Как я могу просмотреть зараженный XSS веб-сайт Joomla для восстановления без заражения?

Question

И веб-файлы, и база данных были подделаны, указывая на вредоносный JavaScript.Они поручили мне перестроить их сайт, но я хотел бы иметь возможность просматривать сайт, если это возможно, чтобы получить доступ к контенту и просматривать сайт, поскольку у них было много страниц.Поскольку я изначально не создавал сайт, я не знаю структуру контента.

Мне не нужно восстанавливать сайт;Мне просто нужно восстановить его с помощью CMS по моему выбору.Я ничего не знаю о базе данных Joomla, или знаю, смогу ли я вообще получить доступ к ней, чтобы иметь возможность начать там.

Сначала я думал, что использование виртуальной машины будет в порядке, но яне уверен, что буду рисковать своей хост-машиной, используя этот метод.Я, конечно, отключил бы JavaScript, но я надеялся, что кто-то еще, возможно, уже шел по этому пути и мог бы предложить некоторое понимание.

Answer 1

Не могли бы вы просто подключиться к их хосту по FTP, заставить его работать на компьютере без подключения?

Если бы вы были действительно параноиком.Я не думаю, что зараженный XSS сайт в любом случае нанесет слишком большой ущерб правильно защищенной машине.

Answer 2

Мой параноидальный ответ:

Отличная идея отключить Javascript. Я бы получил расширение, как Noscript для Firefox или Notscript для Chrome. Я регулярно использую эти Noscript, и с их помощью легко увидеть, откуда взялся Javascript.

Во-вторых, ваша идея с ВМ хороша, но сделайте еще один шаг и запустите Linux на этой ВМ. Linux может быть заражен, но редко можно увидеть что-то, что заразит Linux.

Регулярные выражения и анализаторы HTML также могут быть вашими друзьями. Сценарий что-то, что может сканировать файлы в поисках таких вещей, как теги сценария и особенно iframes. Таким образом, вы можете получить представление о файлах, которые были повреждены, и о том, куда они обращаются.

Еще одна менее вероятная ошибка - вредоносные исполняемые файлы или сценарии, замаскированные под нечто невинное, например JPEG, PDF и т. Д. Если вы загружаете и открываете файлы с этого компьютера, убедитесь, что они по крайней мере на вашей виртуальной машине без сетевого подключения.

Получить журналы сервера, если можете; возможно, ваш противник был неаккуратным и дал некоторую подсказку об их действиях. Возможно, запустите Wireshark на второй машине, чтобы искать вещи, вызывающие странные домены. Это может быть чрезмерно, но я нахожу это забавным упражнением. :)

Также такие вещи, как Virustotal и Threat Expert могут быть вашими друзьями, если вы считаете, что у вас есть вредоносный файл или вы видите вредоносную активность. Лучше быть параноиком, чем скомпрометированным.

Answer 3

Идея ВМ хорошая. krs1 предлагает использовать Linux, что является еще лучшей идеей, поскольку почти все загружаемые трояны предназначены для Windows. Если вы запустите Wireshark во время использования сайта, чтобы увидеть, как выглядит сетевой трафик и какие URL-адреса запрашиваются, и т. Д. Если вы запустите его на виртуальной машине Linux, вы, вероятно, получите только половину картина, поскольку любой эксплойт, стоящий кислорода и затраченный на поддержание программиста во время его написания, будет проверять, на какой платформе вы работаете, и загружать только тогда, когда вы работаете на эксплуатируемой.

Но я отвлекся, вы перестраиваете веб-сайт, а не проводите анализ вредоносных программ (что более забавно, IMO). Как только вы определили и удалили оскорбительный контент, вы должны быть хорошими. Посмотрите, сможете ли вы выяснить, что за эксплойт их привлек, и поработать с их специалистом по ИТ, если у них есть такой, чтобы можно было предпринять шаги, чтобы предотвратить его повторение.

Answer 4

Очистка этого типа вещей не совсем ракетостроение. Вам просто нужно подключиться к серверу резервной базы данных и выполнить пару запросов, чтобы уничтожить содержимое xss из сохраненного содержимого.

Вы бы сделали ваш клиент отличным сервисом, начав с этого.