¿Es peligroso si almaceno una copia de un sitio web infectado en mi disco local?

8

Primero, no estoy en la programación HTML y PHP.

El sitio Joomla de un amigo fue pirateado por algún tipo de inyección html, y ahora cada archivo php y html tiene un iframe que está vinculado a algún tipo de página de malware. Y ahora quiero copiar los archivos infectados del servidor a mi máquina y "limpiarlos". ¿Es esto tonto y peligroso?


fuente
1
el código malicioso probablemente se inyectó en la base de datos, por lo que también debería limpiarlo. lo único que se verá afectado son los archivos de plantilla
knittl

Respuestas:

14

No, no es peligroso almacenar. Lo que pretendes hacer con ellos puede o no ser peligroso.

Si abre estos archivos locales en un navegador web, es probable que visite las direcciones especificadas en iframes. O JavaScipt en esos archivos podría hacer algo malo como verificar los agujeros de seguridad del navegador.

  • Abra estos archivos en algún editor que no intente representar la página. Cualquier estúpido editor que no sea HTML servirá.

  • Deshabilite JavaScript en su navegador al abrir los archivos

  • Indique a su navegador que no abra ningún enlace que no provenga del dominio principal (será el sistema de archivos local en su caso). En realidad, esta es una medida de seguridad prudente para la navegación diaria también.


Puede almacenar algo venenoso como ciertos hongos durante años en su casa, pero si no tiene la intención de comerlos, está a salvo.


fuente
55
Sin embargo, si no está etiquetado como venenoso, alguien más podría comerlo. Me aseguraré de que dicho sitio web esté bien identificado como peligroso.
8

Siempre que descargue los archivos con FTP clásico y abra / edite los archivos en un editor de texto o HTML solamente (¡sin función WYSIWYG / preview!) Esto es totalmente inofensivo. Mirar el archivo en un editor de texto no es peligroso, ejecutarlo en un navegador sí lo es.

Obtenga las últimas actualizaciones de seguridad para el navegador que usará para mirar las páginas, a través de Windows Update para IE, o simplemente descargando la última versión de Firefox, Chrome o cualquier otra cosa. Recomiendo Firefox debido a su barra de herramientas de desarrollador web.

Para estar 100% seguro durante la edición en un editor WYSIWYG y probar las páginas limpiadas en un navegador (si tiene un Joomla local para probar), puede desconectar la computadora de Internet durante la edición.

Para probar una página que está limpiando, también considere desactivar JavaScript, por ejemplo, utilizando la barra de herramientas de desarrollador web en Firefox.

Además, tener un escáner de virus ejecutándose en segundo plano no es una mala idea.

Tenga en cuenta que realmente necesita verificar todos los recursos del sitio, cada página HTML y cada archivo JavaScript.

Sin embargo, no olvide solucionar primero el problema real: ¡la vulnerabilidad que hizo posible la inyección! Supongo por lo que está escribiendo que eso ya se ha solucionado, pero asegúrese de averiguar dónde ocurrió el robo.

Como medida mínima, cambie todas las contraseñas a todas las cuentas relacionadas con el alojamiento web (FTP, Panel de control, etc.).

El artículo del blog de Google Webmaster Mi sitio ha sido pirateado, ¿y ahora qué? Siempre es una buena lectura también. También describe cómo volver a indexar el sitio con Google rápidamente.

Pekka
fuente
Grandes consejos Hazlos todos y estarás 100% bien.
+1 para desconectarse de Internet mientras trabaja.
Dominic Rodger
3

Debería estar bien almacenando y editando los archivos; sin embargo, tenga cuidado al ejecutarlos (en realidad sirviéndolos con php y un servidor web). Solo haga eso una vez que esté seguro de que están limpios y tienen los permisos correctos.

Tim Lytle
fuente
2

No es necesariamente peligroso, siempre y cuando no intentes cargar ninguna de las páginas infectadas en algo que siga los enlaces. Dicho esto, si lo hacía, probablemente haría dentro de una máquina virtual - de esa manera si un accidente debe ocurrir, la restauración a un estado anterior, o simplemente tirarlo a la basura y la construcción de una nueva máquina virtual cuando / si es necesario relativamente trivial

Jerry Coffin
fuente
1

No, pero su antivirus hace que lo detecte y lo limpie, lo que probablemente frustraría el propósito.

Natalie Adams
fuente
44
Dudo seriamente que un antivirus detecte algún hack de JavaScript en un sitio web descargado.
La detección es casual, pero sí, muchos AV activarán el código de explotación JS.
bobince
@incrediman Sé que, de hecho, AVG lo hará, ya que un cliente me pidió que echara un vistazo a su sitio porque de alguna manera algo lo seguía infectando y cuando lo descargué, tenía algo de JS incluido y AVG detectó la línea y me dijo qué virus " era.
Natalie Adams
1

Suponiendo que los examinará manualmente y eliminará las cosas "malas", debería estar bien. Después de todo, solo son archivos de texto y no pueden lastimarte, hasta que los uses como instrucciones para algún programa. Los archivos HTML pueden contener código dañino sobre el que actuará un navegador. Del mismo modo para los scripts PHP y un servidor web (por ejemplo, Apache).

Siempre y cuando solo los abras con un editor de texto, estarás bien. Si debe abrirlos con un navegador, asegúrese de bloquear Javascript y ActiveX.


fuente
1

No habrá ningún daño en mantener esos archivos en su disco siempre que no los abra en un navegador con javascript y marcos habilitados.


fuente
1

No es una mala idea en absoluto. Es la mejor manera de limpiar un sitio web.

Esto es lo que hacemos:

1) Use FTP y descargue todo el sitio a su PC. 2) Obtenga una copia de grepWin (es gratis) 3). Busque en ciertas áreas los manuscritos: antes de la etiqueta html de apertura, entre la etiqueta del cabezal de cierre y la etiqueta del cuerpo de apertura, después de la etiqueta del cuerpo de apertura, después de la etiqueta del cuerpo de cierre y después de la etiqueta html de cierre.

4) Utilice grepWin para buscar: eval (cadenas base64_decode. A menudo se encuentran en archivos gifimg.php y se usan para infectar sitios web de forma remota después de cambiar las contraseñas FTP.

5) Utiliza búsquedas de expresiones regulares. Puede ayudarlo a encontrar malscripts comunes donde el dominio o algún segmento pequeño ha cambiado.

Dependiendo del programa antivirus que tenga, muchos de ellos detectarán los archivos de JavaScript maliciosos y le impedirán editarlos o los pondrán en cuarentena. Todos los programas como Avast, Vipre y Kaspersky tienen que apagarse o apagarse cuando limpiamos un sitio web.


fuente
0

Tendría que estar de acuerdo con los demás en que no es peligroso almacenarlo, pero si desea asegurarse de no dañar su máquina mientras la limpia, tomaría una copia de Virtualbox , instalar Ubuntu en la máquina virtual y descargue el sitio dentro de Ubuntu y límpielo desde allí.

De esa manera, su máquina principal es tan segura como puede hacerlo y si mata a la máquina virtual, la salvación está a solo una tecla de eliminación.

Mokubai
fuente