[GTER] RES: Virus em sites

Toledo, Luis Carlos lscrlstld at gmail.com
Mon Jun 1 09:53:36 -03 2009


> >> 
> >> Curiosidade.... Para que tantas perguntas?

Está tentando de ajudar..
 
> > Se eles tiverem comprometido o servidor (nao os clientes), 
> e fizerem 
> > captura do trafego no mesmo servidor, eles podem obter a 
> senha de um 
> > ponto central (ja que e' FTP). Voce comentou que voce tem 
> limpado "o 
> > efeito" do breach, so que talvez simplesmente eles estejam 
> pegando as 
> > senhas na propria maquina FTP.
> 
> Já foi desconsiderado isso, no servidor não tem nenhum usuário criado.
> Pesquisando pelo malware Gumblar, vi que a senha é descoberta 
> na máquina do usuário com spyware. Muitos relatos de senhas 
> capturadas com quem usa o Filezilla para acesso ao FTP.

Sim pode ocorrer dessa forma, mas a probabilidade do spywave infectar
justamente aqueles clientes que fazem FTP com vc é infima.
Teriam que infectar milhares para encontrar um que hospeda com você e que
faz ftp.
Além disso, são mais de um cliente seu, o que complica as probabilidade.
Imagino que haja um ponto em comum entre eles(clientes).
 
> Os códigos que peguei nos sites infectados, são java scripts 
> ou chamadas iframe para outros sites. Nenhuma programação PHP 
> que possa tentar acessar o servidor.
> 
> O ataque começa de fato no usuário e não no servidor.
> 

Não discarte assim tão fácil outras possibilidades. Talvez não seja
necessariamente o servidor FTP, mas alguem que pode sniffar o tráfego.
Abs Toledo




More information about the gter mailing list