[GTER] RES: Vírus em sites
Alexandre Gorges
algorges at gmail.com
Sun May 31 15:05:11 -03 2009
2009/5/31 Julio Arruda <jarruda-gter at jarruda.com>
> Alexandre Gorges wrote:
>
>> Tenho webmail. Mas fica em outro servidor, isolado do servidor de páginas.
>> As senhas para acesso FTP, são diferentes das senhas para email.
>>
>> Penso também no que o Juliano disse, as senhas são capturadas nas máquinas
>> do cliente. Infectados e os atacantes aproveitam para injentar programação
>> no site.
>>
>> No avast acusa como um arquivo favicom.ico. Com M mesmo, mas esse arquivo
>> não tem dentro do site. O jeito é voltar o backup um dia antes da
>> alteração
>> e mudar a senha do ftp, avisando o usuário a verificar as maquinas da
>> empresa.
>>
>
> Curiosidade...
> O Backup de um dia antes, sera que nao esta comprometido ja ?
>
não porque eu comparei o arquivo do backup com o arquivo do site.
é facil detectar a alteração. ou é um java script ou um iframe.
o problema é ficar fiscalizando isso.
>
>
>
>>
>>
>> []'s
>> Alexandre Gorges
>> http://algorges.blogspot.com
>> http://www.dag.eti.br
>> MSN/Gtalk/iCHAT/Skype/Jabber: algorges at gmail.com
>>
>>
>>
>>
>> From: Juliano Primavesi - Cyberweb Networks <juliano at cyberweb.com.br>
>>> Reply-To: Lista GTER <gter at eng.registro.br>
>>> Date: Sat, 30 May 2009 16:04:15 -0300
>>> To: Lista GTER <gter at eng.registro.br>
>>> Subject: Re: [GTER] RES: Vírus em sites
>>>
>>>
>>> Isso se chama spybot organizado... captura de senhas digitadas por
>>> sniffer local nas maquinas, enviando para algum servidor que
>>> posteriormente conecta-se nos ftps conhecidos postando os códigos
>>> maliciosos nos cabeçalho dos arquivos encontrados com final .php
>>> principalmente. Nenhum anti-virus pega isso.
>>>
>>> Juliano
>>>
>>> Toledo, Luis Carlos escreveu:
>>>
>>>> Vc disponibiliza ou utiliza algum framework para seus clientes?
>>>> Tipo: webmail, blog, CMS, etc?
>>>>
>>>> Existem algums que pertimitem a injeção de js e/ou queries, etc.
>>>>
>>>> Se eu não me engano o ultimo caso citado aqui na lista foi do roundcube.
>>>>
>>>> Abs Toledo
>>>>
>>>>
>>>>
>>>>> Boa tarde,
>>>>> Faz alguns 15 dias, que estou com problemas em alguns sites
>>>>> de clientes.
>>>>> Não sei como é descoberto a senha de FTP dos sites, mas o
>>>>> acesso sempre é internacional.
>>>>> É adicionado um javascript em todas as páginas do site do
>>>>> cliente. Alguns antivirus não detectam, mas outros como
>>>>> Avast, AVG e Symantec detectam.
>>>>>
>>>>> Alguém também está passando por esse problema?
>>>>> Botei o clamav para verificar o upload dos FTP. Mas
>>>>> infelizmente, o Clamav não detecta esse javascript.
>>>>>
>>>>>
>>>>>
>>>> --
>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>
>>>>
>>> --
>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>
>>
>>
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
--
[]'s
Alexandre Gorges
http://algorges.blogspot.com
http://www.dag.eti.br
MSN/Gtalk/iCHAT/Skype/Jabber: algorges at gmail.com
More information about the gter
mailing list