Site atacado com um iframe oculto (q5x.ru)

Navegue suas respostas
2
por Andreas Grech 30.07.2009 / 11:08

4 respostas

4

Recentemente, encontramos o mesmo problema em um dos websites de nossos clientes.

Esse problema provavelmente está sendo causado por uma infecção por vírus que atinge principalmente clientes FTP e procura por combinações hostname / username / password. Uma vez encontrada, uma conexão com o servidor FTP está sendo aberta e procura arquivos index. * E adiciona o iFrame a ele.

Em nosso caso particular, nosso cliente era um dos poucos que tinham acesso direto ao servidor FTP. Nós imediatamente mudamos as senhas, restauramos os backups dos arquivos e removemos o acesso FTP para nosso cliente.

Etapas a serem tomadas:

  • Altere suas senhas imediatamente
  • Se você tiver acesso aos registros de FTP do servidor, descubra quais arquivos foram infectados
  • Para arquivos infectados, aconselho strongmente que restaure manualmente esses arquivos e não use search / replace por padrão. Na maioria dos casos, os IFrames são adicionados no final do arquivo, mas eu também vi os arquivos serem parcialmente excluídos.

Além disso, se o rastreador do Google visitar seu site enquanto estiver infectado, ele será adicionado à lista de malware , o que afetará seriamente a reputação do seu site. Se isso acontecer, siga os seguintes passos :

  1. Verifique se o site não contém mais arquivos infectados
  2. Verifique se seu site foi confirmado com as Ferramentas do Google para webmasters
  3. Use as Ferramentas do Google para webmasters para solicitar uma nova revisão do site
por 30.07.2009 / 11:14
3

Aqui estão algumas dicas que podem ajudá-lo:

  1. A primeira coisa a fazer para evitar esse tipo de ataque é alterar o seu ftp, o painel de controle e as senhas do banco de dados o mais rápido possível.
  2. Altere as permissões de arquivo em seu servidor para o modo de segurança máxima.
  3. Baixe todos os seus arquivos do servidor e verifique se há infecções. Limpe os arquivos infectados.
  4. Usando um bom software antivírus, escaneie e limpe todos os computadores que você usa para fazer login no servidor de hospedagem.
  5. Nunca use computadores públicos para acessar seu servidor.

Como faço para limpar arquivos infectados?

Use essas expressões regulares para pesquisar todas as páginas que contêm o código malicioso e substituí-lo por espaço: 

<iframe src=\”http://[^"]*” width=105 height=175 style=\”visibility:hidden;
position:absolute\”></iframe>

echo \”<iframe src=\\”http://[^"]*\” width=105 height=175 style=\\”
visibility:hidden; position:absolute\\”></iframe>\”;

Você pode ter que escrever um script para automatizar isso para todos os arquivos no servidor.

Fonte: link

link

    
por 30.07.2009 / 11:15
0

isso aconteceu comigo antes. Você precisa procurar manualmente pelo script de injeção incorreto e excluí-lo. Eu sugiro que você mude suas senhas e também altere os nomes de seu banco de dados e tabelas de banco de dados apenas para ter certeza

    
por 30.07.2009 / 11:34
0

Embora o @Aron escreva Provavelmente algum vírus do lado do cliente capturou suas senhas (o que pode muito bem ser verdade para esse ataque específico), geralmente esse tipo de ataque explora vulnerabilidades não corrigidas no software do servidor. Como no próprio servidor da Web, em um CMS ou em ferramentas como phpMyAdmin .

Então: você tem certeza de que está executando as versões mais recentes de todos os softwares em seu servidor?

(Ou os logs de FTP mostram alguma atividade?)

    
por 30.07.2009 / 12:52

Tags

Veja as últimas consultas no MySQL SVN / Trac - a resposta OPTIONS não incluiu o conjunto de coleta de atividades solicitado