[GTER] RES: Vírus em sites

Alexandre Gorges algorges at gmail.com
Mon Jun 1 15:44:01 -03 2009


É isso que estou falando a tempo.
Não tem problema no servidor. Os sites são alterados via ftp.
Nem sempre o problema é no servidor. :)

Segue um pedaço do meu log de FTP.

83.143.81.10 - shine [06/Apr/2009:22:16:19 -0000] "GET
/home/sites/cliente.com.br/web/teste/lytebox.js" 200 38957
83.143.81.10 - shine [06/Apr/2009:22:16:24 -0000] "PUT
/home/sites/cliente.com.br/web/teste/lytebox.js" 200 38990
83.143.81.10 - shine [06/Apr/2009:22:16:55 -0000] "GET
/home/sites/cliente.com.br/web/index.htm" 200 1375
83.143.81.10 - shine [06/Apr/2009:22:16:57 -0000] "PUT
/home/sites/cliente.com.br/web/index.htm" 200 1386

Como podem ver, a pessoa puxa o arquivo do site no servidor e logo em
seguida coloca o arquivo já com o script.

Como se fosse um echo "script" >> index.htm

O script aparece ou no começo do arquivo ou no final.

E volto a dizer, não é feito nada no servidor, não foi colocado nenhum
arquivo ou script no servidor. Simplesmente é acesso via FTP e trocado os
arquivos.

Coloquei o clamav em conjunto com meu servidor de FTP, a cada upload o
clamav verifica. Alguns scripts o clamav tem encontrado. Tem dado uma ajuda.

[]'s
Alexandre Gorges
http://algorges.blogspot.com
http://www.dag.eti.br
MSN/Gtalk/iCHAT/Skype/Jabber: algorges at gmail.com




> From: Marcio Fernandes <mfernandes at infolink.com.br>
> Reply-To: Lista GTER <gter at eng.registro.br>
> Date: Mon, 01 Jun 2009 13:17:21 -0300
> To: Lista GTER <gter at eng.registro.br>
> Subject: Re: [GTER] RES: Vírus em sites
> 
> Realmente, assim como o Juliano, também experimentamos estes tipos de
> eventos por aqui (InfoLink).
> 
> Servidores de hospedagem estática, ou seja, sem PHP, ASP, JSP, MySQL, etc.
> 
> Analisando os LOGs de FTP (são diversos IPs que fazem acessos
> fidedignos, normalmente internacionais: China, Russia, Polônia, entre
> outros), comprovamos a ação a informamos aos nossos clientes.
> 
> Logo, a captação da senha se dá no lado do cliente, principalmente
> quando os mesmos fazem acesso ao FTP através de cybercafés, faculdades,
> redes públicas, etc.
> 
> []s
> Marcio Fernandes
> 
>> 
>> Cleber,
>> 
>> Sim, vem por FTP, normalmente IP internacional. O problema ocorre com
>> sites com HTML, sem nada de PHP, sem permissao de execucao PHP, servidor
>> cujo acesso é realizado apenas pelo cliente, sem furos, sem ser
>> shared... sem asp, sem jsp, mysql... ocorreu.
>> 
>> Juliano
>> 
>> Cleber - Listas escreveu:
>>> Alexandre,
>>> Tem certeza que está vindo via FTP, pois hoje em dia isso pode ocorrer de
>>> maneiras:
>>> 
>>> *) Via FTP mesmo, pois o cliente pode ter um trojan instalado na
>>> maquina que
>>> fica monitorando e depois quando for transferir uma pagina index ou
>>> default,
>>> o javascript vai junto (já ocorreu com cliente nosso)
>>> 
>>> *) Via Upload, alguma pagina ASP ou PHP mal programada aceita o upload
>>> de um
>>> outro .ASP ou .PHP que se auto propaga em seu servidor nos diretórios que
>>> tem permissao de escrita.
>>> 
>>> Recomendação, somente libere escrita para os clientes que o solicitem e
>>> tenha um registro em hepldesk, excel ou até mesmo em papel de pão :)
>>> 
>>> Se o caso realmente está vindo via FTP, verifique para fazer bloqueios de
>>> IP's e avise seus usuários, por exemplo se sabe que o dominio
>>> abc.com.br tem
>>> acesso NET, faça um bloquei para a rede da NET do acesso ao dominio
>>> via FTP,
>>> é uma forma de ir isolando o problema e chegar até a fonte.
>>> 
>>> Espero ter ajudado.
>>> 
>>> Cleber
>>>  
>>> 
>>> -----Mensagem original-----
>>> De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
>>> nome de Alexandre Gorges
>>> Enviada em: sábado, 30 de maio de 2009 14:54
>>> Para: Lista GTER
>>> Assunto: [GTER] Vírus em sites
>>> 
>>> Boa tarde,
>>> Faz alguns 15 dias, que estou com problemas em alguns sites de clientes.
>>> Não sei como é descoberto a senha de FTP dos sites, mas o acesso sempre é
>>> internacional. É adicionado um javascript em todas as páginas do site
>>> do cliente. Alguns
>>> antivirus não detectam, mas outros como Avast, AVG e Symantec detectam.
>>> 
>>> Alguém também está passando por esse problema?
>>> Botei o clamav para verificar o upload dos FTP. Mas infelizmente, o
>>> Clamav
>>> não detecta esse javascript.
>>> 
>>> 
>>> []'s
>>> Alexandre Gorges
>>> http://algorges.blogspot.com
>>> http://www.dag.eti.br
>>> MSN/Gtalk/iCHAT/Skype/Jabber: algorges at gmail.com
>>> 
>>> 
>>> 
>>> -- 
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>> Nenhum vírus encontrado nessa mensagem recebida.
>>> Verificado por AVG - www.avgbrasil.com.br
>>> Versão: 8.5.339 / Banco de dados de vírus: 270.12.46/2143 - Data de
>>> Lançamento: 05/30/09 05:53:00
>>> 
>>> -- 
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>   
>> 
>> -- 
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> 
> 
> 
> -- 
> Cordialmente,
> 
> Marcio Fernandes
> InfoLink - Hospedagem UNIX
> mfernandes at infolink.com.br
> http://dominio.infolink.com.br
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter





More information about the gter mailing list