[GTER] RES: RES: Virus em sites

NOC NeoGrid security at neogrid.com
Mon Jun 1 11:03:49 -03 2009


Bom dia,

Mandei um "exemplo" do código para saber se era similar ao que foi encontrado nos sites de quem iniciou a "thread", mas ninguém respondeu ( nem que sim, nem que não ).
Seria interessante mostrar o que identificaram nos arquivos, assim evitamos diversas "possibilidades".

Att,

Dilson
NOC - Neogrid
www.neogrid.com

-----Mensagem original-----
De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em nome de Julio Arruda
Enviada em: segunda-feira, 1 de junho de 2009 10:47
Para: Grupo de Trabalho de Engenharia e Operacao de Redes
Assunto: Re: [GTER] RES: Virus em sites

Alexandre Gorges wrote:
> Bom dia, Toledo
> 
>>> Já foi desconsiderado isso, no servidor não tem nenhum usuário criado.
>>> Pesquisando pelo malware Gumblar, vi que a senha é descoberta
>>> na máquina do usuário com spyware. Muitos relatos de senhas
>>> capturadas com quem usa o Filezilla para acesso ao FTP.
>> Sim pode ocorrer dessa forma, mas a probabilidade do spywave infectar
>> justamente aqueles clientes que fazem FTP com vc é infima.
>> Teriam que infectar milhares para encontrar um que hospeda com você e que
>> faz ftp.
>> Além disso, são mais de um cliente seu, o que complica as probabilidade.
>> Imagino que haja um ponto em comum entre eles(clientes).
> 
> Mas eu não estou dizendo que está acontecendo apenas comigo.
> Se você pesquisar por Gumblar, irá ver vários casos de troca de site por
> FTP. 
> De 730 domínios, foram infectados aqui 5 sites. E clientes sem relação entre
> eles, nem o desenvolvedor dos sites é o mesmo.
> Um amigo de outro provedor, também relatou mesmo problema. Para alguns
> clientes apenas.

Vamos imaginar que somente estes 5 fizeram updates via FTP desde que 
houve o problema ?
Isto poderia explicar por que os outros nao foram 'contaminados' ?
Eu sou um pouco paranoico, e se alguem comprometer uma maquina minha, 
mesmo que tenha aparencia de ser algo 'periferico' (os arquivos FTP), eu 
ao menos daria uma verificada para ver se nao teve algo mais. Obvio que 
e' facil para alguem que nao administra isto falar :-), mas...

Uma outra coisa que voce pode tentar fazer e' dar uma verificada no 
trafego deste servidor, ver se nao tem sessoes outgoing dele 
'inesperadas', um tipo de NBA manual :-)..Um outros facil, verificar 
trafego para porta tcp 6667 outbound.
--
gter list    https://eng.registro.br/mailman/listinfo/gter




More information about the gter mailing list