La visualizzazione di un file infetto via FTP e l'editor di codice non infetteranno il mio PC giusto?

2

Le mie scuse potrebbero sembrare una domanda paranoica ...

Recentemente il sito web del mio amico è stato infettato da malware.

Con il suo permesso, ho FTP nel suo account per dare un'occhiata e ho trovato alcuni file PHP dannosi con le stringhe Base64 (penso?) così come i file TXT che sembrano come script Bash / Perl che chiamano "wget" su qualche server.

Domanda:

  1. Non verrò infettato visualizzando / modificando quei file PHP e TXT giusto? (Uso FTP per scaricarli e Aptana Studio 3 per visualizzarli).

  2. Ho provato a decodificare la presunta stringa Base64 usando un decoder online. L'operazione è fallita (cioè non è stato decodificato nulla). Nulla è stato anche scaricato. Fare questo non farà sì che il mio PC sia infetto giusto?

Grazie ragazzi.

    
posta Honey Badger 22.12.2014 - 06:45
fonte

2 risposte

5

Non così paranoico, Aprire i file in un editor di testo dovrebbe essere sicuro. L'apertura di altri tipi di file è più rischiosa, i PDF, le immagini, i documenti dell'ufficio, tutti hanno avuto delle vulnerabilità in cui aprire il file in determinati spettatori. La maggior parte degli editor di testo è abbastanza semplice da avere poche vulnerabilità.

Assicurati di non eseguire mai i file .php, ti consiglio di cambiare le estensioni dei file in .txt non appena li scarichi.

Un passo in più per il paranoico, vorrei anche raccomandare l'apertura dei file in un semplice editor di testo, come notepad, editpad pro, testo sublime o simile. Più è complesso e più l'editor capisce il formato più è probabile che ci sia un bug che potrebbe essere sfruttabile. Questo è molto più un problema con formati complessi come .doc o .pdf.

Ulteriore risposta

C'è la risposta accademica e la risposta pragmatica e sono diversi.

La risposta accademica è che è possibile che l'apertura di qualsiasi file in qualsiasi editor possa compromettere la tua casella. È possibile che la copia del testo di codifica nel tuo buffer di pasta abbia compromesso la tua casella. È possibile che incollare il testo codificato in un sito Web abbia compromesso il tuo browser Web che ha compromesso la tua casella.

La risposta accademica non è molto utile.

La risposta pragmatica è che starai bene finché non eseguirai i file. Sebbene la risposta accademica sia effettivamente corretta, è altamente improbabile che l'hacker che ha compromesso il server avesse accesso o fosse disposto a utilizzare attacchi zero-day contro il software desktop.

Per la prossima volta che si sta eseguendo una risposta agli incidenti o un esame del malware, si dovrebbe prendere in considerazione l'idea di eseguire il lavoro in una macchina virtuale e scartare eventuali modifiche alla macchina virtuale una volta terminato il lavoro.

    
risposta data 22.12.2014 - 07:21
fonte
1

Poiché i dati sono incorporati in un file di script PHP, è perfettamente sicuro scaricare il file e modificarlo in un editor di script.

Se riesci a decodificare i dati oscurati, devi, ovviamente, fare attenzione a come gestirli.

Non c'è pericolo per te o per chiunque altro se non stai cercando di interpretare i dati automaticamente. Anche il tentativo di interpretare i dati oscurati annullando la codifica non presenterà un particolare pericolo sebbene il file risultante possa essere pericoloso a seconda del tipo di file risultante. I file PDF possono essere pericolosi se caricati nel lettore Adobe (utilizzare lo script Ghost o un altro lettore semplice, se non sono sicuro, preferibilmente in una VM a eliminazione diretta), i file di immagine possono essere pericolosi a causa di possibili errori nella gestione delle immagini del sistema operativo. I file di script (PHP, PERL, ecc.) Non sono mai pericolosi se non vengono eseguiti.

    
risposta data 22.12.2014 - 13:58
fonte

Leggi altre domande sui tag