Sites invadidos, paginas corrompidas
13 views
Skip to first unread message
João Lucas Ferreira
Nov 20, 2009, 7:19:44 AM11/20/09
to ArqHP
Olá a todos. To com um probleminha aqui chato pra resolver
Trabalho numa agência pequena, numa cidade, pequena, com clientes de cabeça pequena. Além de lutar todos os dias tentando provar para os cabeças pequenas que eles não precisam de um site com flash to tendo meus sistes invadidos.
A parada funciona da seguinte maneira, do nada alguns <iframes> são inseridos no final da página (antes do </body>) ou no começo (depois de <body>) esse iframes encaminham para sites bem suspeitos. A minha primeira pergunta é: Só é possível editar os arquivos se tiver a senha do ftp? Vários sites de clientes diferentes de servidores diferentes (entre eles locaweb, mediatemple) foram invadidos então suspeito que o problema esteja na minha máquina, daí vem minha 2ª pergunta: Se o problema for na minha máquina só um antivírus (Kasperksy) da conta?
O que mais poderia ser?
Hoje eu fui entrar numa página e tava tudo em branco, atualizei o source e tinha isso aqui: http://pastebin.com/m505f52b2
Última pergunta: Alterar todas as senhas do FTP poderia resolver o problema?
Abraços!
Trabalho numa agência pequena, numa cidade, pequena, com clientes de cabeça pequena. Além de lutar todos os dias tentando provar para os cabeças pequenas que eles não precisam de um site com flash to tendo meus sistes invadidos.
A parada funciona da seguinte maneira, do nada alguns <iframes> são inseridos no final da página (antes do </body>) ou no começo (depois de <body>) esse iframes encaminham para sites bem suspeitos. A minha primeira pergunta é: Só é possível editar os arquivos se tiver a senha do ftp? Vários sites de clientes diferentes de servidores diferentes (entre eles locaweb, mediatemple) foram invadidos então suspeito que o problema esteja na minha máquina, daí vem minha 2ª pergunta: Se o problema for na minha máquina só um antivírus (Kasperksy) da conta?
O que mais poderia ser?
Hoje eu fui entrar numa página e tava tudo em branco, atualizei o source e tinha isso aqui: http://pastebin.com/m505f52b2
Última pergunta: Alterar todas as senhas do FTP poderia resolver o problema?
Abraços!
Irapuan Martinez
Nov 20, 2009, 7:35:10 AM11/20/09
to ar...@googlegroups.com
2009/11/20 João Lucas Ferreira <boi...@gmail.com>
Última pergunta: Alterar todas as senhas do FTP poderia resolver o problema?
Se os servidores são profissa, estão tampando qualquer furo de segurança que enventualmente, o pessoal revoltado pelas mães prestarem consultoria íntima utiliza.
Logo, eu desconfiariam, MUITO, do seu computador. Windows, não é?
Se antivírus basta? Precisa atualizar. Dependendo da marca, eles restringem sua capacidade nas versões gratuitas. Considere então, COM VEEMÊNCIA, pagar por um.
E não basta antivírus, precisa de firewall no seu computador. XP atualizados tem o seu, mas nada impede que você use algum outro por aí. Há muitos e bons, gratuitos.
Uma maneira de remediar isto até contornar o problema de segurança que provavelmente é o seu Windows, é upar os arquivos e editá-los no servidor, apagando as ocorrências infecciosas no markup.
Trocar senhas e cerveja gelada, sempre é bom, o tempo todo.
Alexsandro Felix
Nov 20, 2009, 7:35:54 AM11/20/09
to ar...@googlegroups.com
Altere todas suas senhas (não somente de FTP) - Obs.: Se suspeita que sua máquina possa estar infectada, faça isso de uma que tenha certeza de estar limpa;
Verifique todos seus arquivos .php e/ou .html (já vi casos em que o problema afetava apenas os index.*, já outros era bem pior)
Faça uma verificação em seus logs para ver por onde o invasor entrou, geralmente é alguma aplicação desatualizada/vulnerável e corrija-a, caso contrário você pode alterar suas senhas quantas vezes quiser e não irá adiantar.
Através dos logs você terá uma idéia de onde vem a invasão, bloqueie estes ip's do servidor também por medida de segurança.
----
Alexsandro Felix
http://blog.ffelix.eti.br
2009/11/20 João Lucas Ferreira <boi...@gmail.com>
Olá a todos. To com um probleminha aqui chato pra resolver
Jonas Raoni
Nov 20, 2009, 7:37:52 AM11/20/09
to ar...@googlegroups.com
2009/11/20 João Lucas Ferreira <boi...@gmail.com>:
> Hoje eu fui entrar numa página e tava tudo em branco, atualizei o source e
> tinha isso aqui: http://pastebin.com/m505f52b2
> Hoje eu fui entrar numa página e tava tudo em branco, atualizei o source e
> tinha isso aqui: http://pastebin.com/m505f52b2
Tem alguma brecha no seu código que permite rodar códigos php ou
enviar arquivos .php (um exemplo é aquele FCKEditor que no meio dos
códigos dele, tem um que faz upload de arquivos).
Resta a você procurar onde está... Veja a data que esse arquivo foi
criado/modificado e olhe nos logs do apache para ver as páginas que
foram acessadas naquele momento.
Outra possibilidade é o seu servidor ser uma porcaria e os caras terem
conseguido acessar todos os domínios que estão hospedados lá.
O melhor que você faz é tirar o site do ar com um .htaccess e
encontrar o problema, ou você vai limpar os rastros e o cara vai
voltar (se não for algo automático).
--
Jonas Raoni Soares Silva
http://jsfromhell.com
Humberto Pereira
Nov 20, 2009, 7:46:16 AM11/20/09
to ar...@googlegroups.com
No laboratorio que trabalho, teve um casos desses esses dias atras. O
usuario estava com um virus que, ao abrir qualquer .html, .php, etc.
ele ia ateh o final do codigo e inseria dezenas de frames apontando p/
algum site chines. O usuario soh reparou o problema pq toda vez que
ele abria o arquivo, o virus adicionava de novo os frames, entao as
paginas comecaram a ficar muito pesadas.
Um bom antivirus resolve
2009/11/20 Jonas Raoni <jonas...@gmail.com>:
usuario estava com um virus que, ao abrir qualquer .html, .php, etc.
ele ia ateh o final do codigo e inseria dezenas de frames apontando p/
algum site chines. O usuario soh reparou o problema pq toda vez que
ele abria o arquivo, o virus adicionava de novo os frames, entao as
paginas comecaram a ficar muito pesadas.
Um bom antivirus resolve
2009/11/20 Jonas Raoni <jonas...@gmail.com>:
Adriano Melo
Nov 20, 2009, 9:09:25 AM11/20/09
to ar...@googlegroups.com
Eu dei uma olhada no código que tu postou, tem esse endereço entre as linhas: http://alabey.de/
Uma empresa de Marketing [/spam] para internet da Alemanha?
--
Adriano Melo
adrianomelo.com
cin.ufpe.br/~if684
cin.ufpe.br/~cinlug
wenetus.com
Uma empresa de Marketing [/spam] para internet da Alemanha?
2009/11/20 Humberto Pereira <beg...@gmail.com>
--
Adriano Melo
adrianomelo.com
cin.ufpe.br/~if684
cin.ufpe.br/~cinlug
wenetus.com
Phius
Nov 20, 2009, 9:20:50 AM11/20/09
to ar...@googlegroups.com
Tem como mandar o endereço de algum desses sites?
Talvez possamos ajudá-lo dando uma pequena vasculhada nas páginas.
Abraços
Phius
Talvez possamos ajudá-lo dando uma pequena vasculhada nas páginas.
Abraços
Phius
2009/11/20 Adriano Melo <adria...@gmail.com>
Marcelo Miranda
Nov 20, 2009, 11:00:06 AM11/20/09
to ar...@googlegroups.com
http://www.google.com/safebrowsing/diagnostic?site=seusite.com.br pode ajudar
2009/11/20 Phius <phi...@gmail.com>:
--
Marcelo de Miranda
mediadesign.com.br
(31) 2512-0857 | (31) 9155-8470
skype martchelou
2009/11/20 Phius <phi...@gmail.com>:
Marcelo de Miranda
mediadesign.com.br
(31) 2512-0857 | (31) 9155-8470
skype martchelou
Camilo Oliveira
Nov 20, 2009, 2:59:52 PM11/20/09
to ar...@googlegroups.com
2009/11/20 Irapuan Martinez <ira...@gmail.com>
E não basta antivírus, precisa de firewall no seu computador. XP atualizados tem o seu, mas nada impede que você use algum outro por aí. Há muitos e bons, gratuitos.
Eu também recomendaria usar uma outra solução de firewall para o Windows, já que o recurso nativo dele é praticamente nulo em eficiência.
Ou se você usa internet em uma rede, mesmo doméstica, a maioria dos roteadores já faz essa barreira.
--
Camilo Oliveira
Portfólio - http://www.camilo87.com
Design Coletivo - http://designcoletivo.com
Danival A. Souza
Nov 20, 2009, 3:09:35 PM11/20/09
to ar...@googlegroups.com
2009/11/20 João Lucas Ferreira <boi...@gmail.com>
Olá a todos. To com um probleminha aqui chato pra resolver
Trabalho numa agência pequena, numa cidade, pequena, com clientes de cabeça pequena. Além de lutar todos os dias tentando provar para os cabeças pequenas que eles não precisam de um site com flash to tendo meus sistes invadidos.
A parada funciona da seguinte maneira, do nada alguns <iframes> são inseridos no final da página (antes do </body>) ou no começo (depois de <body>) esse iframes encaminham para sites bem suspeitos. A minha primeira pergunta é: Só é possível editar os arquivos se tiver a senha do ftp? Vários sites de clientes diferentes de servidores diferentes (entre eles locaweb, mediatemple) foram invadidos então suspeito que o problema esteja na minha máquina, daí vem minha 2ª pergunta: Se o problema for na minha máquina só um antivírus (Kasperksy) da conta?
O que mais poderia ser?
João, existem duas hipóteses do que pode ser.
1. Uma delas mencionada pelo Jonas Raoni, que é uma falha em algum script do seu site, que permite o upload de arquivos de programação server side (php, asp, etc). Estes arquivos por sua vez, são executados e alteram os seus arquivos. Esta teoria é válida, mas a ocorrência dela é menos frequente do que a segunda.
2. Sua máquina está com vírus. O vírus envia os dados da sua conta de ftp para outras pessoas contaminadas ou mal intencionadas, geralmente fora do Brasil (99,99% dos casos), e estes por sua vez fazem ftp, alterando o seus arquivos, inserindo o iframe.
O seu provedor pode descobrir qual é o caso, identificando pelos logs do http ou do ftp.
O seu provedor pode inclusive limpar isto para você, caso for linux, com um simples comando que envolve expressões regulares.
Uma dica é solicitar ao seu provedor que bloqueie tráfego de FTP de fora do Brasil para o servidor no firewall. Digo isto com propriedade, pois faço isto nos meus servidores e nem lembro mais a última vez que tive ocorrência deste tipo de problema. Ou seja, o problema deve ser o seu computador contaminado, mas o seu provedor pode contruibuir para impedir que isto volte a ocorrer.
Meus 2 centavos.
SysAdmin
http://www.servidorgerenciado.com.br/
http://www.maxrevenda.com.br/
Marco
Nov 20, 2009, 7:51:56 PM11/20/09
to ar...@googlegroups.com
2009/11/20 Danival A. Souza <dan...@gmail.com>:Fosse qual fosse o problema ele seria detectado facilmente caso
estivesse usando git+ssh ou svn+ssh. Boas hospedagens oferecem FTP
sobre SSH.
estivesse usando git+ssh ou svn+ssh. Boas hospedagens oferecem FTP
sobre SSH.
Adriano Caramello | Gmail
Nov 20, 2009, 9:51:31 PM11/20/09
to ar...@googlegroups.com, boi...@gmail.com
Fala João... soube de um caso parecido com o seu:
1) há algo rodando na sua máquina (vírus / trojan) que pega login e senha de ftp;
2) e isso vc tb pegou por ter acesso algum site que estava infectado, da mesma forma que os seus estão... ou seja... eu.. ou qualquer usuário que acessar pode ser infectado...
3) esse vírus só é detectado com o Avast... ohhh... sim... com ele mesmo... ele dá um alerta que no site há códigos maliciosos e dá opção para vc não navegar;
4) se algum robô do google passar pelos seus sites neste período, quem acesar a sua página com o Firefox... será apresentado uma mensagem...
Como eu disso... é um caso parecido... não sei se todos os passos acima acontecerão com vc...
Abraços e boa sorte!!!
> adriano caramello hypólito // adrianoc...@gmail.com
> twitter // @caramell0
> outros contatos // http://meadiciona.com/adrianocaramello
1) há algo rodando na sua máquina (vírus / trojan) que pega login e senha de ftp;
2) e isso vc tb pegou por ter acesso algum site que estava infectado, da mesma forma que os seus estão... ou seja... eu.. ou qualquer usuário que acessar pode ser infectado...
3) esse vírus só é detectado com o Avast... ohhh... sim... com ele mesmo... ele dá um alerta que no site há códigos maliciosos e dá opção para vc não navegar;
4) se algum robô do google passar pelos seus sites neste período, quem acesar a sua página com o Firefox... será apresentado uma mensagem...
Como eu disso... é um caso parecido... não sei se todos os passos acima acontecerão com vc...
Abraços e boa sorte!!!
> adriano caramello hypólito // adrianoc...@gmail.com
> twitter // @caramell0
> outros contatos // http://meadiciona.com/adrianocaramello
2009/11/20 João Lucas Ferreira <boi...@gmail.com>
Olá a todos. To com um probleminha aqui chato pra resolver
leandro camargo
Nov 21, 2009, 12:31:00 AM11/21/09
to ArqHP - Arquitetura de home pages
Cara, dê uma mergulhada sobre XSS (cross-site scripting) e você com
certeza achará a raiz e a solução para o seu problema.
Isso tá com muita cara de ser ataques bem conhecidos de XSS.
certeza achará a raiz e a solução para o seu problema.
Isso tá com muita cara de ser ataques bem conhecidos de XSS.
Carlos R. L. Rodrigues
Nov 21, 2009, 7:50:52 AM11/21/09
to ar...@googlegroups.com
Olhe se não existe brechas em
coisas que tem upload. Tá na moda o cara subir uns scripts prontos que
é tipo um painel de controle pro cara... se tiver um arquivo do cara
lá, vc pode trocar senha, fazer o que quiser que ele vai continuar
mexendo em tudo.
Tome cuidado tmb porque vários servidores se vc mandar um arquivo com a extensão file.php.jpg ou qualquer outro file.php.merda ele executa a página como um arquivo php normalmente.
Tome cuidado tmb porque vários servidores se vc mandar um arquivo com a extensão file.php.jpg ou qualquer outro file.php.merda ele executa a página como um arquivo php normalmente.
Carlos R. L. Rodrigues
http://jsfromhell.com
http://jsfromhell.com
Dimitri Vargas Figueiredo Guimaraes
Nov 26, 2009, 7:28:20 AM11/26/09
to ar...@googlegroups.com
Ola pessoal,
Aqui tivemos o mesmo problema.Apenas limpamos o codigo e trocamos a senha.Esta ideia de bloquear o acesso fora do brasil é boa.Vou faze-la aqui tambem.Vou tentar bloquear apenas para um ip o acesso ao ftp.O que analisei na epoca, que o problema deveria ser do codigo em php.Ter um key logger em minha maquina, nem tinha passado na minha mente.
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
2009/11/21 Carlos R. L. Rodrigues <rodr...@gmail.com>
--
Aprender,Respeitar,Vencer,Conquistar,Honrar
Reply all
Reply to author
Forward
0 new messages