Xav*_*vin 49 security anti-virus malware
我在我的网站上运行了一个恶意软件扫描程序,它将一堆压缩的 EXE 文件标记为潜在的风险文件(这些文件是由用户上传的)。由于我能够在 Mac 上解压缩文件,因此我假设这些文件是真正的 ZIP 文件,而不仅仅是重命名的 PHP 文件之类的文件。
所以 ZIP 文件应该不会对我的 Web 服务器造成任何风险,对吗?
Sve*_*ven 84
如果它们确实是压缩的 Windows exe 文件,它们应该对您的 Linux 系统无害,除非您有像 Wine 这样的东西可以尝试执行它们。
但是,如果它们在您的网络路径中,则它们可能是恶意软件,并对您网站的访问者构成巨大风险(反过来,如果您最终被标记为恶意软件来源并且用户在尝试访问您的网站时收到丑陋的警告)地点)。
Ilm*_*nen 62
由于我能够在我的 mac 上解压缩文件,我假设这些是真正的 zip 文件,而不仅仅是重命名的 php 文件之类的文件。
虽然在这种情况下您可能是对的,但您的假设可能并不总是成立。即使您在其中添加了任意数据, ZIP 存档仍然有效,因此很可能创建一个文件,该文件同时包含无害数据和恶意 PHP 脚本的有效 ZIP 存档。它甚至不是特别难;只需连接 PHP 代码和 ZIP 文件,并确保(例如使用__halt_compiler())PHP 不会尝试解析附加的 ZIP 存档数据。
这个技巧被合法地用于创建自解压 ZIP 文件,但完全有可能以相同的方式将任何其他隐藏数据或可执行代码添加到 ZIP 文件中。某些程序可能拒绝打开此类修改后的 ZIP 文件(但如果是这样,则它们在技术上违反了 ZIP 格式规范),或者默认情况下它们可能会将文件识别为 ZIP 文件以外的其他文件,但通常,如果您提供这样的文件转换为需要 ZIP 文件的代码,它可能会被接受为一个。
此类技巧的一个更常见的恶意用途是将基于 ZIP 的容器(例如 JAR 文件)中的漏洞利用代码伪装成无害的东西(例如 GIF 图像,如GIFAR漏洞利用),但没有理由不能也用于另一个方向,例如绕过禁止上传 PHP 脚本但允许上传 ZIP 文件的简单文件上传过滤器,而不检查上传的文件是否可能同时存在。
小智 11
您至少应该考虑两个值得注意的因素:
因此,根据你的服务器执行该文件可能潜在地会损害您的服务器或其他用户。由于我对从 Internet 下载的 EXE 非常谨慎,因此我想说可能的下载者是这里风险最大的潜在用户。