[GTER] Vírus em sites

Fernando Ulisses dos Santos fernando at bluesolutions.com.br
Mon Jun 1 10:23:41 -03 2009 

Alexandre,

Pode ter ocorrido o seguinte: a partir do usuário e senha de um cliente 
seu, alguém conseguiu acessar seu servidor e colocou um executável ou 
script.

Esse executável pode ter sido usado para escalar privilégio, o atacante 
ganhou acesso root e copiou seu arquivo de senhas. Você pode até ter 
fechado essa brecha (com uma atualização, por exemplo), mas, com o 
arquivo de senhas, o atacante pode ter deixado um ataque de força bruta 
contra seu arquivo de senhas, e, conforme vai quebrando, vai infectando 
os sites.

Para observar esse padrão, você pode mapear os clientes que foram 
infectados na ordem, também o quanto forte eram as senhas (se as mais 
fracas foram quebradas primeiro). Para parar o ataque nesse caso, trocar 
a senha de todo mundo, rodar o chkrootkit no servidor.

Outra possibilidade: seu site principal, ou algum site da sua cidade, 
que seus clientes acessam com frequência, foi infectado em alguma parte. 
Sem a devida proteção de antivírus, seus clientes são infectados assim 
que acessam esse site, esse pode ser o ponto comum entre eles. Nesse 
caso, não é só você que será afetado, mas outros provedores locais também.

Fernando Ulisses dos Santos
Blue Solutions - Soluções em TI
19-3321-9068 / 11-4062-9218
fernando at bluesolutions.com.br



Em 31-05-2009 15:03, Alexandre Gorges escreveu:
> Meu caro, não é via sql injection. os sites nem tem banco de dados.
> é via ftp, olhei os logs. a pessoa loga, puxa o site do cliente e coloca o
> site denovo com as paginas html, php o que for com o java dentro. alguns
> casos até um iframe.
>
> Coloquei o clamav para verificar os upload do ftp. de sexta para hoje, pegou
> 5 arquivos que a pessoa tentou fazer o upload para o servidor.
>
> 2009/5/30 Lauro Cesar de Oliveira <olarva at gmail.com>
>
>   
>> Meu caro, isso é via sql injection ou algum formulario php/perl/cgi-bin com
>> permissão de escrita.
>> Você precisa verificar as permissões dos arquivos.
>>
>> E encontrar o formulário html que está servido de input para esse
>> javascript.
>>
>>
>> 2009/5/30 Alexandre Gorges <algorges at gmail.com>
>>
>>     
>>> Boa tarde,
>>> Faz alguns 15 dias, que estou com problemas em alguns sites de clientes.
>>> Não sei como é descoberto a senha de FTP dos sites, mas o acesso sempre é
>>> internacional.
>>> É adicionado um javascript em todas as páginas do site do cliente. Alguns
>>> antivirus não detectam, mas outros como Avast, AVG e Symantec detectam.
>>>
>>> Alguém também está passando por esse problema?
>>> Botei o clamav para verificar o upload dos FTP. Mas infelizmente, o
>>>       
>> Clamav
>>     
>>> não detecta esse javascript.
>>>
>>>
>>> []'s
>>> Alexandre Gorges
>>> http://algorges.blogspot.com
>>> http://www.dag.eti.br
>>> MSN/Gtalk/iCHAT/Skype/Jabber: algorges at gmail.com
>>>
>>>
>>>
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>
>>>       
>>
>> --
>> Lauro Cesar de Oliveira
>> http://www.gurulinux.blog.br
>> Hack to learn not learn to hack.
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>>     
>
>
>
>

More information about the gter mailing list