[GTER] Virus em sites
Julio Arruda
jarruda-gter at jarruda.com
Sun May 31 22:51:21 -03 2009
Alexandre Gorges wrote:
> Não são feitos para vários sites.
>
> Acontece as vezes, em alguns sites partindo de ips diferentes. Não é sempre,
> pode acontecer hoje em um site e daqui 3 dias acontecer em outro. Os Ip de
> acesso varia muito, já vi partindo dos EUA, outro vindo da Europa e um até
> de SP. Todo o acesso é feito via ftp.
>
> Curiosidade.... Para que tantas perguntas?
Se eles tiverem comprometido o servidor (nao os clientes), e fizerem
captura do trafego no mesmo servidor, eles podem obter a senha de um
ponto central (ja que e' FTP). Voce comentou que voce tem limpado "o
efeito" do breach, so que talvez simplesmente eles estejam pegando as
senhas na propria maquina FTP.
>
>
> []'s
> Alexandre Gorges
> http://algorges.blogspot.com
> http://www.dag.eti.br
> MSN/Gtalk/iCHAT/Skype/Jabber: algorges at gmail.com
>
>
>
>
>> From: Julio Arruda <jarruda-gter at jarruda.com>
>> Reply-To: Lista GTER <gter at eng.registro.br>
>> Date: Sun, 31 May 2009 21:06:35 -0400
>> To: Lista GTER <gter at eng.registro.br>
>> Subject: Re: [GTER] Virus em sites
>>
>> Alexandre Gorges wrote:
>>> Guilherme, é bem esse malware.
>>> O código encontrado nas páginas é bem parecido.
>>>
>>> Estou fazendo o mesmo que os sites recomendam, trocar a senha do ftp e
>>> remover o código das páginas e avisar o cliente que algum micro que atualiza
>>> o site está infectado com spyware.
>>>
>>> Vou até passar esses sites para os clientes. Alguns estão achando que é
>>> problema no servidor para estarem sendo infectados. :(
>>>
>> Curiosidade...
>> Os uploads contra o site, sao efetuados ao mesmo tempo para varias
>> contas ? Voces usam FTP ou SFTP ?
>>
>>
>>> Obrigado.
>>>
>>>
>>> []'s
>>> Alexandre Gorges
>>> http://algorges.blogspot.com
>>> http://www.dag.eti.br
>>> MSN/Gtalk/iCHAT/Skype/Jabber: algorges at gmail.com
>>>
>>>
>>>
>>>
>>>> From: Guilherme Macedo <gmtmacedo at gmail.com>
>>>> Reply-To: Lista GTER <gter at eng.registro.br>
>>>> Date: Sun, 31 May 2009 03:04:18 -0300
>>>> To: Lista GTER <gter at eng.registro.br>
>>>> Subject: Re: [GTER] Virus em sites
>>>>
>>>> Boa noite,
>>>>
>>>> Conforme citado anteriormente e pela sua descricao - acesso por FTP -
>>>> diria que os sites foram infectados com o malware Gumblar.
>>>>
>>>> E' um malware perigoso, uma botnet, e que de acordo com a Sophos e'
>>>> responsavel por 40% das infeccoes a websites.
>>>>
>>>> Seguem sites para maiores informacoes:
>>>>
>>>> -
>>>> http://blog.unmaskparasites.com/2009/05/07/gumblar-cn-exploit-12-facts-about
>>>> -t
>>>> his-injected-script/
>>>> - http://www.iss.net/threats/gumblar.html
>>>> -
>>>> http://www.sophos.com/blogs/gc/g/2009/05/14/malicious-jsredir-javascript-big
>>>> ge
>>>> st-malware-threat-web
>>>>
>>>> Abracos!
>>>>
>>>> Guilherme Macedo
>>>> gmtmacedo at gmail.com
>>>> www.inf.ufrgs.br/~gmmacedo
>>>>
>>>>
>>>> 2009/5/31 <gter-request at eng.registro.br>:
>>>>> Message: 1
>>>>> Date: Sat, 30 May 2009 14:54:00 -0300
>>>>> From: Alexandre Gorges <algorges at gmail.com>
>>>>> Subject: [GTER] V?rus em sites
>>>>> To: Lista GTER <gter at eng.registro.br>
>>>>> Message-ID: <C646F908.2C6D2%algorges at gmail.com>
>>>>> Content-Type: text/plain; charset="ISO-8859-1"
>>>>>
>>>>> Boa tarde,
>>>>> Faz alguns 15 dias, que estou com problemas em alguns sites de clientes.
>>>>> N?o sei como ? descoberto a senha de FTP dos sites, mas o acesso sempre ?
>>>>> internacional.
>>>>> ? adicionado um javascript em todas as p?ginas do site do cliente. Alguns
>>>>> antivirus n?o detectam, mas outros como Avast, AVG e Symantec detectam.
>>>>>
>>>>> Algu?m tamb?m est? passando por esse problema?
>>>>> Botei o clamav para verificar o upload dos FTP. Mas infelizmente, o Clamav
>>>>> n?o detecta esse javascript.
>>>>>
>>>>>
>>>>> []'s
>>>>> Alexandre Gorges
>>>>> http://algorges.blogspot.com
>>>>> http://www.dag.eti.br
>>>>> MSN/Gtalk/iCHAT/Skype/Jabber: algorges at gmail.com
>>>>>
>>>>> ------------------------------
>>>>>
>>>> --
>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>
>>> --
>>> gter list https://eng.registro.br/mailman/listinfo/gter
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list