[GTER] RES: Vírus em sites

Julio Arruda jarruda-gter at jarruda.com
Sun May 31 19:33:54 -03 2009


Alexandre Gorges wrote:
> 2009/5/31 Julio Arruda <jarruda-gter at jarruda.com>
> 
>> Alexandre Gorges wrote:
>>
>>> Tenho webmail. Mas fica em outro servidor, isolado do servidor de páginas.
>>> As senhas para acesso FTP, são diferentes das senhas para email.
>>>
>>> Penso também no que o Juliano disse, as senhas são capturadas nas máquinas
>>> do cliente. Infectados e os atacantes aproveitam para injentar programação
>>> no site.
>>>
>>> No avast acusa como um arquivo favicom.ico. Com M mesmo, mas esse arquivo
>>> não tem dentro do site. O jeito é voltar o backup um dia antes da
>>> alteração
>>> e mudar a senha do ftp, avisando o usuário a verificar as maquinas da
>>> empresa.
>>>
>> Curiosidade...
>> O Backup de um dia antes, sera que nao esta comprometido ja ?
>>
> 
> não porque eu comparei o arquivo do backup com o arquivo do site.
> é facil detectar a alteração. ou é um java script ou um iframe.
> o problema é ficar fiscalizando isso.
> 
Voce esta assumindo que o comprometimento do site e' o do FTP ?
Estou imaginando se nao tem um malware rodando no site, que passa os 
arquivos de ftp.
O backup que voce esta falando, e' so dos arquivos dos diretorios 
servidos por FTP ?

> 
>>
>>
>>>
>>> []'s
>>> Alexandre Gorges
>>> http://algorges.blogspot.com
>>> http://www.dag.eti.br
>>> MSN/Gtalk/iCHAT/Skype/Jabber: algorges at gmail.com
>>>
>>>
>>>
>>>
>>>  From: Juliano Primavesi - Cyberweb Networks <juliano at cyberweb.com.br>
>>>> Reply-To: Lista GTER <gter at eng.registro.br>
>>>> Date: Sat, 30 May 2009 16:04:15 -0300
>>>> To: Lista GTER <gter at eng.registro.br>
>>>> Subject: Re: [GTER] RES: Vírus em sites
>>>>
>>>>
>>>> Isso se chama spybot organizado... captura de senhas digitadas por
>>>> sniffer local nas maquinas, enviando para algum servidor que
>>>> posteriormente conecta-se nos ftps conhecidos postando os códigos
>>>> maliciosos nos cabeçalho dos arquivos encontrados com final .php
>>>> principalmente. Nenhum anti-virus pega isso.
>>>>
>>>> Juliano
>>>>
>>>> Toledo, Luis Carlos escreveu:
>>>>
>>>>> Vc disponibiliza ou utiliza algum framework para seus clientes?
>>>>> Tipo: webmail, blog, CMS, etc?
>>>>>
>>>>> Existem algums que pertimitem a injeção de js e/ou queries, etc.
>>>>>
>>>>> Se eu não me engano o ultimo caso citado aqui na lista foi do roundcube.
>>>>>
>>>>> Abs Toledo
>>>>>
>>>>>
>>>>>
>>>>>> Boa tarde,
>>>>>> Faz alguns 15 dias, que estou com problemas em alguns sites
>>>>>> de clientes.
>>>>>> Não sei como é descoberto a senha de FTP dos sites, mas o
>>>>>> acesso sempre é internacional.
>>>>>> É adicionado um javascript em todas as páginas do site do
>>>>>> cliente. Alguns antivirus não detectam, mas outros como
>>>>>> Avast, AVG e Symantec detectam.
>>>>>>
>>>>>> Alguém também está passando por esse problema?
>>>>>> Botei o clamav para verificar o upload dos FTP. Mas
>>>>>> infelizmente, o Clamav não detecta esse javascript.
>>>>>>
>>>>>>
>>>>>>





More information about the gter mailing list