[GTER] RES: Virus em sites
Toledo, Luis Carlos
lscrlstld at gmail.com
Mon Jun 1 09:53:36 -03 2009
> >>
> >> Curiosidade.... Para que tantas perguntas?
Está tentando de ajudar..
> > Se eles tiverem comprometido o servidor (nao os clientes),
> e fizerem
> > captura do trafego no mesmo servidor, eles podem obter a
> senha de um
> > ponto central (ja que e' FTP). Voce comentou que voce tem
> limpado "o
> > efeito" do breach, so que talvez simplesmente eles estejam
> pegando as
> > senhas na propria maquina FTP.
>
> Já foi desconsiderado isso, no servidor não tem nenhum usuário criado.
> Pesquisando pelo malware Gumblar, vi que a senha é descoberta
> na máquina do usuário com spyware. Muitos relatos de senhas
> capturadas com quem usa o Filezilla para acesso ao FTP.
Sim pode ocorrer dessa forma, mas a probabilidade do spywave infectar
justamente aqueles clientes que fazem FTP com vc é infima.
Teriam que infectar milhares para encontrar um que hospeda com você e que
faz ftp.
Além disso, são mais de um cliente seu, o que complica as probabilidade.
Imagino que haja um ponto em comum entre eles(clientes).
> Os códigos que peguei nos sites infectados, são java scripts
> ou chamadas iframe para outros sites. Nenhuma programação PHP
> que possa tentar acessar o servidor.
>
> O ataque começa de fato no usuário e não no servidor.
>
Não discarte assim tão fácil outras possibilidades. Talvez não seja
necessariamente o servidor FTP, mas alguem que pode sniffar o tráfego.
Abs Toledo
More information about the gter
mailing list