[GTER] RES: Virus em sites

Alexandre Gorges algorges at gmail.com
Mon Jun 1 15:26:41 -03 2009 


> From: Julio Arruda <jarruda-gter at jarruda.com>
> Reply-To: Lista GTER <gter at eng.registro.br>
> Date: Mon, 01 Jun 2009 09:46:50 -0400
> To: Lista GTER <gter at eng.registro.br>
> Subject: Re: [GTER] RES:  Virus em sites
> 
> Alexandre Gorges wrote:
>> Bom dia, Toledo
>> 
>>>> Já foi desconsiderado isso, no servidor não tem nenhum usuário criado.
>>>> Pesquisando pelo malware Gumblar, vi que a senha é descoberta
>>>> na máquina do usuário com spyware. Muitos relatos de senhas
>>>> capturadas com quem usa o Filezilla para acesso ao FTP.
>>> Sim pode ocorrer dessa forma, mas a probabilidade do spywave infectar
>>> justamente aqueles clientes que fazem FTP com vc é infima.
>>> Teriam que infectar milhares para encontrar um que hospeda com você e que
>>> faz ftp.
>>> Além disso, são mais de um cliente seu, o que complica as probabilidade.
>>> Imagino que haja um ponto em comum entre eles(clientes).
>> 
>> Mas eu não estou dizendo que está acontecendo apenas comigo.
>> Se você pesquisar por Gumblar, irá ver vários casos de troca de site por
>> FTP. 
>> De 730 domínios, foram infectados aqui 5 sites. E clientes sem relação entre
>> eles, nem o desenvolvedor dos sites é o mesmo.
>> Um amigo de outro provedor, também relatou mesmo problema. Para alguns
>> clientes apenas.
> 
> Vamos imaginar que somente estes 5 fizeram updates via FTP desde que
> houve o problema ?
> Isto poderia explicar por que os outros nao foram 'contaminados' ?
> Eu sou um pouco paranoico, e se alguem comprometer uma maquina minha,
> mesmo que tenha aparencia de ser algo 'periferico' (os arquivos FTP), eu
> ao menos daria uma verificada para ver se nao teve algo mais. Obvio que
> e' facil para alguem que nao administra isto falar :-), mas...
> 
> Uma outra coisa que voce pode tentar fazer e' dar uma verificada no
> trafego deste servidor, ver se nao tem sessoes outgoing dele
> 'inesperadas', um tipo de NBA manual :-)..Um outros facil, verificar
> trafego para porta tcp 6667 outbound.
> --

Tudo que você imaginar de verificação já foi feita. Eu tenho o log do FTP
provando o upload.

Já achei até um script em bash que varre tudo a procura. Esse ataque infecta
quem navega nos sites, não o servidor.


> gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list