iFrame attack - pomozite

Kako zastititi sajt od iframe napada? imao sam problema prije sa html stranicom, svaki drugi-treci dan je neki ruski frame ubacen, a sad sam uradio stranicu u phpu i opet isto :(

Ocisti od virusa SVOJ komp sa koga saljes fajlove, nakon toga izmeni lozinke na sajtovima i prebaci ponovo ciste fajlove na server.

Procitaj:http://www.elitesecurity.org/p2298660

---

Pošto ovaj problem muči mnoge, šaljem temu malo na naslovnu.

Ostale teme sa istim problemom:
http://www.elitesecurity.org/t...i-PDF-flash-PROCITATI-OBAVEZNO
http://www.elitesecurity.org/t369508-Maliciozni-iframe-na-sajtu
http://www.elitesecurity.org/t...a-nadole-verovatno-CSS-problem
http://www.elitesecurity.org/t...k-Site-Nije-mi-jasno-zbog-cega

I meni se to jednom desilo. Kliknuo sam na neki PDF na internetu i uso mi je spijunski program. On je pokupio sve sifre koje sam imao na kompu, pa tako i FTP sifre za sajtove. Normalno to je iskoristio covek i programski obradio sve PHP fajlove na hostu i ubacio html virus. Znaci nista nije menjao niti rusio samo je ubacio virus. Sreca mnogo brzo sam to primetio. Prvo sta sam uradio je da sam oborio sistem, formatirao hard, instalirao sve ponovo i onda zahtevao promenu sifre na hostu od provajdera. Promenili su mi sifre i ja sam vratio ispravne fajlove na host. Sad mi je to skola za ubuduce. Naime kupio sam novi komp koji mi sluzi samo za ulazak u FTP, a sa starim kompom radim sve ostalo na netu. I da, vise nikad ne pamtim sifre za ulazak na host u FTP programu vec je uvek upisujem.

Ja sam dva puta imao identican problem i dva puta sam morao da 'cistim' sve index stranice od malicioznog koda...Nakon prvog puta sam promenio sam passworde svih accounta, ocistio komp od virusa, ali se iframe opet pojavio...Sada sam opet isto uradio i za sada nema problema...Mada moram napomenuti da je izmedju dva napada proslo oko mesec dana...

Isto tako, ako su ti u komentarima korisnika (ako ih imaš) dozvoljeni HTML tagovi, moguće je i tuda ubaciti iframe.

---

Imao sam iskustva sa slicnim problemom.

U pitanju je bio neki kineski IFRAME code koji je vodio na neke kineske sajtove i bilo je pogodjeno na desetine sajtova.
Analizom cele situacije dosao sam do sledecih zakljucaka:

- Napadaci su se logovali preko FTP i to vrlo uredno sa user pass (bez broute force i sl) i to sa razlicitih stranih IP adresa!
- Spisak sajtova koji su bili pogodjeni su ukazivali da postoji pravilo i da je sve pocelo sa jednog mesta
- Maliciozni code je zarazio sve index.htm*, index.php, admin.php, login.php (i slicna cesta imena skripti) i to po celoj dubini direktorijuma
- Samo parce code-a koje je taj virus ubacivao je uglavnom bio JavaScript koji je preko eval() bio ispisivan u stranici
- Code koji se evaluirao u JavaScript je bio randomizovan tako da nije moglo da se uradi kasnije ciscenje po nekoj search paterni. Ipak svima zajednicko je da koriste kljucne reci "iframe" i "eval"
- Desavalo se da se u istu stranicu ubace i po nekoliko ovakvih linkova ali sa razlicitim "reklamama" sto je ukazivalo da su razlicite grupe hakera koristile iste FTP naloge!
- Ovakvi napadi se uglvanom izvode za vreme vikenda ili praznika kada je paznja sysadmina smanjenja
- Ukoliko vam se desi da ovako zarazene sajtove ne primetite na vreme a imate samo dnevni backup sadrzaja, nacicete se u problemu jer necete moci vratiti iz backup

Sta se tacno desilo i kako je doslo do svega ovoga?

Cela "frka" je nastala zbog sigurnostnog propusta u nama omiljenom Total Commanderu 7.0x i njegovom vrlo slabom algoritmu za kriptovanje passworda!

PS: Neposredno posle ovog dogadjaja i uvidevsi kakav je globalni problem nastao, cika Ghisler je izbacio beta verziju Total Commander 7.5 gde je modul za kriptovanje FTP pasworda zamenjen sa daleko sigurnijim AES 256 bitnim algoritmom. Nazalost, Total Commander 7.5 je vec nekoliko meseci u beta fazi.

Tacnije, kolega koji radi sa nama je koristio TC i imao je podesene FTP naloge za sve te sajtove koji su bili pogodjeni. Virus koji je najverovatnije dosao preko USB stick-a, bezobrazno je pokupio sve te naloge, dekodirao password i krenuo u zarazu! Obzirom da su u FTP logu na serveru bile prijavljene strane IP adrese, nagadjam da su ti kompromitovani user/pass prosledjeni negde sa strane kako bi ostali hakeri mogli da koriste.

Kako naci zarazene skipte (gledano iz ugla system administratora)?

Ovaj deo nije ni malo jednostavan i zahteva prilicno vremena i kopanja po skriptama.

Za pocetak, najjednostavnije je uraditi grep komandu nad sadrzajem celog web direktorijuma sa kljucnim recima "iframe", "eval" ili vec neku frazu iz ubacenog code-a, ka npr:



Ova komanda ce vratiti dosta rezultata ukljucujuci i one validne gde stvarno postoje reci iframe ili eval a nisu deo malicioznog code-a. Zato je neophodno pazljivo pregledati sve rezultate u potpunosti.

Sledeca komanda je vrlo korisna za ovakve ali i slicne slucajeve. Komanda trazi sve fajlove koji su menjani npr u zadnjih 24h a iskljucuje imena koja se uglvanom automatski generisu od strane web servera ili aplikacije (webalizer,cache,assets):



Za one ozbiljnije system administratore, ova komanda se moze staviti u CRON tako da svaki dan (ili vise puta dnevno) salje na email spisak menjanih fajlova "pa da vidimo ko sta tu bushi ..."

Sta dalje

Kao sto je spomenuto u prethodnim porukama, neophodno je ocistiti PC racunar od virusa. Zbog prirode sadasnjih virusa preporucujem full sistem reinstal!
Kada se lepo ocistite od virusa, zatraziti od hosting provijdera da vam promeni sve sifre za FTP, CP i MySQL ili uradite to sami kroz korisnicki interface jer "neko tamo" ima vasu sadasnju sifru.
Dodatno, pravite redovne backup vasih prezentacija!
Predjite na koriscenje drugih FTP clienata kao npr FileZilla.
Ja sam licno posle ovog dogadjaja presao na Mac OSX! Priznajem da mi fali Total Commander (i Ultra Edit) na OSX ali iskreno smucio mi se vise Windows!

Kako ocistiti zarazene stranice?

U mom slucaju ovo je bilo nemoguce jer je ubaceni code bio randomizovan i nije postojala mogucnost search/replace paterne
Jedino sto nam ostaje je da prebacimo cistu verziju stranice ili vratiti sadrzaj iz serverskog backup-a. Na moju srecu, imao sam 7 dana unazad backup pa je ovo bilo relativno lako vratiti. Zbog ove situacije, odlucili smo da sve backup arhive cuvamo citavih 45 dana unazad! Ovo nas je kostalo prilicno vremena dok smo uspostavili (rekurzivni inkrementalni kompresovani backup) i brdo gigabajta za storage kako bi to realizovali.

Ko je kriv za ovaj propust?

Ovo je klasican propust korisnika koji je bio zarazen virusom i ogromni propust u Total Commander 7.0x (i svim predhodnim verzijama) vezan za kriptovanje pasworda. Sam server nije imao nikakve veze sa ovim. Server je uredno pustio na FTP korisnika sa ispravnom sifrom i tu nema mnogo pomoci.

---

hvala lijepo iscrpnim odgovorima, definitivno ide format, instalacija linuxa ili sa drugog racunara idem na ftp :)

Iz mog iskustva ovakvi problemi se desavaju i sa serverske strane, posebno ako hostujete kod Servage-a, koji je jedna velika rupetina i bas ih briga da zakrpe klastere. :(

Znaci samo proleti crv koji ubaci na svaki index u svakom folderu svoj kod koji prikazuje neki spam.

Tako da ne mora biti uvek klijent kriv, vec i server ume da bude izvor problema.

Da je server kriv imali bi svi koji hostuju prezentaciju na istom serveru. Ovako, u mojem slucaju, kada sam obustavio FTP svojoj dvojici podadministratora (koriste Total Commander), problem je nestao

---

Isto cudo se desilo i meni, na jednom sajtu. Ubacen je kod za iframe u template, ali iako sam pazljivo pregledao ftp log nisam nasao nista sumnjivo.
Google je veoma brzo stavio site na black list, inace ne bih ni primjetio. Uklonio sam sporni kod i chmod-ao sve, google je vratio site na white list.
Inace, koristio sam soholaunch, racunam da su iskoristili neki propust u njemu.
Naravno, u pitanju su ruski hakeri.

---

re: legija

U tvom slucaju je najverovatnije "radio" neki php root-kit shell i to neki iz serije "c99", "c99shell", "r57" ili vec neki derivat koju svaki haker modifikuje na svoj nacin i za svoje potrebe vrlo lako (jer je plan php code/text).

U pitanju su klasicne php skripte/programi velicine oko 150kb koji se uglavnom uploduju preko lose zasticenih formi iz web aplikacije skrivajuci se iza ekstenzija slika (gif, jpg i sl) i naknadno "raznim cakama" preimenuju u php i tako pokrenu.

Mogucnost ovih skripti su ipresivne. Ceo mali web administrator servera + brdo opcija za trazenje, busenje, skrivanje, brute force, mysql dump, root crack, externu komunikaciju itd itd. Napomenuo bih samo jos jednu veoma opasnu osobinu, a to je da ovakav root-kit, jednom kada se pokrene, moze sam sebe da izbrise sa servera ali da ostane aktivan u memoriji neko vreme sto ga cini veoma teskim za otkrivanje dok preko soket konekcije drzi komunikacioni kanal koji hakeri mogu da koriste.

Kao sto sam gore spomenuo, trazenje se svodi na cesljanje celog web servera na kljucne reci "c99", "c99shell", "r57" i uvek aktuelni "eval".

Zastita? Zastita se svodi na iskljucivanje potencialno opasnih opcija i komandi u php i/ili chroot-ovanje. Ovde pre svega treba razmisliti o safe-mode, open_base_dir, suhosin pach sa podesenom zabranom na "dl", "eval", "fopen" i jose nekih 20-30 komandi i opcija :). Ovako "zasticen" php ce drasticno uticati na ispravno funkcionisanje web prezentacije ali to je cena. U sustini, sve moze da se prepravi tako da web prezentacija radi ispravno u ovakvoj konfiguraciji.

---

Predlazem da FileZillu preskocite, jer ona za razliku od bagovanog TC-a ni NEMA enkripciju sacuvanih acc-a. Sve se cuva u cistom tekstu u xml fajlovima, kao sto mozete procitati na ovoj stranici: http://unsharptech.com/2008/05...passwords-stored-in-plaintext/

Zapravo, najbolje bi bilo da nigde ne cuvate sifre na kompu, ali FileZilla automatski sacuva sve podatke u tim fajlovima bez da vas pita.

Kad se budes ocistio, imas vec dosta materijala u postovima sta i kako, ne koristi vise FTP protokol, vec SFTP ili FTPES.

... i naravno ako vec cuvas negde svoje lozinke, zapakuj ih u neki rar sa lozinkom...

pozdr.
Pela

---

SFTP ili FTPS protokole retko koji ISP nudi za virtual hosting osim ako niste uzeli virtual server ili dedicated server.

re didzejevski: Nisam znao da je takva situacija sa FileZila, znaci i on odpada

Upravo sam isprobao Tottal Commander v7.5 beta 8 i mogu da vam kazem da su u ovoj verziji stvarno resili problem sa snimljenim siframa. Uveli su master password opciju koju je neophodno ukucati prilikom edita ili koriscenja snimljene konekcije.

---

@mikikg

Hvala,
Upravo se spremam da "precesljam" sve servere koje imam. Danas sam imao jos jednu nazovimo je havariju, kolegi sam dao hosting za neki bezveze sajt, i naravno hakovan mu ftp pass, momci ladno stavili neka svoja sranja i poslali oko 150K spam mailova. U data centru mi naravno blokirali server itd itd.

Uglavnom, obrisacu sve "jarancke" naloge, sta mi treba glavobolja zarad necije obijesti.

---

Od skoro koristim WinSCP.Hvale ga da je dosta siguran.
Ima li neko iskustva sa ovim programom?

---

WinSCP nije los ali kao sto sam spomenuo, koristan je samo ukoliko imate mogucnost za SCP/SFTP konekciju za vas nalog sto je retkost za klasican virtual (shared) hosting. Za vlasnike virtual ili dedicated servera ovaj program je veoma praktican.

Sa druge strane, i on snima negde te sifre (nisam 100% siguran, mislim da je windows registry) koristeci svoj algoritam za kriptovanje. Autori programa takodje napominju da snimanje pasworda nije sigurno.

Trenutno, jedino "pravo" resenje za sigurno cuvanje sifri nudi Total Commander 7.5 beta. Bez master passworda nema sanse da se dekriptuje vrlo snazni AES 256 algoritam. Naravno, pitanje je trenutka kada ce i ovo da uhakuju, dovoljno je npr da se virus zakaci na TC i u realtime izvuce iz memorije programa password koji ste vi dekriptovali . Total Commander je na udaru hakera iz prostog razloga sto ga koriste desetine miliona ljudi i samim tim hakeri njemu pridaju vise paznje.

NAPOMINJEM da je Total Commander posledicno kriv! Glavni uzrok problema lezi u tome sto je racunar bio zarazen virusom, tacnije nekom varijantom "Infostealer" trojanca.
Predlazem vam da procitate moj clanak "Saga o virusima | Kako se izboriti sa danasnjim kompjuterskim virusima" kako bi se upoznali sa opstim problemom vezanim za viruse.

---

Samo promeni sifru na C panelu i naravno ocisti sve sto se nalazi u htm public zatim ponovo uradi upload i nece biti problema.