웹 사이트의 Iframe 삽입

Question

내 웹 사이트가 도용되었습니다. 일부는 내 웹 사이트에 iframe 마크 업을 주입했습니다.

그들은 어떻게 했습니까? 내 index.html, index.php 페이지에서만. 하지만이 페이지에 대한 쓰기 권한을 차단 한 다음 내 페이지에 어떻게 기록 할 수 있습니까?

내 서버의 다른 페이지에도 적용됩니까?

차단할 수있는 다른 해결책이 있습니까?

는

<?php` 
include_once("commonfiles/user_functions.php"); 
include_once("user_redirect.php"); 
include_once("designs/index.html"); 
?> 

<iframe src='url' width='1' height='1' style='visibility: hidden;'></iframe> 

이 나의 index.php를 코드 <iframe>는 PHP 스크립트 후 주입 감사합니다.

Answer 1

귀하의 사이트 (귀하 또는 귀하의 개발자)에게 FTP 액세스 권한을 가진 누군가가 워크 스테이션에 바이러스가 있습니다. 이 바이러스는 FTP 클라이언트의 자격 증명을 도용 한 키로거를 설치하고이 정보를 다시 해커에게 보냅니다.

해커가 수백 가지의 자격 증명을 수집 한 다음 프로그램을 사용하여 각 서버에 로그인하거나 파일을 다운로드하거나 iframe 또는 난독 화 된 JavaScript 또는 PHP 블록을 추가하거나 파일을 업로드하거나 다음 파일을 다운로드하거나 , 업로드, 다음 등. 다운로드 한 파일은 일련의 이름 (예 : , 기본값., 집. * 등) 또는 HTML 또는 PHP 파일과 일치 할 수 있습니다.

첨부 된 코드는 종종 가시성 iframe이 중 하나입니다 : 또는 1x1px 크기의 숨겨진 의심스러운 도메인에서 원격 자바 스크립트 파일을 소싱 < 스크립트 >은, 자바 스크립트의 모음 일부 영리한 str.CharCode'ing으로 난독 화, 또는 base64_encode'd eval() '코드의 블록. 코드의 난독성을 없앤 결과는 종종 iframe입니다. 최근에는 일부 영리한 공격자가 원격 셸을 삽입하여 서버에 대한 백도어 액세스 권한을 부여합니다.

모든 파일이 수정되면 공격자가 로그 아웃합니다. 사이트 방문자는 바이러스 및 루트킷을 설치할 의도로 iframe에 링크 된 도메인의 악성 코드가 적용됩니다. 다른 기능들 중에서도 이러한 바이러스는 키로거 (keylogger)를 설치하여 FTP 자격 증명을 스니핑 (sniff)하고 바이러스가 계속 전파됩니다.

공격자가 자격 증명을 사용하고있어 액세스 권한이있는 파일에만 액세스 할 수 있습니다. 경우에 따라 인코딩 된 쉘을 사용하여 특정 디렉토리에 추가 파일을 업로드하여 서버에 대한 액세스 권한을 반환 할 수 있습니다 (일반적으로/forums 디렉 토리의 _captcha.php 및/gallery 디렉토리의 img.php 또는 gifimg.php). 서버에서 다른 도메인을 호스팅하는 경우 영향을받는 도메인의 사용자가 현재 도메인을 벗어나는 액세스 권한이없는 한 다른 도메인은 영향을받지 않습니다.

이런 종류의 공격을 막을 수있는 두 가지 방법이 있습니다. 예방과 적절한 바이러스 백신입니다. 공격은 방화벽을 사용하고 FTP 액세스를 몇 가지 선택 IP로만 제한함으로써 쉽게 벗어날 수 있습니다. 공격자는 자신의 워크 스테이션 (아직)이 아닌 전세계의 다른 서버에서 공격합니다. FTP 계정에 액세스 할 수있는 모든 워크 스테이션에서 적절한 바이러스 백신을 사용하거나 Windows XP를 사용하지 않는 것이 원본 감염을 예방하는 데 도움이됩니다.

감염된 경우 주사를 발견하고 효과적인 정규 표현식을 작성하는 데 얼마나 좋은지에 따라 약간의 영리한 sed를 사용하여 엉망을 청소하는 것이 상당히 쉽습니다. 그렇지 않으면 백업 백업 백업 - 항상 백업이 있습니다! ... 오, 그리고 당신의 FTP 암호를 바꾸면 그들은 내일 돌아올 것입니다.

Answer 2

PHP 파일 자체가이 iframe을 포함하도록 편집되었으며 파일에 쓸 다른 스크립트에 대한 방법이 없다면 파일에 대한 액세스 권한이있는 사용자 계정이 도용되었을 수 있습니다. 암호가 약한 파일에 대한 액세스 권한이있는 사용자 계정이있는 경우이 파일이 가장 유력한 후보자가됩니다.

사용자 이름과 비밀번호 해시를 획득하기 위해 사이트에서 특정 형태의 주입을 사용했을 수 있습니다. 액세스 권한이있는 다른 사람의 컴퓨터에 키로거를 설치했을 수도 있고, 당신은 이것을 막기위한 어떤 종류의 메커니즘이 없다).

내가 할 첫 번째 일은 컴퓨터에 액세스 할 수있는 모든 사람의 컴퓨터에서 바이러스가 실행되고 있지 않은지 확인하는 것입니다. 그런 다음 암호를 변경하십시오. 마지막으로 사이트의 PHP 스크립트를 검토하여 가능한 주입 지점을 찾습니다. 문제는 사용자 입력의 일종을 처리하고 처리하는 것이 안전한지 (예 : 사용자 로그인 양식에서 위험한 문자를 제거하지 못함) 확인하지 않고 처리하는 경우가 대부분입니다.

Answer 3

지금까지 게시 된 주석은 누군가가 코드가 삽입 된 파일에 대한 쓰기 권한이있는 사용자 계정에 대한 액세스 권한을 얻은 것으로 거의 확실합니다. 일부 개인이 하나 이상의 계정 비밀번호를 발견하여 가끔 FTP에 로그인하여 변경 사항을 적용하는 것처럼 보인다고 들립니다. 패스워드를 변경해 보셨습니까? 수있는 경우 Alt 키/메타 키를 사용하여 숫자 키패드에 UTF 코드 포인트를 입력하는 등 인쇄 가능한 문자를 비롯한 다양한 문자 유형을 사용하여 최소 15 자의 매우 안전한 암호를 사용하는 것이 좋습니다.

암호를 변경 한 후에도 여전히 동일한 문제가 발생하면 다른 문제가 발생할 수 있습니다. 먼저 PHP 스크립트를 면밀히 조사합니다. 스크립트가 양식의 사용자 입력, 쿠키에 저장된 데이터 또는 스크립트 자체 외부에서 발생하는 기타 데이터 (따라서 잠재적으로 "더티"데이터)를 수용하는 모든 곳에서이 데이터를 사용하여 스크립트 작업을 매우 신중하게 진행합니다. 잠재적으로 더러운 데이터를 사용하여 OS 명령을 실행하거나 파일을 열거 나 읽거나 쓰거나 데이터베이스를 쿼리하는 경우 데이터에 이스케이프 문자가 포함되어 코드를 벗어날 수 있으므로 공격자가 스크립트에서 원하는 코드.

액세스 로그를 주시하십시오. 삽입 된 iframe 코드를 스크립트에서 제거하고 다시 주입하는 방법에 대해 언급 했으므로 언제든지 잡을 수 있다면 액세스 로그의 변경 사항에 대한 단서를 찾을 수 있습니다.

Answer 4

에 대한 자세한 내용은 this thread을 참조하십시오.으로 iframe을 차단하십시오.