Iframe hack történt az oldalamon
2009-04-14T07:49:43+02:00
2009-07-13T19:32:39+02:00
2022-07-19T04:22:58+02:00
  • Nekem is volt hasonló problémám, csak nekem közvetlenülk a <BODY> tagek után ágyazódott be egy iframe, ami a chura.pl weboldalra mutatott. Ez akkor ágyazódott be, amikor megnyitottam a fájlt valamilyen editorral (editplus, jegyzettömb, stb), és mentés/bezárás után már benne is volt a fájlban (ha többször nyitottam meg, négyzetesen nőtt a beágyazott iframek száma).
    Tehát nálam konkrétan mindenféle szöveges editor fertőzött volt, a megoldás reinstall, NOD32 azonnali telepítése és a chura.pl domain kizárása mndenféle lehetséges módszerrel a gépről (router-beállítások, NOD32, böngésző-tiltott helyek).
    Javaslom Nektek is az említett domain kizárást, roppant idegesítő vírus.
    Mutasd a teljes hozzászólást!
  • Mindezt megtettem már vagy 3szor!
    Sikertelenül!!! 3 gépről dolgozom nem telepíthetem mindegyiket 2 naponta újra... Utánnaolvastam a neten és azt írja, hogy explorerből töltődik fel ez a szr!

    A JS/Exploit.Agent.AFH betöltő elnevezései az egyes vírusvédelmek szerint:

    vírusvédelem elnevezés
    Avast JS:Downloader-X
    AVG JS/Obfuscated
    BitDefender Trojan.Exploit.Js.Agent.BE
    Fortinet JS/Agent.AFH!exploit
    F-Secure Exploit.JS.Agent.afh
    Ikarus Exploit.JS.Agent
    Kaspersky Exploit.JS.Agent.afh
    NOD32 (ESET) JS/Exploit.Agent.AFH
    Norton Antivirus Trojan.Webkit!html
    Sophos Troj/JSRedir-N
    Trend Micro TROJ_AGENT.ANIW
    Mutasd a teljes hozzászólást!
  • Lecserélni a jelszavakat, kitörölni a káros kódot. Ennyi :) asszem. Aztán bejelenteni google webmasters kiten.


    Legalább végre valaki megtalálta a topicot :) (bár elolvasni lusta volt )
    Mutasd a teljes hozzászólást!
  • Ugyanez a parám! Született már normális megoldás?
    Mutasd a teljes hozzászólást!
  • Csak egy kis gondolat.

    Mi van ha az index.php oldalt csak átirányításra használom?
    Akkor ugye nincs megjelenítendő rész csak session és header.
    Ezzel szerintetek kikerülhető?
    Mutasd a teljes hozzászólást!
  • Na, mi van, visszatéríted a helyesírási hibákat?
    Mutasd a teljes hozzászólást!
  • lam!
    Mutasd a teljes hozzászólást!
  • Hasonló vírus nállam is jelentkezett (és jelentkezik mai napig). Viszont pakoltam az index.php-k elejére némi vizsgálatot a fájlméretre. Ha eltérne egy másik 'backup' fájl méretétől felüliratom a fertőzöttet a 'backup'-al. Így legalább nem fertőz, és a látogató nem lát belőlle semmit.

    Amúgy nállam a login.php-t is fertőzte.
    Mutasd a teljes hozzászólást!
  • Ezt valóban egy trójai csinálta. Rátelepszik a gépedre és figyeli a jelszavakat. Nevét nem tudom, de nemrég volt egy eset az egyik ügyfélnél. Ha ismered az index fájl módosítási idejét, akkor az ftp logban meglesheted a támadódat is. A mi esetünkben kb. 60-70 fájlt módosított pár perc alatt, és mindet más ip címmel töltött le, ill. fel. A trójai valójában kigyűjtötte a jelszavat, és azt eljuttatta a hackernek, aki egy másik programmal elvégezte az index fájlok keresését és az iframe beillesztését.
    Egy recept van, amit már leírtak:
    - csökkentett módban spyware doctor
    - minden jelszó lecserélése

    Esetleg azt még megteheted, ha az ftp szervered erre lehetőséget ad, hogy iphez kötöd ki jelentkezhet be az ftp hozzáféréseddel (pl.pureftpd). Vagy iptables-el korlátozod a 21-es portot, szintén ip tartományokra. De ez már paranoid.

    Másrészt, én nem találkoztam még olyannal, hogy SQL Injection hackkel index fájlt tudtak volna módosítani. Normál esetben erre a fájlra nincs is irásjoga sem a webszervernek, sem a mysql usernek, csak az ftpusernek. Persze attól, hogy én még ilyet nem láttam, megtörténhet ez is :D
    Mutasd a teljes hozzászólást!
  • A manualis foldbedongoles utan mar semmilyen virusirto nem talalt gyanus dolgot, de a regedit es tardai nem futnak problema tovabbra is fennforgott. Ezt egy tegnapelottre torteno system restore megoldotta, miutan azonnal es vegervenyesen letiltottam mindenfele plugin es egyeb gyulevesz hulyesegek futasat az operamban.
    Mutasd a teljes hozzászólást!
  • Na errol (ez egy vírus valóban. Illetve egy vírus és trójai kombinációja) tudnal valami konkretabbat mondani? Mi a virus/trojai neve? Sajnos erdeklodesem kozben a munkahelyi gep bekapta. Spybot jelezte, hogy valami akar irkalni a registrybe, de hiaba tiltottam, valahogy megis bement - mondjuk elsore veletlenul felrekattintottam es lecsuktam az ablakat ahelyett, hogy no-ra nyomtam volna. :(
    Amiket eddig talaltam:
    Processlistaban (taskmanager) talaltam egy "username".exe-t, ami a Doc and Settings-ben kuksolt es nem lehetett kiloni a taskmanager-rel... Reboot, safe mod, toroltem.
    Ujraboot utan regedit, process explorer, hijackthis nem megy.
    Talaltam ugyanilyen keletkezesi ideju digiwet.dll-t a system32-ben illetve egy as...mittomenmi.exe-t. Mindkettot safe modban deaktivaltam. Regedit, process explorer, hijackthis meg most sem megy. Ejszakara otthagytam a symantec virusirot, hatha talal valamit.
    Otletek?
    Reinstall felejtos.

    Mutasd a teljes hozzászólást!
  • supercharger:

    ez egy vírus valóban. Illetve egy vírus és trójai kombinációja. A géped vírusos. A vírus figyeli az ftp forgalmadat és kiszedi a sitokat és a user/jelszó párost. Minden site-ot, amit ftp-vel elérsz ő is eléri és az összes index.php-ra (lehet, hogy html-re is) ráugrik és a végéhez hozzáírja a kódját.

    Megoldás:
    - site letilt,
    - gép tisztít (valószínűleg reinstall kell!),
    - php-k tisztítása,
    - ftp jelszó csere


    Én már végigmentem rajta.

    Gusztustalan egy féreg.
    Mutasd a teljes hozzászólást!
  • Amit linkeltem, semmivel nem veszélyesebb, mintha a google milliónyi linkjei között találtad volna, ha szerinted veszélyes, még véletlenül se kattints rá!
    Mutasd a teljes hozzászólást!
  • EGy barátom ezt írta az SQL injekciós támadásokról:

    Ha egy űrlapból viszel be elemet, és azt egy az egybe átadod a mysql lekérdezésnek:

    "select * from hírek where azon=$azon;"

    Ez egy alap lekérdezés, ahol a felhasználó adja meg valamilyen úton módon az azon-t.
    De mi van, ha a felhasználó kiszúr veled, és a mezőben nem azt adja meg, hanem beleír egy sql utasítást.
    pl ezt írja be a beviteli mezőbe: 5; dropt table hirek;

    Ha ezt beírod a lekérdezésbe amit automatikusan futtat a rendszer:

    "select * from hírek where azon=5; dropt table hirek;"

    Okkor már meg is van a baj, mert hopp, ha ügyes a támadó és kitalálja a tábla nevét, már ki is törölte az összes bejegyzésedet cakli pakli...:)


    Ebben minden benne van. Itt nem erről van szó. Egyszerűen valaki lenyúlta a jelszavadat, amit minden portálhoz használni szoktál, és belépett az FTP-be. Ennyi. Töröld ki, és változtass jelszót.
    Mutasd a teljes hozzászólást!
  • kismiska pls ne linkelj be mindenféle vírusos oldalt, köszi
    Mutasd a teljes hozzászólást!
  • Találtam vmit, vagyis vmit egyik jóbarátom:

    http://forum.word-press.hu/post/13393/
    Mutasd a teljes hozzászólást!
  • Hááát, ha belegondolok! Azok az oldalak lettek megtörve a szerveren, amelyeknek az ftp jelszava ki van mentve az XP-s gépen Total Commanderemben.
    Mutasd a teljes hozzászólást!
  • Jajjj nem! Nem XP a szerver, a szerver egy debian egy 100/100as vonalon, csak egy XP-n keresztül dolgozok rajta, ftp-n ssh-n keresztül és az XP-s gépen vannak kimentegetve jelszavak mindenfelé.
    Mutasd a teljes hozzászólást!
  • Ilyen könnyű a TC ftp adatokat megszerezni egy arra 'alkalmassá tett' gépen.
    Mutasd a teljes hozzászólást!
  • Kérdésedet te magad válaszoltad meg. Az xp nem servernek való.
    kismiska hozzászólása innen nézve azonnali megoldás.
    Kezd a vírusírtással.Férgek trójaiak, beépülők, de inkább format c:
    Mutasd a teljes hozzászólást!
  • Igen, mindegyik oldal, ugyanazon a szerveren fut.

    A sajátomon? Lehetséges, az egy sima windows xp. Lehet, hogy azon kaptam be vmit, egy trójait? Változtatok FTP és adatbázis jelszavakat akkor.
    Mutasd a teljes hozzászólást!
  • akár igen, de a jelsző módosítás akkor is kelléke az ilyen betöréseknek.
    Mutasd a teljes hozzászólást!
  • És a másik oldalad is ugyanazon a szerveren üzemel?

    Ezt is olvastad?
    És (lehet) a saját gépeden kezdték.
    Nagytakarítás, jelszóváltoztatás, kényelmi funkciók (jelszó megjegyzése) kikapcsolása előnyös lehet.
    Mutasd a teljes hozzászólást!
  • Nem az adatbázisba van a kód, hanem a lekérdezéskor kerül be az sql-be egy külső lekérdezés, és ennek hatására hajtat végre egy feladatot. Pl. kiiratja az admin felület jelszavát stb.

    Ellenőrizni akár egyszerűen is lehet:


    function html2txt($text) { $search = array('@<script[^>]*?>.*?</script>@si', // Strip out javascript '@<style[^>]*?>.*?</style>@siU', // Strip style tags properly '@<[\/\!]*?[^<>]*?>@si', // Strip out HTML tags '@<![\s\S]*?--[ \t\n\r]*>@' // Strip multi-line comments including CDATA ); $kimenet = preg_replace($search, ' ', $text); return $kimenet; }

    ez végignézi a kódot amit beütnek és kiszedi a felesleges adatokat.
    Mutasd a teljes hozzászólást!
  • Igen, a fájlok utolsó soraiból töröltem ezeket ...
    Mutasd a teljes hozzászólást!
  • vendégkönyv, admin felület, hírlevél, összefoglalva ellenőrizetlen beviteli mezők + sql + php.
    Ha nem ellenőrzöd őket akkor akár fájlokat is tudnak futtatni. lásd végrehajtó operátorok.
    Mutasd a teljes hozzászólást!
  • Hmmm, de magában az adatbázisban eddig nem találtam meg ezt az iframe-es kódot. Sajna nem értek hozzá, csak egyszeren az index fájlba kerültek bele ezek a tagek.

    Hogyan működik ez az sql injection? Vagy inkább hogyan tudom kikerülni? Hogyan ellenőrizzek?
    Mutasd a teljes hozzászólást!
  • A lényeg, hogy nem a body tag után hanem a fájl végére fűzték be az iframe-t. Ez is mutatja, hogy csak beszúrta és kész.
    Mutasd a teljes hozzászólást!
  • Természetesen az sem kizárt ellenőrizetlen adat tárolásnál.
    Mutasd a teljes hozzászólást!
Tetszett amit olvastál? Szeretnél a jövőben is értesülni a hasonló érdekességekről?
abcd