На веб-сайт нападают скрытым iframe (q5x.ru)
На Brocade стороны устройства (раньше Foundry Networks) имеют строку ServerIron.
Их модули SSL могут сделать это, хотя новые версии, которые они только что представили, не будут иметь SSL для другого несколькими месяцами.
Они, конечно, не являются дешевыми (пара начального уровня (хотя 16M сессии), модели не-SSL составляют 30 ~US$ k), но они - легко наиболее надежное оборудование, которое мы когда-либо использовали, ~10 лет в производстве, и мы даже не потеряли источник питания или порт от ~20 в производстве. Однако мы в настоящее время не используем SSL, поскольку наши конечные точки не поддерживают его.
Большинство карт акселератора SSL, кажется, имеет справедливо lacluster поддержку драйвера. Протестируйте тот, прежде чем развертывание, многие из них будут насыщать значительно ниже способности хоста.
Мы недавно встретились с той же проблемой на одном из веб-сайта нашего клиента.
Эта проблема, скорее всего, вызывается заражением вирусом, которое, прежде всего, предназначается для клиентов FTP и ищет имя хоста / имя пользователя / комбинации пароля. После того, как найденный, соединение с FTP-сервером открывается, и это ищет индекс.* файлы и добавляют iFrame к нему.
В нашем особом случае наш клиент был одним из некоторых, которые имели прямой доступ к FTP-серверу. Мы сразу изменили пароли, восстановленные резервные копии файлов и удалили доступ FTP для нашего клиента.
Шаги необходимо взять:
- Измените свои пароли сразу
- Если Вы имеете доступ к серверу журналы FTP, узнаете, какие файлы были заражены
- Для зараженных файлов я настоятельно советую для ручного восстановления этих файлов и не поиска использования / замена по умолчанию. В большинстве случаев IFrames добавляются в конце файла, но я также видел, что файлы частично удалены.
Также отметьте, если поисковый робот Google посетит Ваш сайт, в то время как он заражен, он добавит Вас к вредоносному списку, который будет серьезно влиять на репутацию Вашего сайта. Если это происходит, возьмите следующие шаги:
- Удостоверьтесь, что сайт не содержит больше зараженных файлов
- Удостоверьтесь, что Ваш сайт проверяется с Google Webmaster Tools
- Используйте Google Webmaster Tools для запроса нового обзора сайта
-
1да, заразите, я запросил обзор от Google и в настоящее время ожидаю результатов. – Andreas Grech 30 July 2009 в 12:29
Вот несколько подсказок, которые могли бы помочь Вам:
- Первое, что нужно сделать предотвратить эти виды нападений состоит в том, чтобы изменить Вашего ftp, панель управления и пароли базы данных как можно скорее.
- Измените полномочия файла в своем сервере к максимальному безопасному режиму.
- Загрузите все свои файлы с сервера и проверки на заражения. Уберите зараженные файлы.
- Используя хорошее антивирусное программное обеспечение, просканируйте и уберите каждый ПК, который Вы используете для того, чтобы войти в Ваш хостинг-сервер.
- Никогда не используйте общедоступные компьютеры для доступа к серверу.
Как я чищу зараженные файлы?
Используйте эти регулярные выражения, чтобы искать все страницы containig вредоносный код и заменить его пространством:
<iframe src=\”http://[^"]*” width=105 height=175 style=\”visibility:hidden;
position:absolute\”></iframe>
echo \”<iframe src=\\\”http://[^"]*\” width=105 height=175 style=\\\”
visibility:hidden; position:absolute\\\”></iframe>\”;
Вам, вероятно, придется записать сценарий для автоматизации этого для всех файлов в сервере.
Источник: http://www.diovo.com/2009/03/hidden-iframe-injection-attacks/
https://stackoverflow.com/questions/990437/iframe-script-attack-to-website
Хотя @Aron пишет, что, вероятно, некоторый клиентский вирус получил Ваши пароли (который может быть верным для этого определенного нападения), часто подобные нападения используют неисправленные уязвимости в программном обеспечении сервера. Как в самом веб-сервере, в CMS, или в инструментах, таких как phpMyAdmin.
Так: действительно ли Вы уверены, что выполняете последние версии всего программного обеспечения на Вашем сервере?
(Или журналы FTP действительно показывают некоторое действие?)