[GTER] RES: Virus em sites

Julio Arruda jarruda-gter em jarruda.com
Segunda Junho 1 10:46:50 BRT 2009


Alexandre Gorges wrote:
> Bom dia, Toledo
> 
>>> Já foi desconsiderado isso, no servidor não tem nenhum usuário criado.
>>> Pesquisando pelo malware Gumblar, vi que a senha é descoberta
>>> na máquina do usuário com spyware. Muitos relatos de senhas
>>> capturadas com quem usa o Filezilla para acesso ao FTP.
>> Sim pode ocorrer dessa forma, mas a probabilidade do spywave infectar
>> justamente aqueles clientes que fazem FTP com vc é infima.
>> Teriam que infectar milhares para encontrar um que hospeda com você e que
>> faz ftp.
>> Além disso, são mais de um cliente seu, o que complica as probabilidade.
>> Imagino que haja um ponto em comum entre eles(clientes).
> 
> Mas eu não estou dizendo que está acontecendo apenas comigo.
> Se você pesquisar por Gumblar, irá ver vários casos de troca de site por
> FTP. 
> De 730 domínios, foram infectados aqui 5 sites. E clientes sem relação entre
> eles, nem o desenvolvedor dos sites é o mesmo.
> Um amigo de outro provedor, também relatou mesmo problema. Para alguns
> clientes apenas.

Vamos imaginar que somente estes 5 fizeram updates via FTP desde que 
houve o problema ?
Isto poderia explicar por que os outros nao foram 'contaminados' ?
Eu sou um pouco paranoico, e se alguem comprometer uma maquina minha, 
mesmo que tenha aparencia de ser algo 'periferico' (os arquivos FTP), eu 
ao menos daria uma verificada para ver se nao teve algo mais. Obvio que 
e' facil para alguem que nao administra isto falar :-), mas...

Uma outra coisa que voce pode tentar fazer e' dar uma verificada no 
trafego deste servidor, ver se nao tem sessoes outgoing dele 
'inesperadas', um tipo de NBA manual :-)..Um outros facil, verificar 
trafego para porta tcp 6667 outbound.



More information about the gter mailing list