Wie kann ich eine XSS-infizierte Joomla-Website für Wiederherstellungszwecke durchsuchen, ohne infiziert zu sein?

Question

Sowohl die Web-Dateien als auch die Datenbank wurden manipuliert und verweisen auf bösartiges JavaScript. Sie haben mich beauftragt, ihre Website neu zu erstellen, aber ich würde gerne in der Lage sein, die Website wenn möglich zu sehen, um den Inhalt zu sehen und die Seite zu sehen, da sie viele Seiten hatte. Da ich die Seite ursprünglich nicht erstellt habe, kenne ich die Struktur des Inhalts nicht.

Ich muss die Website nicht reparieren; Ich muss es nur mit dem CMS meiner Wahl neu aufbauen. Ich weiß nichts über die Joomla-Datenbank oder weiß, ob ich überhaupt Zugang dazu habe, um dort starten zu können.

Ich dachte ursprünglich, dass die Verwendung einer virtuellen Maschine in Ordnung wäre, aber ich war mir nicht sicher, ob ich meine Host-Maschine auch mit dieser Methode riskieren würde. Ich würde natürlich JavaScript abschalten, aber ich hatte gehofft, jemand anderes wäre vielleicht schon diesen Weg gegangen und könnte vielleicht einen Einblick geben.

Answer 1

Konnten Sie nicht einfach FTP zu ihrem Host, ziehen Sie es ab und es funktioniert auf einem Rechner ohne Verbindung?

Wenn Sie wirklich paranoid waren. Ich glaube nicht, dass eine XSS-infizierte Seite sowieso eine zu gut geschützte Maschine beschädigen würde.

Answer 2

Meine paranoid Antwort:

Es ist eine großartige Idee, Javascript zu deaktivieren. Ich würde eine Erweiterung wie Noscript für Firefox oder Notscript für Chrome bekommen. Ich benutze diese Noscript regelmäßig, und es macht es einfach zu sehen, was Javascript von wo kommt.

Zweitens ist Ihre Idee mit einer VM gut, aber gehen Sie einen Schritt weiter und führen Sie Linux in dieser VM aus. Linux kann infiziert sein, aber es ist selten, etwas zu sehen, das Linux infiziert.

Reguläre Ausdrücke und HTML-Parser können auch Ihre Freunde sein. Schreiben Sie etwas, das nach Dateien wie Skript-Tags und vor allem Iframes sucht. Auf diese Weise können Sie sich ein Bild von beschädigten Dateien machen und davon, was angerufen wird.

Ein anderes, weniger wahrscheinlich, ist bösartige ausführbare Dateien oder Skripts als etwas Unschuldige wie ein JPEG, PDFs usw. verborgen. Wenn Sie Dateien von diesem Computer herunterladen und öffnen, stellen Sie sicher, dass es mindestens auf Ihrer VM ohne Netzwerkverbindung ist .

Erhalten Sie Serverprotokolle, wenn Sie können; vielleicht war dein Angreifer schlampig und ließ etwas über ihre Aktivitäten wissen. Führe Wireshark vielleicht auf einer zweiten Maschine durch, um nach Dingen Ausschau zu halten, die nach seltsamen Domänen rufen. Dies kann übertrieben sein, aber ich finde es eine lustige Übung. :)

Auch Dinge wie Virustotal und Threat Expert können deine Freunde sein, wenn du denkst, dass du eine bösartige Datei hast oder bösartige Aktivitäten siehst. Lieber paranoid als kompromittiert.

Answer 3

Reinigung dieser Art von Sachen ist nicht gerade Raketenwissenschaft. Sie müssen nur eine Verbindung zum Backing-Datenbankserver herstellen und einige Abfragen ausführen, um die XSS-Inhalte aus dem gespeicherten Inhalt zu entfernen.

Sie würden Ihrem Kunden einen großartigen Service bieten, wenn Sie damit beginnen.

Answer 4

Die VM-Idee ist eine gute Idee. krs1 schlägt Linux vor, was eine noch bessere Idee ist, da fast alle Trojaner, die heruntergeladen werden, für Windows sind. Wenn Sie während der Verwendung der Website Wireshark ausführen, können Sie sehen, wie der Netzwerkverkehr aussieht und welche URLs angefordert werden usw.Wenn Sie es in einer Linux-VM ausführen, erhalten Sie wahrscheinlich nur die Hälfte des Bildes, da jeder Exploit den Sauerstoff wert ist, der benötigt wurde, um den Programmierer am Leben zu halten, während er geschrieben wurde, auf welcher Plattform Sie sind und nur herunterladen, wenn Sie es sind auf einem verwertbaren.

Aber ich schweife ab, Sie bauen eine Website um, keine Malware-Analyse (die mehr Spaß macht IMO). Sobald Sie die anstößigen Inhalte identifizieren und entfernen, sollten Sie gut sein. Sehen Sie, ob Sie herausfinden können, was der Exploit war, der sie bekommen hat, und arbeiten Sie mit ihrem IT-Typen zusammen, wenn sie einen haben, damit Schritte unternommen werden können, um es wieder zu vermeiden.