[GTER] Virus em sites
Alexandre Gorges
algorges at gmail.com
Sun May 31 23:45:06 -03 2009
> From: Julio Arruda <jarruda-gter at jarruda.com>
> Reply-To: Lista GTER <gter at eng.registro.br>
> Date: Sun, 31 May 2009 21:51:21 -0400
> To: Lista GTER <gter at eng.registro.br>
> Subject: Re: [GTER] Virus em sites
>
> Alexandre Gorges wrote:
>> Não são feitos para vários sites.
>>
>> Acontece as vezes, em alguns sites partindo de ips diferentes. Não é sempre,
>> pode acontecer hoje em um site e daqui 3 dias acontecer em outro. Os Ip de
>> acesso varia muito, já vi partindo dos EUA, outro vindo da Europa e um até
>> de SP. Todo o acesso é feito via ftp.
>>
>> Curiosidade.... Para que tantas perguntas?
>
> Se eles tiverem comprometido o servidor (nao os clientes), e fizerem
> captura do trafego no mesmo servidor, eles podem obter a senha de um
> ponto central (ja que e' FTP). Voce comentou que voce tem limpado "o
> efeito" do breach, so que talvez simplesmente eles estejam pegando as
> senhas na propria maquina FTP.
Já foi desconsiderado isso, no servidor não tem nenhum usuário criado.
Pesquisando pelo malware Gumblar, vi que a senha é descoberta na máquina do
usuário com spyware. Muitos relatos de senhas capturadas com quem usa o
Filezilla para acesso ao FTP.
Os códigos que peguei nos sites infectados, são java scripts ou chamadas
iframe para outros sites. Nenhuma programação PHP que possa tentar acessar o
servidor.
O ataque começa de fato no usuário e não no servidor.
[]'s
Alexandre Gorges
http://algorges.blogspot.com
http://www.dag.eti.br
MSN/Gtalk/iCHAT/Skype/Jabber: algorges at gmail.com
>
>>
>>
>> []'s
>> Alexandre Gorges
>> http://algorges.blogspot.com
>> http://www.dag.eti.br
>> MSN/Gtalk/iCHAT/Skype/Jabber: algorges at gmail.com
>>
>>
>>
>>
>>> From: Julio Arruda <jarruda-gter at jarruda.com>
>>> Reply-To: Lista GTER <gter at eng.registro.br>
>>> Date: Sun, 31 May 2009 21:06:35 -0400
>>> To: Lista GTER <gter at eng.registro.br>
>>> Subject: Re: [GTER] Virus em sites
>>>
>>> Alexandre Gorges wrote:
>>>> Guilherme, é bem esse malware.
>>>> O código encontrado nas páginas é bem parecido.
>>>>
>>>> Estou fazendo o mesmo que os sites recomendam, trocar a senha do ftp e
>>>> remover o código das páginas e avisar o cliente que algum micro que
>>>> atualiza
>>>> o site está infectado com spyware.
>>>>
>>>> Vou até passar esses sites para os clientes. Alguns estão achando que é
>>>> problema no servidor para estarem sendo infectados. :(
>>>>
>>> Curiosidade...
>>> Os uploads contra o site, sao efetuados ao mesmo tempo para varias
>>> contas ? Voces usam FTP ou SFTP ?
>>>
>>>
>>>> Obrigado.
>>>>
>>>>
>>>> []'s
>>>> Alexandre Gorges
>>>> http://algorges.blogspot.com
>>>> http://www.dag.eti.br
>>>> MSN/Gtalk/iCHAT/Skype/Jabber: algorges at gmail.com
>>>>
>>>>
>>>>
>>>>
>>>>> From: Guilherme Macedo <gmtmacedo at gmail.com>
>>>>> Reply-To: Lista GTER <gter at eng.registro.br>
>>>>> Date: Sun, 31 May 2009 03:04:18 -0300
>>>>> To: Lista GTER <gter at eng.registro.br>
>>>>> Subject: Re: [GTER] Virus em sites
>>>>>
>>>>> Boa noite,
>>>>>
>>>>> Conforme citado anteriormente e pela sua descricao - acesso por FTP -
>>>>> diria que os sites foram infectados com o malware Gumblar.
>>>>>
>>>>> E' um malware perigoso, uma botnet, e que de acordo com a Sophos e'
>>>>> responsavel por 40% das infeccoes a websites.
>>>>>
>>>>> Seguem sites para maiores informacoes:
>>>>>
>>>>> -
>>>>> http://blog.unmaskparasites.com/2009/05/07/gumblar-cn-exploit-12-facts-abo
>>>>> ut
>>>>> -t
>>>>> his-injected-script/
>>>>> - http://www.iss.net/threats/gumblar.html
>>>>> -
>>>>> http://www.sophos.com/blogs/gc/g/2009/05/14/malicious-jsredir-javascript-b
>>>>> ig
>>>>> ge
>>>>> st-malware-threat-web
>>>>>
>>>>> Abracos!
>>>>>
>>>>> Guilherme Macedo
>>>>> gmtmacedo at gmail.com
>>>>> www.inf.ufrgs.br/~gmmacedo
>>>>>
>>>>>
>>>>> 2009/5/31 <gter-request at eng.registro.br>:
>>>>>> Message: 1
>>>>>> Date: Sat, 30 May 2009 14:54:00 -0300
>>>>>> From: Alexandre Gorges <algorges at gmail.com>
>>>>>> Subject: [GTER] V?rus em sites
>>>>>> To: Lista GTER <gter at eng.registro.br>
>>>>>> Message-ID: <C646F908.2C6D2%algorges at gmail.com>
>>>>>> Content-Type: text/plain; charset="ISO-8859-1"
>>>>>>
>>>>>> Boa tarde,
>>>>>> Faz alguns 15 dias, que estou com problemas em alguns sites de clientes.
>>>>>> N?o sei como ? descoberto a senha de FTP dos sites, mas o acesso sempre ?
>>>>>> internacional.
>>>>>> ? adicionado um javascript em todas as p?ginas do site do cliente. Alguns
>>>>>> antivirus n?o detectam, mas outros como Avast, AVG e Symantec detectam.
>>>>>>
>>>>>> Algu?m tamb?m est? passando por esse problema?
>>>>>> Botei o clamav para verificar o upload dos FTP. Mas infelizmente, o
>>>>>> Clamav
>>>>>> n?o detecta esse javascript.
>>>>>>
>>>>>>
>>>>>> []'s
>>>>>> Alexandre Gorges
>>>>>> http://algorges.blogspot.com
>>>>>> http://www.dag.eti.br
>>>>>> MSN/Gtalk/iCHAT/Skype/Jabber: algorges at gmail.com
>>>>>>
>>>>>> ------------------------------
>>>>>>
>>>>> --
>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>
>>>> --
>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>> --
>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
>>
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list