[GTER] Virus em sites
Marcelo Coelho
marcelo at tpn.com.br
Mon Jun 1 11:07:26 -03 2009
On 31/05/2009, at 23:45, Alexandre Gorges wrote:
> Os códigos que peguei nos sites infectados, são java scripts ou
> chamadas
> iframe para outros sites. Nenhuma programação PHP que possa tentar
> acessar o
> servidor.
>
> O ataque começa de fato no usuário e não no servidor.
Sim, mas não somente para quem utiliza Filezilla. Já tive relatos de
usuários com o WS_FTP com o mesmo problema.
Acho pouco provável que o malware esteja capturando senhas por snif,
deve estar procurando por arquivos .ini dos programas de FTP.
Alguns destes programas não possuem proteção alguma na senha de sites
armazenados.
Se você tiver um log de FTP, verifique se o envio das páginas com
vírus não está vindo do mesmo IP. É possível que as senhas tenham sido
capturadas em um determinado intervalo de tempo, porém a invasão dos
sites foi feita de uma única vez.
--
Marcelo Coelho
marcelo at tpn.com.br
More information about the gter
mailing list