Se é webmaster, provavelmente já ouviu falar acerca de ataques a sites que adicionam iframes em praticamente todos os ficheiros do site. Já tivemos alguns clientes que se depararam com esta situação e vimos desta forma explicar como é que é feito esse ataque e como o poderá evitar.
O ataque geralmente não é gerado através de vulnerabilidades dos sites ou dos servidores, mas sim através de uma infecção de um vírus no computador do administrador/webmaster do site controlado por uma Botnet.
Reconhecido como Gumblar pela ScanSafe e por Troj/JSRedir-R pela Sophos, esta nova botnet apareceu pela primeira vez em 2009 e é caracterizada por redireccionar as pesquisas dos utilizadores no Google e suspeita-se que a sua origem sejam ficheiros PDF (Acrobat Reader) ou SWF Flash (Adobe Flash).
Os visitantes de um site infectado com o Gumblar serão redireccionados para um site alternativo com malware. Neste momento a rede de sites infectados é já bastante grande, abrangendo milhões de sites infectados.
O site com malware irá forçar o browser do utilizador a abrir um PDF infectado que executa e explora uma vulnerabilidade no Acrobat para ganhar acesso ao computador do utilizador.
O vírus vai encontrar clientes FTP como o FileZilla e o Dreamweaver e como estes guardam a password como plain text, conseguem obter os dados de acesso FTP ao site do utilizador infectado.
Ao encontrar os dados de acesso FTP desse utilizador, a botnet vai conseguir aceder normalmente ao servidor FTP usando uma autenticação normal de password e username e infectar os ficheiros do site com uma iframe.
Numa primeira fase vai fazer download de grandes partes do site e injectar código malicioso em ficheiros que contenham a tag
como ficheiros HTML, PHP, JavaScript, ASP e ASPx. O código inserido será um pequeno código Javascript base64-encoded que irá infectar os computadores dos visitantes do site que executarem o código.Poderão ser adicionadas iframes no código malicioso que vão conter links para sites maliciosos. O vírus irá também tentar modificar ficheiros .htaccess e hosts e ainda criar ficheiros com o nome images.php em directorias chamadas “images”.
Deverá ter em conta que esta não é uma vulnerabilidade do servidor. É um ataque feito com autenticação por password. O ataque não é feito a nível global no servidor, limitando-se aos ficheiros da home do utilizador em questão atacado.
Para evitar estes ataques deverá utilizar um cliente de FTP que guarde as passwords no seu computador de forma segura, manter os plugins do seu browser sempre actualizados e ter um anti-virus instalado que lhe permita detectar e bloquear a execução desta vírus.
Devido ao número de sites infectados, a propagação deste vírus é bastante rápida e já infectou milhares de computadores. Ao ser infectado, o seu site será mais um a ajudar a distribuição deste vírus na botnet. Se alguma vez detectar que o seu site foi atacado por este vírus, deverá entrar em contacto com o seu sysadmin para que ele possa verificar nos logs do servidor informações relevantes.
Pois, devo dizer que já foi vitima deste ataque, mas com a ajuda do Webtuga especialmente do Cenourinha tenho tudo resolvido.
Quero agradecer desde já aqui a ele.
Cumps
Pois, devo dizer que já foi vitima deste ataque, mas com a ajuda do Webtuga especialmente do Cenourinha tenho tudo resolvido.
Quero agradecer desde já aqui a ele.
Cumps