[GTER] Virus em sites

Alexandre Gorges algorges at gmail.com
Sun May 31 23:45:06 -03 2009 



> From: Julio Arruda <jarruda-gter at jarruda.com>
> Reply-To: Lista GTER <gter at eng.registro.br>
> Date: Sun, 31 May 2009 21:51:21 -0400
> To: Lista GTER <gter at eng.registro.br>
> Subject: Re: [GTER] Virus em sites
> 
> Alexandre Gorges wrote:
>> Não são feitos para vários sites.
>> 
>> Acontece as vezes, em alguns sites partindo de ips diferentes. Não é sempre,
>> pode acontecer hoje em um site e daqui 3 dias acontecer em outro. Os Ip de
>> acesso varia muito, já vi partindo dos EUA, outro vindo da Europa e um até
>> de SP. Todo o acesso é feito via ftp.
>> 
>> Curiosidade.... Para que tantas perguntas?
> 
> Se eles tiverem comprometido o servidor (nao os clientes), e fizerem
> captura do trafego no mesmo servidor, eles podem obter a senha de um
> ponto central (ja que e' FTP). Voce comentou que voce tem limpado "o
> efeito" do breach, so que talvez simplesmente eles estejam pegando as
> senhas na propria maquina FTP.

Já foi desconsiderado isso, no servidor não tem nenhum usuário criado.
Pesquisando pelo malware Gumblar, vi que a senha é descoberta na máquina do
usuário com spyware. Muitos relatos de senhas capturadas com quem usa o
Filezilla para acesso ao FTP.

Os códigos que peguei nos sites infectados, são java scripts ou chamadas
iframe para outros sites. Nenhuma programação PHP que possa tentar acessar o
servidor.

O ataque começa de fato no usuário e não no servidor.


[]'s
Alexandre Gorges
http://algorges.blogspot.com
http://www.dag.eti.br
MSN/Gtalk/iCHAT/Skype/Jabber: algorges at gmail.com
> 
>> 
>> 
>> []'s
>> Alexandre Gorges
>> http://algorges.blogspot.com
>> http://www.dag.eti.br
>> MSN/Gtalk/iCHAT/Skype/Jabber: algorges at gmail.com
>> 
>> 
>> 
>> 
>>> From: Julio Arruda <jarruda-gter at jarruda.com>
>>> Reply-To: Lista GTER <gter at eng.registro.br>
>>> Date: Sun, 31 May 2009 21:06:35 -0400
>>> To: Lista GTER <gter at eng.registro.br>
>>> Subject: Re: [GTER] Virus em sites
>>> 
>>> Alexandre Gorges wrote:
>>>> Guilherme, é bem esse malware.
>>>> O código encontrado nas páginas é bem parecido.
>>>> 
>>>> Estou fazendo o mesmo que os sites recomendam, trocar a senha do ftp e
>>>> remover o código das páginas e avisar o cliente que algum micro que
>>>> atualiza
>>>> o site está infectado com spyware.
>>>> 
>>>> Vou até passar esses sites para os clientes. Alguns estão achando que é
>>>> problema no servidor para estarem sendo infectados. :(
>>>> 
>>> Curiosidade...
>>> Os uploads contra o site, sao efetuados ao mesmo tempo para varias
>>> contas ? Voces usam FTP ou SFTP ?
>>> 
>>> 
>>>> Obrigado.
>>>> 
>>>> 
>>>> []'s
>>>> Alexandre Gorges
>>>> http://algorges.blogspot.com
>>>> http://www.dag.eti.br
>>>> MSN/Gtalk/iCHAT/Skype/Jabber: algorges at gmail.com
>>>> 
>>>> 
>>>> 
>>>> 
>>>>> From: Guilherme Macedo <gmtmacedo at gmail.com>
>>>>> Reply-To: Lista GTER <gter at eng.registro.br>
>>>>> Date: Sun, 31 May 2009 03:04:18 -0300
>>>>> To: Lista GTER <gter at eng.registro.br>
>>>>> Subject: Re: [GTER] Virus em sites
>>>>> 
>>>>> Boa noite,
>>>>> 
>>>>> Conforme citado anteriormente e pela sua descricao - acesso por FTP -
>>>>> diria que os sites foram infectados com o malware Gumblar.
>>>>> 
>>>>> E' um malware perigoso, uma botnet, e que de acordo com a Sophos e'
>>>>> responsavel por 40% das infeccoes a websites.
>>>>> 
>>>>> Seguem sites para maiores informacoes:
>>>>> 
>>>>> - 
>>>>> http://blog.unmaskparasites.com/2009/05/07/gumblar-cn-exploit-12-facts-abo
>>>>> ut
>>>>> -t
>>>>> his-injected-script/
>>>>> - http://www.iss.net/threats/gumblar.html
>>>>> - 
>>>>> http://www.sophos.com/blogs/gc/g/2009/05/14/malicious-jsredir-javascript-b
>>>>> ig
>>>>> ge
>>>>> st-malware-threat-web
>>>>> 
>>>>> Abracos!
>>>>> 
>>>>> Guilherme Macedo
>>>>> gmtmacedo at gmail.com
>>>>> www.inf.ufrgs.br/~gmmacedo
>>>>> 
>>>>> 
>>>>> 2009/5/31  <gter-request at eng.registro.br>:
>>>>>> Message: 1
>>>>>> Date: Sat, 30 May 2009 14:54:00 -0300
>>>>>> From: Alexandre Gorges <algorges at gmail.com>
>>>>>> Subject: [GTER] V?rus em sites
>>>>>> To: Lista GTER <gter at eng.registro.br>
>>>>>> Message-ID: <C646F908.2C6D2%algorges at gmail.com>
>>>>>> Content-Type: text/plain;       charset="ISO-8859-1"
>>>>>> 
>>>>>> Boa tarde,
>>>>>> Faz alguns 15 dias, que estou com problemas em alguns sites de clientes.
>>>>>> N?o sei como ? descoberto a senha de FTP dos sites, mas o acesso sempre ?
>>>>>> internacional.
>>>>>> ? adicionado um javascript em todas as p?ginas do site do cliente. Alguns
>>>>>> antivirus n?o detectam, mas outros como Avast, AVG e Symantec detectam.
>>>>>> 
>>>>>> Algu?m tamb?m est? passando por esse problema?
>>>>>> Botei o clamav para verificar o upload dos FTP. Mas infelizmente, o
>>>>>> Clamav
>>>>>> n?o detecta esse javascript.
>>>>>> 
>>>>>> 
>>>>>> []'s
>>>>>> Alexandre Gorges
>>>>>> http://algorges.blogspot.com
>>>>>> http://www.dag.eti.br
>>>>>> MSN/Gtalk/iCHAT/Skype/Jabber: algorges at gmail.com
>>>>>> 
>>>>>> ------------------------------
>>>>>> 
>>>>> --
>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>> 
>>>> --
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>> 
>> 
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
> 
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list