[GTER] RES: Vírus em sites

Marcio Fernandes mfernandes at infolink.com.br
Mon Jun 1 13:17:21 -03 2009 

Realmente, assim como o Juliano, também experimentamos estes tipos de 
eventos por aqui (InfoLink).

Servidores de hospedagem estática, ou seja, sem PHP, ASP, JSP, MySQL, etc.

Analisando os LOGs de FTP (são diversos IPs que fazem acessos 
fidedignos, normalmente internacionais: China, Russia, Polônia, entre 
outros), comprovamos a ação a informamos aos nossos clientes.

Logo, a captação da senha se dá no lado do cliente, principalmente 
quando os mesmos fazem acesso ao FTP através de cybercafés, faculdades, 
redes públicas, etc.

[]s
Marcio Fernandes

> 
> Cleber,
> 
> Sim, vem por FTP, normalmente IP internacional. O problema ocorre com 
> sites com HTML, sem nada de PHP, sem permissao de execucao PHP, servidor 
> cujo acesso é realizado apenas pelo cliente, sem furos, sem ser 
> shared... sem asp, sem jsp, mysql... ocorreu.
> 
> Juliano
> 
> Cleber - Listas escreveu:
>> Alexandre,
>> Tem certeza que está vindo via FTP, pois hoje em dia isso pode ocorrer de
>> maneiras:
>>
>> *) Via FTP mesmo, pois o cliente pode ter um trojan instalado na 
>> maquina que
>> fica monitorando e depois quando for transferir uma pagina index ou 
>> default,
>> o javascript vai junto (já ocorreu com cliente nosso)
>>
>> *) Via Upload, alguma pagina ASP ou PHP mal programada aceita o upload 
>> de um
>> outro .ASP ou .PHP que se auto propaga em seu servidor nos diretórios que
>> tem permissao de escrita.
>>
>> Recomendação, somente libere escrita para os clientes que o solicitem e
>> tenha um registro em hepldesk, excel ou até mesmo em papel de pão :)
>>
>> Se o caso realmente está vindo via FTP, verifique para fazer bloqueios de
>> IP's e avise seus usuários, por exemplo se sabe que o dominio 
>> abc.com.br tem
>> acesso NET, faça um bloquei para a rede da NET do acesso ao dominio 
>> via FTP,
>> é uma forma de ir isolando o problema e chegar até a fonte.
>>
>> Espero ter ajudado.
>>
>> Cleber
>>  
>>
>> -----Mensagem original-----
>> De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
>> nome de Alexandre Gorges
>> Enviada em: sábado, 30 de maio de 2009 14:54
>> Para: Lista GTER
>> Assunto: [GTER] Vírus em sites
>>
>> Boa tarde,
>> Faz alguns 15 dias, que estou com problemas em alguns sites de clientes.
>> Não sei como é descoberto a senha de FTP dos sites, mas o acesso sempre é
>> internacional. É adicionado um javascript em todas as páginas do site 
>> do cliente. Alguns
>> antivirus não detectam, mas outros como Avast, AVG e Symantec detectam.
>>
>> Alguém também está passando por esse problema?
>> Botei o clamav para verificar o upload dos FTP. Mas infelizmente, o 
>> Clamav
>> não detecta esse javascript.
>>
>>
>> []'s
>> Alexandre Gorges
>> http://algorges.blogspot.com
>> http://www.dag.eti.br
>> MSN/Gtalk/iCHAT/Skype/Jabber: algorges at gmail.com
>>
>>
>>
>> -- 
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> Nenhum vírus encontrado nessa mensagem recebida.
>> Verificado por AVG - www.avgbrasil.com.br
>> Versão: 8.5.339 / Banco de dados de vírus: 270.12.46/2143 - Data de
>> Lançamento: 05/30/09 05:53:00
>>
>> -- 
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>   
> 
> -- 
> gter list    https://eng.registro.br/mailman/listinfo/gter
> 


-- 
Cordialmente,

Marcio Fernandes
InfoLink - Hospedagem UNIX
mfernandes at infolink.com.br
http://dominio.infolink.com.br

More information about the gter mailing list