07/07/2009 Voorkom Javascript En Iframe Injecties

De afgelopen weken werden we regelmatig geconfronteerd met websites waar in de html code een javascript of een iframe geïnjecteerd werd. Vaak ontdekt men dit pas wanneer een bezoeker met een degelijke anti-virus een melding krijgt of de browser een Google Safe Browsing waarschuwing toont bij het raadplegen van de site in kwestie.

Iframe Injecties Voorkomen

Indien u dit voor heeft kan u proberen de injecties zelf verwijderen. We raden echter aan contact met ons op te nemen, we hebben hier ervaring mee en zullen snel het probleem kunnen aanpakken. Mail ons hiervoor op staff@stone-is.com .

Types van injecties

Onze ervaring heeft geleerd dat de injecties vaak op 3 manieren gerealiseerd worden:

1. Aanpassing van index .htm, .html of php bestanden via FTP

FTP is een onveilig protocol: het login en wachtwoord worden ongecodeerd over uw lokaal netwerk verstuurd. Het volstaat besmet te zijn met een virus of malware opdat uw gegevens in de verkeerde handen terecht komen. Ook lekken in veel gebruikte applicaties (zoals Recent met Acrobat Reader) kunnen hiervan de oorzaak zijn.

In dit geval is het verstandig om uw PC grondig te scannen en daarna uw FTP wachtwoord terug te wijzigen (Dit kan in het controlepaneel onder domeinnaam – setup). Het is eveneens belangrijk om de software op uw PC ten allen tijde up to date te houden. Nadat uw wachtwoord gereset is en uw PC grondig gescand is kan u de laatste, niet aangestaste, versies van uw index bestanden terug uploaden.

2. Aanpassing van schrijfbare template of systeembestanden van geïnstalleerde software via een lek in de gedraaide software

Een tweede mogelijkheid is een injectie via de scripts die u op uw webruimte draait. Lekken in verschillende softwares zijn gekend en de mogelijke misbruikers gaan site na site af in de hoop code te kunnen uitvoeren om zo schrijfbare bestanden aan te passen. Om dit te vermijden is het belangrijk om de software die u installeert op uw site up to date te houden en enkel essentiële mappen schrijfbaar te laten zoals de mappen waar bestanden geuploaded worden. Laat nooit uw template of module bestanden schrijfbaar: dit is vragen om problemen, u opent zo de poort tot een volledige defacement van uw website.

3. Aanpassing van het .htaccess bestand via FTP of een lek in een geïnstalleerd script of component.

Bij deze injectie zal men pogen de .htaccess aan te passen, ofwel via gestolen FTP gegevens ofwel via een lek in uw site software.

Voorkomen is beter dan genezen

De meeste van deze injecties kunnen vermeden worden door:

- Uw eigen PC goed te beschermen met de nodige virus en malware scanners.
- Omzichtig om te springen met schrijfpermissies op de bestanden van uw website.
- De geïnstalleerde site software up to date te houden.

Uw site werd het slachtoffer, wat nu?

Geen paniek: contacteer ons: wij staan klaar om samen met u het probleem te verhelpen en zullen u tips geven om dit in de toekomst te voorkomen.

Eens de injectie verwijderd kan u op dit adres http://www.stopbadware.org/home/reportsearch de verwijdering aanvragen uit de database met geïnjecteerde sites.

Wat doen wij om dit te voorkomen

Wij draaien op onze hosting servers mod_security waarmee we gekende en algemene lekken kunnen vermijden, dagelijks houdt deze module dergelijke pogingen tegen. Echter kunnen we de module niet strict genoeg instellen aangezien dit compatibiliteitsproblemen kan opleveren met sommige applicaties. Ook kunnen de meest recente gekende lekken niet altijd snel opgevangen worden. Deze tool is dus niet onfeilbaar.

Ten slotte doen we maandelijks een audit van alle sites. Wordt er een anomalie vastgesteld dan zullen we de site eigenaar contacteren en samen de oplossing zoeken.

Indien u nog vragen heeft omtrend dit onderwerp kan u ons contacteren op staff@stone-is.com .