Korábban is említettük, hogy szinte bármilyen weboldalt meg lehet fertőzni, de ha valaki célzottan szeretne nagy kárt okozni, keresve sem találhatna jobbat a feliratok.hu lapnál egy kártékony IFRAME exploit beágyazására: főleg fiatalok látogatják, akik közül sokan még nem annyira veszik komolyan a számítógépes biztonságot.

Tavaly ősszel már volt hasonló IFRAME-s mizéria a Roxy rádió honlapján, ahol szintén kártevő terjesztésre használtak fel egy beágyazott IFRAME blokkot. Mivel még mindig sokan Internet Explorereznek, használnak hmm-kmm kétes eredetű Windowst (amit ugye nem frissítenek), és sokan még mindig egyáltalán nem használnak biztonsági programokat sem (há' a windows tűzfala mié' nem teljesen jó?), és persze noch dazu a Roxy is főleg a kevésbbé paranoiás fiatalok érdeklődésére tarthat számot. Feltételezhetjük, hogy nem csak a topicnyitó faragott rá (mi egyébiránt nem használunk ilyen közönséges, vulgáris és alpári szalonképtelen szakkifejezéseket mint "megszívta", és hasonlók ;-). Az is egy érdekes közjáték, hogy a HUP Drupalos topikjába akkoriban ohne zsineg be lehetett szúrni egy ilyen még aktív kártevőre mutató Iframes sort, szűrés vagy formai átalakítás nélkül. (Inputellenőrzés, inputellenőrzés, inputellenőrzés - mondotta Lenin ;-)

További apró érdekesség még, hogy miután a napokban megújult a www.roxy.hu, az új weboldalra (www.roxy.hu/website) történő átírányítást eleinte még egy IFRAME tag végezte, de szerencsére vagy rájöttek maguktól, hogy ez nem túl praktikus, vagy elegen figyelmeztették őket rá; esetleg tanultak a múltból és saját kárukon - lényeg a lényeg, ma már ezt az átirányítást látjuk:

<html> <head> <title></title> <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-2"> <meta http-equiv="refresh" content="0;url=http://www.roxy.hu/website"> </head> <body> </body> </html> 

Ennyit a múltról, következzen a határtalan jelen, amikor is a feliratok.hu oldalról induló mirrorok kerültek sorra távoli testvéreinknél, ami miatt az innen nyíló lapok HTML kódjában ilyesmit láthatunk:

Nem látszik túl bizalomgerjesztőnek, még ha kajában esetleg szeretjük is a kínait, a titkon beágyazott Iframe-ben bizton utáljuk. Ha olyan Windows alatti gépről nézegetjük, amin az ESET Smart Security 4.0 fut, szerencsére az ilyen szokatlan beágyazásra üzemszerűen jelent:

Továbbá ha rendes ;-) webböngészőt használunk, több forrásból is kaphatunk figyelmeztetést, íme az egyik.

A bűnös weboldal egy kínában Legjobb Rajmund által bejegyzett, de Litván szerveren működtetett valami. Talán lassúak voltunk - éjjel háromkor jött a riasztás, és reggel hétkor már rajta voltunk az ügyön - de ma reggelre letölthető kártevőt már (sajnos - hál' Istennek, a nem kivánt törlendő) nem sikerült fognunk ;-) Persze azért látható, minden az eredetileg beszúrt litecartop.cn oldal továbbirányításán múlik, ami időről időre változóan máshova irányíthat, esetleg figyelheti és naplózhatja az IP-ket, és mindig máshova küldhet, stb.

A tanulság talán annyi lehet, hogy egyrészt az "óvatosság nem bizalmatlanság", valamint az "én itten kérem csak megbízható webhelyeket látogatok, ezért nem is eshet semmi bajom tisztelt Bíróság, zblorghhh" szlogen újfent eredményesen cáfolva, Myth Busted! 

* * * FRISSÍTÉS * * *

Közben Windowsos kollégánk sikeresen blokkolt NOD32-vel egy LOAD.EXE nevű vadállatot, amelyet a karanténból előbányászva az alábbi képet mutatja a VirusTotalon: