[GTER] RES: Vírus em sites

Mon Jun 1 16:00:18 -03 2009

Alexandre,

Realmente, depois que você quantificou 5 usuários em um universo de 700, 
podemos voltar o foco para infecção com vírus nos clientes. Até então, 
sem a quantidade de usuários definidas, imaginava que fosse uma 
porcentagem significativa da sua base de usuários.

Pela velocidade reportada nos logs, tudo indica que é parte de uma 
botnet, procurando infectar novas máquinas.

Você pode fazer uma busca nos logs procurando esse padrão de 
comportamento, baixar e subir o mesmo arquivo em poucos segundos, não é 
difícil de fazer um script pra isso.

Fernando Ulisses dos Santos
Blue Solutions - Soluções em TI
19-3321-9068 / 11-4062-9218
fernando at bluesolutions.com.br

Em 01-06-2009 15:44, Alexandre Gorges escreveu:
> É isso que estou falando a tempo.
> Não tem problema no servidor. Os sites são alterados via ftp.
> Nem sempre o problema é no servidor. :)
>
> Segue um pedaço do meu log de FTP.
>
> 83.143.81.10 - shine [06/Apr/2009:22:16:19 -0000] "GET
> /home/sites/cliente.com.br/web/teste/lytebox.js" 200 38957
> 83.143.81.10 - shine [06/Apr/2009:22:16:24 -0000] "PUT
> /home/sites/cliente.com.br/web/teste/lytebox.js" 200 38990
> 83.143.81.10 - shine [06/Apr/2009:22:16:55 -0000] "GET
> /home/sites/cliente.com.br/web/index.htm" 200 1375
> 83.143.81.10 - shine [06/Apr/2009:22:16:57 -0000] "PUT
> /home/sites/cliente.com.br/web/index.htm" 200 1386
>
> Como podem ver, a pessoa puxa o arquivo do site no servidor e logo em
> seguida coloca o arquivo já com o script.
>
> Como se fosse um echo "script" >> index.htm
>
> O script aparece ou no começo do arquivo ou no final.
>
> E volto a dizer, não é feito nada no servidor, não foi colocado nenhum
> arquivo ou script no servidor. Simplesmente é acesso via FTP e trocado os
> arquivos.
>
> Coloquei o clamav em conjunto com meu servidor de FTP, a cada upload o
> clamav verifica. Alguns scripts o clamav tem encontrado. Tem dado uma ajuda.
>
> []'s
> Alexandre Gorges
> http://algorges.blogspot.com
> http://www.dag.eti.br
> MSN/Gtalk/iCHAT/Skype/Jabber: algorges at gmail.com
>
>
>
>
>   
>> From: Marcio Fernandes <mfernandes at infolink.com.br>
>> Reply-To: Lista GTER <gter at eng.registro.br>
>> Date: Mon, 01 Jun 2009 13:17:21 -0300
>> To: Lista GTER <gter at eng.registro.br>
>> Subject: Re: [GTER] RES: Vírus em sites
>>
>> Realmente, assim como o Juliano, também experimentamos estes tipos de
>> eventos por aqui (InfoLink).
>>
>> Servidores de hospedagem estática, ou seja, sem PHP, ASP, JSP, MySQL, etc.
>>
>> Analisando os LOGs de FTP (são diversos IPs que fazem acessos
>> fidedignos, normalmente internacionais: China, Russia, Polônia, entre
>> outros), comprovamos a ação a informamos aos nossos clientes.
>>
>> Logo, a captação da senha se dá no lado do cliente, principalmente
>> quando os mesmos fazem acesso ao FTP através de cybercafés, faculdades,
>> redes públicas, etc.
>>
>> []s
>> Marcio Fernandes
>>
>>     
>>> Cleber,
>>>
>>> Sim, vem por FTP, normalmente IP internacional. O problema ocorre com
>>> sites com HTML, sem nada de PHP, sem permissao de execucao PHP, servidor
>>> cujo acesso é realizado apenas pelo cliente, sem furos, sem ser
>>> shared... sem asp, sem jsp, mysql... ocorreu.
>>>
>>> Juliano
>>>
>>> Cleber - Listas escreveu:
>>>       
>>>> Alexandre,
>>>> Tem certeza que está vindo via FTP, pois hoje em dia isso pode ocorrer de
>>>> maneiras:
>>>>
>>>> *) Via FTP mesmo, pois o cliente pode ter um trojan instalado na
>>>> maquina que
>>>> fica monitorando e depois quando for transferir uma pagina index ou
>>>> default,
>>>> o javascript vai junto (já ocorreu com cliente nosso)
>>>>
>>>> *) Via Upload, alguma pagina ASP ou PHP mal programada aceita o upload
>>>> de um
>>>> outro .ASP ou .PHP que se auto propaga em seu servidor nos diretórios que
>>>> tem permissao de escrita.
>>>>
>>>> Recomendação, somente libere escrita para os clientes que o solicitem e
>>>> tenha um registro em hepldesk, excel ou até mesmo em papel de pão :)
>>>>
>>>> Se o caso realmente está vindo via FTP, verifique para fazer bloqueios de
>>>> IP's e avise seus usuários, por exemplo se sabe que o dominio
>>>> abc.com.br tem
>>>> acesso NET, faça um bloquei para a rede da NET do acesso ao dominio
>>>> via FTP,
>>>> é uma forma de ir isolando o problema e chegar até a fonte.
>>>>
>>>> Espero ter ajudado.
>>>>
>>>> Cleber
>>>>  
>>>>
>>>> -----Mensagem original-----
>>>> De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
>>>> nome de Alexandre Gorges
>>>> Enviada em: sábado, 30 de maio de 2009 14:54
>>>> Para: Lista GTER
>>>> Assunto: [GTER] Vírus em sites
>>>>
>>>> Boa tarde,
>>>> Faz alguns 15 dias, que estou com problemas em alguns sites de clientes.
>>>> Não sei como é descoberto a senha de FTP dos sites, mas o acesso sempre é
>>>> internacional. É adicionado um javascript em todas as páginas do site
>>>> do cliente. Alguns
>>>> antivirus não detectam, mas outros como Avast, AVG e Symantec detectam.
>>>>
>>>> Alguém também está passando por esse problema?
>>>> Botei o clamav para verificar o upload dos FTP. Mas infelizmente, o
>>>> Clamav
>>>> não detecta esse javascript.
>>>>
>>>>
>>>> []'s
>>>> Alexandre Gorges
>>>> http://algorges.blogspot.com
>>>> http://www.dag.eti.br
>>>> MSN/Gtalk/iCHAT/Skype/Jabber: algorges at gmail.com
>>>>
>>>>
>>>>
>>>> -- 
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>> Nenhum vírus encontrado nessa mensagem recebida.
>>>> Verificado por AVG - www.avgbrasil.com.br
>>>> Versão: 8.5.339 / Banco de dados de vírus: 270.12.46/2143 - Data de
>>>> Lançamento: 05/30/09 05:53:00
>>>>
>>>> -- 
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>   
>>>>         
>>> -- 
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>
>>>       
>> -- 
>> Cordialmente,
>>
>> Marcio Fernandes
>> InfoLink - Hospedagem UNIX
>> mfernandes at infolink.com.br
>> http://dominio.infolink.com.br
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>     
>
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>   