어떻게 감염되지 않고 재건 목적으로 XSS 감염 Joomla 웹 사이트를 탐색 할 수 있습니까?

Question

웹 파일과 데이터베이스가 모두 악의적 인 JavaScript를 가리키는 것으로 변조되었습니다. 그들은 사이트 재건을 맡겼다. 그러나 많은 페이지를 가지고 있기 때문에 가능한 한 사이트를보고 콘텐츠를보고 사이트를 볼 수 있기를 바란다. 원래 사이트를 만들지 않았기 때문에 콘텐츠의 구조를 알지 못합니다.

사이트를 복구 할 필요가 없습니다. 난 그냥 내 선택의 CMS와 함께 다시 작성해야합니다. 나는 Joomla 데이터베이스에 대해 아무 것도 모른다. 또는 내가 거기서 시작할 수 있는지에 대해서도 알 수있다.

원래 가상 머신을 사용하는 것이 좋을 것이라고 생각했지만이 방법을 사용하여 호스트 시스템을 위험에 빠뜨릴 수 있는지 확실하지 않았습니다. 물론 자바 스크립트를 사용하지 않겠지 만 다른 누군가가 이미이 길을 걸어 왔기 때문에 약간의 통찰력을 제공 할 수 있기를 바랬습니다.

Answer 1

호스트에 FTP로 연결하여 연결을 해제 한 다음 컴퓨터를 연결하지 않을 수 있습니까?

당신이 정말로 편집증 환자라면. 나는 XSS 감염 사이트가 제대로 보호 된 시스템에 너무 많은 피해를 줄 것이라고 생각하지 않습니다.

Answer 2

내 편집증 답변 :

자바 스크립트를 사용하지 않도록 설정하는 것이 좋습니다. Firefox 용 Noscript 또는 Chrome 용 Notscript와 같은 확장 프로그램을 사용할 수 있습니다. 이 Noscript를 정기적으로 사용하기 때문에 Javascript가 어디에서 왔는지 쉽게 알 수 있습니다.

두 번째로, VM을 사용한 아이디어는 훌륭하지만 한 단계 더 나아가 그 VM에서 Linux를 실행하십시오. Linux가 감염 될 수는 있지만 Linux에 감염 될 수있는 것은 드뭅니다.

정규 표현식과 HTML 파서도 친구가 될 수 있습니다. 스크립트 태그, 특히 iframe과 같은 것을 찾는 파일을 스캔 할 수있는 스크립트를 작성하십시오. 그렇게하면 손상된 파일과 어디에서 호출 하는지를 알 수 있습니다.

악성 실행 파일이나 JPEG는 PDF, PDF 등의 무언가로 위장한 스크립트입니다. 해당 컴퓨터에서 파일을 다운로드하여 여는 경우 최소한 네트워크 연결이없는 VM에 있는지 확인하십시오 .

가능한 경우 서버 로그를 가져옵니다. 어쩌면 당신의 가해자는 조잡하고 그들의 활동에 대한 단서를 남겼습니다. 아마도 두 번째 컴퓨터에서 Wireshark를 실행하여 이상한 도메인을 불러내는 일을 찾아야합니다. 이것은 과도 할 수도 있지만 재미있는 운동으로 생각됩니다. :)

또한 악의적 인 파일이 있거나 악의적 인 활동이 있다고 생각하는 경우 Virustotal 및 Threat Expert과 같은 메일을 친구로 지정할 수 있습니다. 타협보다 편집증에 잘 걸린다.

Answer 3

이런 유형의 것을 청소하는 것은 정확하게 로켓 과학이 아닙니다. 백업 데이터베이스 서버에 연결하고 저장된 쿼리에서 xss 항목을 제거하기 위해 몇 가지 쿼리를 실행하면됩니다.

고객은 훌륭한 서비스를 제공하기 시작합니다.

Answer 4

VM 아이디어는 좋은 아이디어입니다. krs1은 Linux를 실행하는 것이 좋습니다. 이는 다운로드되는 거의 모든 트로이 목마가 Windows 용이므로 더 좋은 아이디어입니다. 사이트를 사용하는 동안 Wireshark을 실행하면 네트워크 트래픽이 어떻게 보이고 어떤 URL이 요청되는지 등을 볼 수 있습니다.Linux VM에서 실행하는 경우 프로그래머가 살아있는 동안 계속 유지하는 데 필요한 가치가있는 공격 이후로 사진의 절반 만 가져올 수 있습니다. 작성한 동안 어떤 플랫폼에서 작동하는지 확인하고 다운로드 할 때만 다운로드 할 수 있습니다. 악용 가능한 것.

하지만 나는 웹 사이트를 재구성하고 악성 코드 분석을 수행하지 않습니다 (IMO가 더 재미 있습니다). 불쾌감을주는 콘텐츠를 찾아서 제거하면 좋을 것입니다. 그들이 어떤 착취가 있었는지 알아낼 수 있는지 확인하고, IT 담당자와 함께 작업하면 다시 발생하지 않도록 조치를 취할 수 있는지 확인하십시오.