[GTER] Especie de sequestro de dominio, alguem ja passou por isso ?

Guilherme Euler eulergui at gmail.com
Mon Nov 18 13:39:10 -02 2013


Cara, isso é problema de Joomla "hackeado" mesmo... com o Wordpress
acontece o mesmo. Os últimos problemas que vi dessa forma, a infecção
estava dividida entre arquivos e bancos de dados.... o maldet é ótimo para
detectar a praga em arquivos... você pode fazer uma busca também procurando
por "eval(" e "base64" nos arquivos com um grep... no banco de dados é
importante fazer uma busca pelas mesmas strings em todos os campos de todas
as tabelas. No Wordpress, por exemplo, encontrei variações nas tabelas de
posts e de opções.

Se encontrar uma string com base64_encode ou base64_decode, basta roda-la
aqui neste link abaixo para verificar se não é uma parte válida do
tema/layout do site... na maioria das vezes você já consegue identificar a
infecção só olhando, nem precisa entender muito de programação pois vai
encontrar os links de destino para o site em questão.
http://sandbox.onlinephpfunctions.com/

Qualquer coisa é só gritar, não sou especialista em Joomla mas andei
levando umas boas surras de uns sites nos últimos meses... já estou
calejado com essas pragas virtuais.

Guilherme Euler
http://www.euler.eti.br
http://www.infodicas.com.br


Em 17 de novembro de 2013 23:44, Rafael Cresci <cresci at gmail.com> escreveu:

> Rode o maldet pra detectar onde o bicho foi inserido:
> https://www.rfxn.com/projects/linux-malware-detect/
>
> Pode ser q ele não detecte. Ja vi casos em q o redir para URL estava
> mascarado em decrypt em javascript...
>
> 2013/11/17 Antonio Carlos Sanches <asanches at omni.net.br>:
> > Obrigado pela LUZ, Ricardo, vou verificar agora mesmo, mas a sua
> > explicação é excelente, tenho 99,9% de certeza que deve ser isso
> > mesmo, não será a primeira vez que esse site sofre uma "hackeada".
> >
> > Vlw.
> >
> > Em 17 de novembro de 2013 00:30, Ricardo Vendramini
> > <lista at amplus.com.br> escreveu:
> >>
> >>         Antonio,
> >>
> >>         O site do seu cliente está feito em Joomla, correto?
> >>
> >>         Joomla tem um histórico de invasões, embora muita gente goste e
> >> tenha opinião diferente da minha, acredito que o Joomla é inseguro. E
> pelo
> >> que tudo indica é justamente seu caso. Seu joomla foi invadido e o
> hacker
> >> colocou no php um if para testar se o referrer vem dos sites de
> pesquisa. Se
> >> sim, adicionou isso no comeco do seu codigo html:
> >>
> >> <script>window.location.href="http://www.jakker-danmark.com"</script>
> >>
> >>
> >>         Caso o referrer venha em branco (o internauta digitou o
> endereco na
> >> barra de enderecos) entao nao faca nada e deixe o dono do site ver tudo
> >> normalmente.
> >>
> >>         Portanto não é nada com o Google, Yahoo, etc... É apenas dentro
> do
> >> seu próprio site.
> >>
> >>
> >>         Aceita sugestao para consertar? Delete o Joomla que está no
> cliente
> >> e instale do zero a ultima versão.
> >>
> >>
> >>
> >>         Boa sorte.
> >>
> >> --
> >>     Atenciosamente,
> >>
> >>     Ricardo Vendramini
> >>     Amplus Internet
> >>     11 3473-8080
> >>     www.amplus.com.br
> >>
> >>     www.facebook.com.br/AmplusInternet
> >>
> >>
> >> On 11/15/2013 11:23 AM, Antonio Carlos Sanches wrote:
> >>>
> >>> Bom dia a todos, tenho um cliente que tem o dominio www.diroma.com.br,
> >>> hoje ele me ligou e apontou um problema que eu nunca tinha visto
> >>> antes. Se nós formos em qualquer site de busca (fiz o teste em Yahoo,
> >>> Bing e Google) e colocar a palavra diroma a pesquisa retorna um monte
> >>> de links para o site do meu cliente, MAS ao clicar nos links sou
> >>> direcionado para um site canadense http://www.jakker-danmark.com/ de
> >>> roupas de inverno. O mais estranho é que os links que aparecem no
> >>> resultado da pesquisa apontam para o site do cliente certinho,
> >>> colocando o mouse em cima aparece certinho o endereço do site do
> >>> cliente, mas quando clico vai para esse site que eu citei. Se eu
> >>> clicar com o botão direito e copiar o link do buscador e colocar no
> >>> navegador, abre o site do meu cliente normalmente, se eu digitar na
> >>> barra de endereços qualquer um dos endereços que aparecem no buscador,
> >>> abre o site do cliente certinho.
> >>>
> >>> Alguém já passou por isso ?
> >>>
> >>
> >
> >
> >
> > --
> > Antonio Sanches
> > Diretor TI
> > OMNI TELECOM
> > Pça Gilson Ribeiro de Macedo No.15
> > Sala NBLE 08 - Centro - 75690-000
> > Caldas Novas - Goias
> > Fone: 55 64 3513 9200
> > Móvel: 55 64 8144 0780
> > asanches at omni.net.br
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list