← SMF

Malware Lixou Index.PHP entre outros

Lida 12289 vezes

Offline

fmnj 
Membro
Mensagens 338 Gostos 1
Feedback +7

Troféus totais: 26
Trófeus: (Ver todos)
Level 5 Tenth year Anniversary Windows User Super Combination Combination Topic Starter Poll Voter Level 4 Level 3 Level 2

Então é o seguinte, à coisa de 1 mês, um site que costumo visitar (e ajudei a montar), forum-dinheiro.com teve o aviso de malware instalado.

O administrador na altura foi alertado e andaram a fazer uma limpeza, no entanto após ele mandar mensagem aos membros que o problema estava resolvido, tal não sucedeu (pois eu continuei a receber mensagens de bloqueio sempre que tentava entrar no fórum).

Ontem consegui falar com o administrador e andei a tentar aceder ao ftp (usando o filezila) dados todos OK, e nada... estranho... esbarrava na password, não conseguia fazer log in.

Fui tentar pelo CPANEL, usando o endereço direto, nada...

Disse-lhe para ele - o administrador - tentar com os dados de acesso à conta de alojamento e ver e a partir daí entrava no CPANEL. Deu!! (Finalmente).

Entretanto ele passou-me os dados de acesso e quando vou a ver havia uma data de ficheiros a 0Bytes, um deles o INDEX.PHP que aparece em todas as pastas, e todos os ficheiros na pasta SCRIPTs (com mudanças feitas anteontem...).

O index.php está VAZIO... era suposto ter uns 15kb, e um monte de informação. certo?


Problema, não há backups... pelo menos que ele tenha em casa.
Resta saber se o alojamento tem. Estou à espera que ele me diga.


Caso não consigamos recuperar os ficheiros que estão a ZEROS, qual a solução?
Guardar as tabelas, reinstalar o SMF e reimportar as tabelas?



Offline

asturmas 
Administrador
Mensagens 19734 Gostos 50
Feedback +2

Troféus totais: 39
Trófeus: (Ver todos)
Mobile User Windows User Super Combination Combination Topic Starter 100 Poll Votes 50 Poll Votes 10 Poll Votes Poll Voter Poll Starter

Se estas a falar dos ficheiros core do SMF não precisas de fazer nada disso, é apenas enviar os ficheiros. É no entanto importante apurar o que se passou de forma a não voltar a ocorrer.
Offline

fmnj 
Membro
Mensagens 338 Gostos 1
Feedback +7

Troféus totais: 26
Trófeus: (Ver todos)
Level 5 Tenth year Anniversary Windows User Super Combination Combination Topic Starter Poll Voter Level 4 Level 3 Level 2

Tenho de ver isso com atenção.
pois não consigo entrar através do FTP (usando o filezilla).
Só através do phpmyadmin (mas logo quando conseguir falar com o rapaz, logo vejo isso melhor).

Offline

fmnj 
Membro
Mensagens 338 Gostos 1
Feedback +7

Troféus totais: 26
Trófeus: (Ver todos)
Level 5 Tenth year Anniversary Windows User Super Combination Combination Topic Starter Poll Voter Level 4 Level 3 Level 2

Bem, já consegui reverter a situação.
Identifiquei o código de malware, removi dos ficheiros onde este estava.
Agora só falta sair da BlackList... que apenas é indicado pelo google.

Já pedi a reavaliação. Quanto tempo demorarão?

Obrigado

Offline

fmnj 
Membro
Mensagens 338 Gostos 1
Feedback +7

Troféus totais: 26
Trófeus: (Ver todos)
Level 5 Tenth year Anniversary Windows User Super Combination Combination Topic Starter Poll Voter Level 4 Level 3 Level 2

Bem, da Blacklist o site já saiu.
Tanto que já saiu o GWebmasters e do Sucurit...

Mas quando acedo através do Firefox continua a dar mensagem de malware.
COmo resolver?


Offline

bayoo 
Membro
Mensagens 408 Gostos 75
Troféus totais: 24
Trófeus: (Ver todos)
Eighth year Anniversary Search Level 5 Seventh year Anniversary Windows User Super Combination Combination Topic Starter Level 4 Level 3

Verifica se não possui algum código maligno nos ficheiros do fórum.
Experimenta desactivar a publicidade por uns momentos e testar, estou a receber um erro relativo a:
Código: [Seleccione]
"http://www.gambling-affiliation.com/cpm/v=5VhXSnCLoDDsqkTrKv2PRftuj.7BCdvzBuSRLk4Dku3P72rOFCDP.zsv5oMDlf1-mHsTQVijwdI6snVWRpD0Ow__&s=".
Outros erros apresentados:

Código: [Seleccione]
GET http://www.forum-dinheiro.com/sachat/index.php?action=head 404 (Not Found) index.php:7
Resource interpreted as Script but transferred with MIME type text/html: "http://www.gambling-affiliation.com/cpm/v=5VhXSnCLoDDsqkTrKv2PRftuj.7BCdvzBuSRLk4Dku3P72rOFCDP.zsv5oMDlf1-mHsTQVijwdI6snVWRpD0Ow__&s=". index.php:7
GET http://www.forum-dinheiro.com/sachat/index.php?action=body 404 (Not Found) index.php:7
GET http://files.comunidades.net/pagosparaclicar/Publicidadema1.gif 404 (Not Found) index.php:260
GET http://tewinkelmontage.nl/js/rel.php 404 (Not Found) topic.js:544
(anonymous function) topic.js:544
(anonymous function) topic.js:544



cumpts
Offline

fmnj 
Membro
Mensagens 338 Gostos 1
Feedback +7

Troféus totais: 26
Trófeus: (Ver todos)
Level 5 Tenth year Anniversary Windows User Super Combination Combination Topic Starter Poll Voter Level 4 Level 3 Level 2

Recebes esse aviso através de que serviço?

Isso era publicidade, já retirado (agora mesmo).
É que eu só recebo este aviso quando entro com o Firefox, abri com o Chrome e não recebi o aviso.
Offline

bayoo 
Membro
Mensagens 408 Gostos 75
Troféus totais: 24
Trófeus: (Ver todos)
Eighth year Anniversary Search Level 5 Seventh year Anniversary Windows User Super Combination Combination Topic Starter Level 4 Level 3

Foi com ferramenta de programador, neste momento já tens menos um erro e mostra agora estes:

Código: [Seleccione]
GET http://www.forum-dinheiro.com/sachat/index.php?action=head  404 (Not Found) index.php:7
GET http://www.forum-dinheiro.com/sachat/index.php?action=body  404 (Not Found) index.php:7
GET http://tewinkelmontage.nl/js/rel.php        404 (Not Found) topic.js:544
(anonymous function) topic.js:544
(anonymous function) topic.js:544
GET https://apis.google.com/js/plusone.js  index.php:7

Sabes o que é isto:
Código: [Seleccione]
GET http://tewinkelmontage.nl/js/rel.php        404 (Not Found) topic.js:544

Pergunto
Offline

fmnj 
Membro
Mensagens 338 Gostos 1
Feedback +7

Troféus totais: 26
Trófeus: (Ver todos)
Level 5 Tenth year Anniversary Windows User Super Combination Combination Topic Starter Poll Voter Level 4 Level 3 Level 2

Boa noite,

desculpa a demora na resposta, mas com o Natal não consegui vir ao pc.

Não faço a mais pequena ideia do que seja isso.
O SACHAT já foi desativado.
Logo estranho o facto de ainda aí aparecer...

O tewinkel está alojado no topic.js? Vou ver...

Podes indicar-me o nome desse programa, sff?
Offline

fmnj 
Membro
Mensagens 338 Gostos 1
Feedback +7

Troféus totais: 26
Trófeus: (Ver todos)
Level 5 Tenth year Anniversary Windows User Super Combination Combination Topic Starter Poll Voter Level 4 Level 3 Level 2

tewinkle removido do topic.js

Offline

bayoo 
Membro
Mensagens 408 Gostos 75
Troféus totais: 24
Trófeus: (Ver todos)
Eighth year Anniversary Search Level 5 Seventh year Anniversary Windows User Super Combination Combination Topic Starter Level 4 Level 3

Agora parece limpo, esse site tewinkelmontage.nl está infectado e pode ter sido a causa da infecção do teu site. Site invadido pelo hacker T0r3x.
Deves ter atenção ao sites que tens ligados ao teu, e sobretudo com iframes.
Segurança é fundamental...
Offline

fmnj 
Membro
Mensagens 338 Gostos 1
Feedback +7

Troféus totais: 26
Trófeus: (Ver todos)
Level 5 Tenth year Anniversary Windows User Super Combination Combination Topic Starter Poll Voter Level 4 Level 3 Level 2

Tenho de perguntar ao dono do site se ele conhece o site.
o que duvido.

Pode é ter sido através de algum Mod instalado.
Não me podes indicar qual a ferramenta de programador com que fizeste a análise ao site? obrigado
Offline

fmnj 
Membro
Mensagens 338 Gostos 1
Feedback +7

Troféus totais: 26
Trófeus: (Ver todos)
Level 5 Tenth year Anniversary Windows User Super Combination Combination Topic Starter Poll Voter Level 4 Level 3 Level 2

Desculpem continuar a abrir este tópico...


Como descobrir o ficheiro/ligação responsável pelo trojan que o meu PC bloqueia e move para a quarentena?

A única coisa que ele me diz é que as ameaças estão a ser limpas, não é necessária nenhuma ação e depois vou ver na quarentena e está lá o ficheiro com o caminho da cache (um trojan).

Isto só acontece quando abro o site mencionado neste tópico.
Offline

yanko 
Membro
Mensagens 59 Gostos 0
Troféus totais: 16
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Level 3 Level 2 Level 1 50 Posts 10 Posts First Post Karma

Offline

fmnj 
Membro
Mensagens 338 Gostos 1
Feedback +7

Troféus totais: 26
Trófeus: (Ver todos)
Level 5 Tenth year Anniversary Windows User Super Combination Combination Topic Starter Poll Voter Level 4 Level 3 Level 2

Passa o site aqui

http://sitecheck.sucuri.net/scanner/

Já passei, está limpo.
Tudo limpo em sucuri, google webmasters, google está seguro (fora da Blacklist)!

Apenas o Firefox ontem me impedia de entrar, entretanto já nem o Firefox diz tal coisa.

Apenas quando entro no site no meu pc ele me dá esse aviso...
E vou ver é um ficheiro cache.