18 окт. 2013 г.

Внедрение вредоносного кода в картинку jpg

внедрение кода в картинку
Да, в этом и заключается очередная серия моего ужастика. Если раньше меня травмировали редиректом, то теперь на замену предлагалось нечто иное: скрипт ай-болит, запущенный из командной строки, пометил как заражённые обычные картинки, файлы в формате jpg. Я и раньше читала на страничке проекта, что вариант запуска из браузера не рекомендуется, так как выполняет только экспресс-сканирование, но теперь убедилась в этом окончательно. Впредь буду только так делать и вам советую. А то я думала, что перетащила на новый хостинг чистые сайты - ан нет, зараза в них осталась.

На Ароматах было заражено три картинки, на Урашке - десять, восемь - на Докторе. А с виду - картинка, как картинка. Все они были загружены в разное время. Три из картинок на урашке - по одной из трёх мастер-классов. В кадом мастер-классе было около 20 картинок, но заразили только одну. Смотришь на картинку - самая обычная. А кто-то умудрился к ней в печёнки влезть, подумайте только. Я поражалась и потрясалась, пока не вспомнила о служебной информации, которая сопровождает каждую картинку и фотку - если открыть в фотошопе, и посмотреть свойства, то сразу станет видно, что код внедрили в поле "тип камеры". Но в фотошопе это не откорректируешь, и на сервере тоже. Либо удалять картинку, либо пропускать через редактор EXIF.

Удалять картинки мне было жалко, потому что они были промежуточные в МК. Побродила по Гуглу и нашла дельный совет. Для своих чайниковских нужд я редко использую фотошоп, обхожусь программкой irfanview. Ну так вот, надо пересохранить картинку в этой программке, сняв галку в боковом меню "сохранить исходные данные EXIF". Скинула на комп картинки, открыла в фотошопе, убедилась, что код есть. Пересохранила через irfanview, проверила фотошопом - кода нет.

В отдельные файлы джумлы некто любезный внедрил рнр код, а также отдельные рнр файлы с целой страницей своей формы поиска, которая, когда я открыла её на компе, выглядела так, как на картинке в начале поста (это я скрин сделала). Но как это всё вместе должно было работать - не ведаю. В служебную информацию картинки втиснули код, который я разобрать не смогла.

Ну, короче, по моей просьбе хостер перенёс меня на сервер с изоляцией сайтов и включил логирование. Посмотрим, кто ко мне ломится и откуда. Впихивают мне какую-то левую форму для поиска, которую и не видно, собственно говоря. Вешают в корень картинку - а она не вылезает навстречу посетителям.И слава Богу, конечно, но просто кажется мне, что мои взломщики - такие же чайники, как и я.

20 коммент.:

Отправить комментарий

 
Rambler's Top100