training rosa
Grupo SEO TELEGRAM [Click Aquí]
Resultados 1 al 13 de 13
Tema:

Problema : Iframe Injection

  1. #1
    animal está desconectado Registrado
    Rango: Google es mi amigo

    User Info Menu

    Predeterminado Problema : Iframe Injection

    Desde hace unos dias varios sistemas de la empresa para la que trabajo y en diferentes servidores vienen siendo injectados con un iframe.



    Alguien mas esta siendo atacado de esta manera de este foro?
    La pregunta viene porque el proveedor de servicios de hosting es The Planet y se que hay varios usuarios del mismo en este foro.
    No digo que sea una vulnerabilidad en el servidor, pero no lo descarto.
    Tambien intenté contactandome con The Planet, pero ellos insisten en que el ataque no es automatizado y que me han "hackeado" el password, pero aun cambiando los paswords, en cuestion de horas se vuelven a inyectar los iframes.

    Se agradece cualquier info, aun si no estan hosteados en The Planet y son víctimas de este ataque.


    Saludos.

  2. #2
    AndreRamirez está desconectado Registrado
    Rango: Quizás estoy
    haciendo Spam ...

    User Info Menu

    Predeterminado

    ami me paso algo similar pero en www.powweb.com y afecto a casi todos los clientes el problema es claro y es del servidor no te tu web, lo mas posible es que theplanet tiene la misma vulnerabilidad, siempre que pase algo asi uno lo reporta y ellos dicen que debe ser algo de tu web que actualices los codigos que tienes instalados blablabla ami me dijeron eso y mi web era solo HTML asi que no habia ni php vulnerable ni inyecciones de SQL por que era simplemente html jamas aceptaran que el servidor de ellos esta mal

  3. #3
    gomin Invitado

    Predeterminado

    Me pasó una vez con webair. Según ellos , el ataque fue por ftp (la password que usaba era realmente 'debil', debo reconocer).
    Ojo, revisá bien archivo por archivo pues en mi caso apareció una copia de r57shell.php (con otro nombre, claro). Mediante esa script o similares el tipo tiene el control de tu servidor.
    Luego de limpiar todo y cambiar el pass no volvió a suceder.

  4. #4
    Avatar de TaLu
    TaLu está desconectado Registrado
    Rango: Soy accionista de Google!!

    User Info Menu

    Predeterminado

    ¿Esto te ocurre en algún CMS en particular o son htmls estáticos?

  5. #5
    iberporno Invitado

    Predeterminado

    A mí me pasó exactamente igual y desconozco la vulnerabilidad (me sucedió tanto en CMS como en htmls estáticos). Revisa los logs del ftp y verás que entran por ahí, con ips diferentes y lo peor es que independientemente de que cambies el pass SIGUEN ENTRANDO.

    Yo uso Plesk, quizás la vulnerabilidad venga de ahí, el caso es que lo solucioné vía firewall, sólo dejando entar a mis ips y la de los administradores y ya de paso hice los mismo con los otros servicios (plesk, ssh, etc.). Es la única forma 100% efectiva de acabar con esos ataques.

    Buena suerte.

  6. #6
    elmister está desconectado Registrado

    User Info Menu

    Predeterminado

    Algo asi le ha pasado a varios clientes, entraban con sus cuentas de ftp y sospechamos que pudieran haberles robado el password gracias a algun virus, los clientes revisaron sus pcs y encontraron que estaba infectados.

    En el log de ftp veamos siempre el mismo patron, se conectaban, bajaban los ficheros index e inmediatamente los volvian a subir con un tamaño diferente (codigo añadido).

    Tras cambiar el password a las cuentas y limpiar los sistemas infectados no volvio a suceder. La nueva clave nunca debe pasar por el sistema infectado

    Con respecto a ThePlanet, como proveedor de dedicados que son no son responsables del funcionamiento del software del servidor, una vez instalado es responsabilidad del cliente mantenerlo.

  7. #7
    animal está desconectado Registrado
    Rango: Google es mi amigo

    User Info Menu

    Predeterminado

    Efectivamente es un virus, de alguna manera intercepta los archivos index.* que suben por FTP y les inyecta el codigo, por eso aunque se cambie la contraseña la inyección persiste.
    Formatee una de las PS's y solo estoy trabajando por FTP desde esa porque por ahora es imposible determinar la máquina que esta infectada ya que los antivirus no lo detectan (al menos los que yo he probado).

    En años de laburar en esto jamás habia visto algo igual, la verdad que se pasaron XD.
    Una razón mas para pasarse a LINUX, lastima que aca (donde laburo) no conocen la vida sin el Dreamweaver.

    Gracias a todos por las respuestas

  8. #8
    Avatar de Xyborg
    Xyborg está desconectado Registrado

    User Info Menu

    Predeterminado

    Lo mas probable no es que sea un virus infectando el trafico FTP, sino que tu passwords de FTP han sido robados de algun modo y se estan vendiendo en algun foro ruso :P. He visto muchos casos asi donde te venden listados de miles de claves y la app php que sola se encargad de buscas e infectar todos los archivos que uno le especifique en el server victima.

  9. #9
    iberporno Invitado

    Predeterminado

    Es posible xyborg pero en mi caso fueron muchas las webs que infectaron e incluso cambiando el pass la inyección persistía. Además, por esa época tenía algún problema que otro con los recursos de uno de mis pcs, lo que hace pensar que tenía un troyano en él y de ahí que detectaran mis passwords.

    Si el servidor es dedicado no lo dudes y usa el firewall, de esa forma te evitarás estos y otros ataques futuros.

    Yo tuve problemas pues varias de las webs google me las baneó y aunque solicité una revisión se podría decir que ahora están una temporada en "cuarentena".

    Además de cambiarme los index también subieron algún php que otro y luego hicieron spam por mail apuntando a ese php. Mira bien cuando entres por ftp que no haya ningún archivo raro en cualquier directorio.

  10. #10
    animal está desconectado Registrado
    Rango: Google es mi amigo

    User Info Menu

    Predeterminado

    Sigo revisando , pero las inyecciones parecen automatizadas ya que en algunos casos simplemete se esta inyectado el iframe en code php sin ningun tipo de escape lo que causa un error en lugar de levantar el lframe, asi que por ahora la inyección manual esta descartada.
    Tampoco he encontrado archivos ajenos a los sistemas.

  11. #11
    nicolas2 está desconectado Registrado
    Rango: Google es mi amigo

    User Info Menu

    Predeterminado

    1 de 2
    O te deben haber metido un script para shell que te está sobrescribiendo e insertando los PHP
    O te están ejecutando una instrucción/script desde una URL

    Fijate en los formularios y paso de parámetros que tengas en tus páginas php, capaz por ahí está la cosa.

    Cuando pasas parametros ej: index.php?a=¿Hola como estás? conviene atajarlos con una función q te limpie todo.

    yo uso algo así $parametro = CadenaPermitida($_GET['a']);

    y luego en CadenaPermitida($txt) corro varios controles para destripar el texto y sacarle todo lo que no corresponda.


    saludos

  12. #12
    animal está desconectado Registrado
    Rango: Google es mi amigo

    User Info Menu

    Predeterminado

    No hay ningun shell alojado , todo lo que viene por POST o GET se filtra y estan deshabilitados los includes tipo require('http://www.juaquer.com/mishell.php') , tambien ocurre con sitios completamente estáticos (html hardcoded) y en servidores separados.

    Código PHP:
     
     
    function filtrar(&$str){
        
    $str filtro($str);
     }
     
    array_walk($_POST,'filtrar');
     
    array_walk($_GET,'filtrar'); 
    Aca se habla un poco mas del tema, parece que el ataque es bastante nuevo ya que no encontre información anterior a la semana pasada.

  13. #13
    feresmarot está desconectado Registrado

    User Info Menu

    Predeterminado

    Yo tuve el mismo problema y tenia que ser una vulnerabilidad del host ya que hackeaban mis passwords de acceso ftp, lo que hice fue cambiar mis passwords poniendo una cadena larga alfanumerica y controlando las variables por url como ya ha mencionado nicolas, parece que funciono, aunque luego los del host tambien ajustaron la seguridad, no fui el unico

Temas Similares

  1. Respuestas: 2
    Último Mensaje: 22/03/2017, 05:43
  2. No consigo que se vea el iframe en mi web
    Por todoesporno en el foro General SoyWebmaster
    Respuestas: 1
    Último Mensaje: 08/10/2013, 09:00
  3. Busco Programador Iframe - Javascript
    Por Axiago en el foro Otros Negocios por Internet
    Respuestas: 1
    Último Mensaje: 25/03/2013, 01:01
  4. Respuestas: 0
    Último Mensaje: 11/06/2008, 18:21
  5. Publicidad en Java e Iframe se acepta con CUIDADO
    Por gromf en el foro Webmasters Porno
    Respuestas: 0
    Último Mensaje: 01/10/2005, 19:45

Permisos de Publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •  
Has visto el post " Problema : Iframe Injection" que está en esta URL y ha sido creado por el usuario animal. Esperamos que te haya sido de utilidad el artículo " Problema : Iframe Injection" que inició el usuario animal de Soywebmaster.com.

Otros Foros de Interés

Curso SEO - Foro SEO - Foro Programacion - Foro Diseño Web - Intercambio de Enlaces - Negocios por Internet - Como Ganar Dinero - Foro Hosting - Foro Apuestas Deportivas

ÚLTIMOS ARTÍCULOS DEL BLOG SEO DE DAVID AYALA

MÉTODOS EFICACES para Indexar Enlaces en Google
Webinar: Keyword Research (Con Emilio García)
Safecont: Una herramienta SEO diferente
MEGA GUÍA SEO AutoPilot (Link Building Automático)
Usamos cookies que analizan hábitos de comportamiento y navegación que aceptas al navegar aquí. Política de privacidad | Cookies | Aviso legal