De laatste tijd worden er veel sites gehackt om in de files op de server iframes of javascriptcode te injecteren. De gehackte server kan dan bijvoorbeeld gebruikt worden om te spammen. Een van de meest gebruikte methoden om ongeoorloofde toegang tot sites te krijgen is via de thuis- of kantoorcomputer van de site-eigenaar zelf.
Recentelijk wordt hier vaak Acrobat Reader van Adobe (versies < 8.1.3) voor gebruikt. Hierbij maakt een veiligheidslek het mogelijk om er door middel van een PDF voor te zorgen dat er onbedoelde code door een thuis- of kantoorcomputer wordt uitgevoerd. Vaak worden er op deze computers dan trojans en keyloggers geinstalleerd, om op deze manier FTP-wachtwoorden van servers te achterhalen.
Wanneer u merkt dat uw site opeens door Google aangemerkt wordt als een "site die schade kan toebrengen aan uw computer" dan is er grote kans dat de computer waarmee FTP-connectie met de server maakt is geïnfecteerd. Als een externe partij uw website beheert dan is deze meestal gehackt. Neem in dat geval contact met deze partij op.
Systeembeheerders kunnen aan de FTP-logfiles zien dat er op de gehackte domeinen requests binnen komen voor veel bestanden en dat iedere connectie een ander IP heeft (aanwijzigen voor het grote botnetwerk dat er achter ligt).
Wat te doen als u geinfecteerd bent?
1. Scan uw computer goed op virussen, trojans, keyloggers en rootkits. Gebruik wanneer mogelijk vanaf een Live-CD, een computer die verzekerd virusvrij is of een niet-windowscomputer.
2. Update alle software die interactie met uw browser heeft zoals Adobe Reader en Flash en zorg dat deze altijd up-to-date zijn.
3. Schakel in Adobe Acrobat Javascript uit (Via Voorkeuren -> Javascript).
4. Verander uw FTP-wachtwoorden.
5. Upload een schone versie van de website.
Als u geen schone versie van uw website hebt en de bestaande versie moet zuiveren kunt u een script van ons gebruiken. Dit script kunt u gebruiken om iframes die hun source met een http:// call embedden uit de code van een website te filteren.
Als u meer wilt weten over dit onderwerp kunt u op het blog van Sophos labs terecht, die hebben hier veel posts over op hun blog staan. Zie bijvoorbeeld:
http://www.sophos.com/blogs/sophoslabs/v/post/5968
