Blog Help Contact

Gehackte sites met injected iframes

Helaas komt het nog regelmatig voor, sites die worden gehackt om in de files op de server een iframe of javascriptcode te injecteren. De gehackte pagina wordt dan gebruikt om bijvoorbeeld SPAM mee te verzenden. Een van de meest gebruikte methoden om ongeoorloofde toegang tot sites te krijgen is via de thuis- of kantoorcomputer van de site-eigenaar zelf.

Recentelijk wordt hier vaak Acrobat Reader van Adobe (versies < 8.1.3) voor gebruikt. Hierbij maakt een veiligheidslek het mogelijk om er door middel van een PDF voor te zorgen dat er onbedoelde code door een thuis- of kantoorcomputer wordt uitgevoerd. Vaak worden er op deze computers dan trojans en keyloggers geinstalleerd, om op deze manier FTP-wachtwoorden van servers te achterhalen.

Wanneer u merkt dat uw site opeens door Google aangemerkt wordt als een "site die schade kan toebrengen aan uw computer" dan is er grote kans dat de computer waarmee FTP-connectie met de server maakt is geinfecteerd. Als een externe partij uw website beheert dan is deze meestal gehackt. Neem in dat geval contact met deze partij op.

Systeembeheerders kunnen aan de FTP-logfiles zien dat er op de gehackte domeinen requests binnen komen voor veel bestanden en dat iedere connectie een ander IP heeft, dit zijn aanwijzigen voor het grote botnetwerk dat er achter ligt.

Wat te doen als u geinfecteerd bent?

1. Scan uw computer op virussen, trojans, keyloggers en rootkits. Vanaf een Live-CD of via een schone PC.
2. Update alle software die interactie met uw browser heeft zoals Adobe Reader en Flash.
3. Schakel in Adobe Acrobat Javascript uit (Via Voorkeuren -> Javascript).
4. Verander uw FTP-wachtwoorden. (Let op! Ook het wachtwoord van uw e-mail)
5. Upload een schone versie van de website.

Als u geen schone versie van uw website hebt en de bestaande versie moet zuiveren kunt u een script van ons gebruiken. Dit script kunt u gebruiken om iframes die hun source met een http:// call embedden uit de code van een website te filteren.

Als u meer wilt weten over dit onderwerp dan kunt u op het blog van Sophos labs terecht, hier wordt dit en vele andere threats and attacks besproken: http://www.sophos.com/blogs/sophoslabs/

Artikel geplaatst op 29-01-2010 in de categorie:Diversen

Categorien

Nieuws³
Business¹
Onderhoud en storingen⁰
Netwerk⁰
Diversen¹
Case studies⁰
Archief⁵

Links

Direct Admin
Xen
IntraHosting
Onze twitter pagina

Algemene voorwaarden Disclaimer Privacy beleid