[GTER] RES: Vírus em sites

Alexandre Gorges algorges at gmail.com
Mon Jun 1 20:19:01 -03 2009 

Marcio,

Começamos a tomar essa medida, bloqueando a classe ip do atacante para
acesso ftp ao servidor.


[]'s
Alexandre Gorges
http://algorges.blogspot.com
http://www.dag.eti.br
MSN/Gtalk/iCHAT/Skype/Jabber: algorges at gmail.com




> From: Marcio Fernandes <mfernandes at infolink.com.br>
> Reply-To: Lista GTER <gter at eng.registro.br>
> Date: Mon, 01 Jun 2009 16:42:27 -0300
> To: Lista GTER <gter at eng.registro.br>
> Subject: Re: [GTER] RES: Vírus em sites
> 
> Alexandre,
> 
> Não sei qual a natureza do seu acesso e nem o perfil de seu cliente, mas
> uma idéia é bloquear portas de FTP para origens que não sejam de seu
> interesse.
> 
> Por exemplo, se você não tem clientes da Russia, China, Polônia e
> correlatos, uma idéia é bloquear esse pessoal.
> 
> Repito, não sei se isso atrapalharia o perfil de seus clientes, mas pode
> ajudar na hora do tiroteio.
> 
> []s
> Marcio Fernandes
> 
>> É isso que estou falando a tempo.
>> Não tem problema no servidor. Os sites são alterados via ftp.
>> Nem sempre o problema é no servidor. :)
>> 
>> Segue um pedaço do meu log de FTP.
>> 
>> 83.143.81.10 - shine [06/Apr/2009:22:16:19 -0000] "GET
>> /home/sites/cliente.com.br/web/teste/lytebox.js" 200 38957
>> 83.143.81.10 - shine [06/Apr/2009:22:16:24 -0000] "PUT
>> /home/sites/cliente.com.br/web/teste/lytebox.js" 200 38990
>> 83.143.81.10 - shine [06/Apr/2009:22:16:55 -0000] "GET
>> /home/sites/cliente.com.br/web/index.htm" 200 1375
>> 83.143.81.10 - shine [06/Apr/2009:22:16:57 -0000] "PUT
>> /home/sites/cliente.com.br/web/index.htm" 200 1386
>> 
>> Como podem ver, a pessoa puxa o arquivo do site no servidor e logo em
>> seguida coloca o arquivo já com o script.
>> 
>> Como se fosse um echo "script" >> index.htm
>> 
>> O script aparece ou no começo do arquivo ou no final.
>> 
>> E volto a dizer, não é feito nada no servidor, não foi colocado nenhum
>> arquivo ou script no servidor. Simplesmente é acesso via FTP e trocado os
>> arquivos.
>> 
>> Coloquei o clamav em conjunto com meu servidor de FTP, a cada upload o
>> clamav verifica. Alguns scripts o clamav tem encontrado. Tem dado uma ajuda.
>> 
>> []'s
>> Alexandre Gorges
>> http://algorges.blogspot.com
>> http://www.dag.eti.br
>> MSN/Gtalk/iCHAT/Skype/Jabber: algorges at gmail.com
>> 
>> 
>> 
>> 
>>> From: Marcio Fernandes <mfernandes at infolink.com.br>
>>> Reply-To: Lista GTER <gter at eng.registro.br>
>>> Date: Mon, 01 Jun 2009 13:17:21 -0300
>>> To: Lista GTER <gter at eng.registro.br>
>>> Subject: Re: [GTER] RES: Vírus em sites
>>> 
>>> Realmente, assim como o Juliano, também experimentamos estes tipos de
>>> eventos por aqui (InfoLink).
>>> 
>>> Servidores de hospedagem estática, ou seja, sem PHP, ASP, JSP, MySQL, etc.
>>> 
>>> Analisando os LOGs de FTP (são diversos IPs que fazem acessos
>>> fidedignos, normalmente internacionais: China, Russia, Polônia, entre
>>> outros), comprovamos a ação a informamos aos nossos clientes.
>>> 
>>> Logo, a captação da senha se dá no lado do cliente, principalmente
>>> quando os mesmos fazem acesso ao FTP através de cybercafés, faculdades,
>>> redes públicas, etc.
>>> 
>>> []s
>>> Marcio Fernandes
>>> 
>>>> Cleber,
>>>> 
>>>> Sim, vem por FTP, normalmente IP internacional. O problema ocorre com
>>>> sites com HTML, sem nada de PHP, sem permissao de execucao PHP, servidor
>>>> cujo acesso é realizado apenas pelo cliente, sem furos, sem ser
>>>> shared... sem asp, sem jsp, mysql... ocorreu.
>>>> 
>>>> Juliano
>>>> 
>>>> Cleber - Listas escreveu:
>>>>> Alexandre,
>>>>> Tem certeza que está vindo via FTP, pois hoje em dia isso pode ocorrer de
>>>>> maneiras:
>>>>> 
>>>>> *) Via FTP mesmo, pois o cliente pode ter um trojan instalado na
>>>>> maquina que
>>>>> fica monitorando e depois quando for transferir uma pagina index ou
>>>>> default,
>>>>> o javascript vai junto (já ocorreu com cliente nosso)
>>>>> 
>>>>> *) Via Upload, alguma pagina ASP ou PHP mal programada aceita o upload
>>>>> de um
>>>>> outro .ASP ou .PHP que se auto propaga em seu servidor nos diretórios que
>>>>> tem permissao de escrita.
>>>>> 
>>>>> Recomendação, somente libere escrita para os clientes que o solicitem e
>>>>> tenha um registro em hepldesk, excel ou até mesmo em papel de pão :)
>>>>> 
>>>>> Se o caso realmente está vindo via FTP, verifique para fazer bloqueios de
>>>>> IP's e avise seus usuários, por exemplo se sabe que o dominio
>>>>> abc.com.br tem
>>>>> acesso NET, faça um bloquei para a rede da NET do acesso ao dominio
>>>>> via FTP,
>>>>> é uma forma de ir isolando o problema e chegar até a fonte.
>>>>> 
>>>>> Espero ter ajudado.
>>>>> 
>>>>> Cleber
>>>>>  
>>>>> 
>>>>> -----Mensagem original-----
>>>>> De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
>>>>> nome de Alexandre Gorges
>>>>> Enviada em: sábado, 30 de maio de 2009 14:54
>>>>> Para: Lista GTER
>>>>> Assunto: [GTER] Vírus em sites
>>>>> 
>>>>> Boa tarde,
>>>>> Faz alguns 15 dias, que estou com problemas em alguns sites de clientes.
>>>>> Não sei como é descoberto a senha de FTP dos sites, mas o acesso sempre é
>>>>> internacional. É adicionado um javascript em todas as páginas do site
>>>>> do cliente. Alguns
>>>>> antivirus não detectam, mas outros como Avast, AVG e Symantec detectam.
>>>>> 
>>>>> Alguém também está passando por esse problema?
>>>>> Botei o clamav para verificar o upload dos FTP. Mas infelizmente, o
>>>>> Clamav
>>>>> não detecta esse javascript.
>>>>> 
>>>>> 
>>>>> []'s
>>>>> Alexandre Gorges
>>>>> http://algorges.blogspot.com
>>>>> http://www.dag.eti.br
>>>>> MSN/Gtalk/iCHAT/Skype/Jabber: algorges at gmail.com
>>>>> 
>>>>> 
>>>>> 
>>>>> -- 
>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>> Nenhum vírus encontrado nessa mensagem recebida.
>>>>> Verificado por AVG - www.avgbrasil.com.br
>>>>> Versão: 8.5.339 / Banco de dados de vírus: 270.12.46/2143 - Data de
>>>>> Lançamento: 05/30/09 05:53:00
>>>>> 
>>>>> -- 
>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>   
>>>> -- 
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>> 
>>> 
>>> -- 
>>> Cordialmente,
>>> 
>>> Marcio Fernandes
>>> InfoLink - Hospedagem UNIX
>>> mfernandes at infolink.com.br
>>> http://dominio.infolink.com.br
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> 
>> 
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> 
> 
> 
> -- 
> Cordialmente,
> 
> Marcio Fernandes
> InfoLink - Hospedagem UNIX
> mfernandes at infolink.com.br
> http://dominio.infolink.com.br
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list