelle, le salut n'est qu'à une clé de suppression.

Mokubai
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.