Hacker em sitema de ftp sem hackear o login e senha O.o

[Ize Chi]

Olá a todos!

Primeiro de tudo, desculpe se coloquei o tópico em lugar errado... Fiquei um tanto perdida no fórum .__.

Um amigo me indicou, disse que aqui há muitas pessoas que entendem do assunto, então, vou explicar o que me aconteceu ^^


Minha função:
Sou Webmaster/Webdesigner de um site de e-commerce, que funciona hospedado pela Locaweb. (aliás, gostaria de saber a opinião de vocês sobre a Locaweb... A minha não é muito boa, sabe? Sou muito mais a Dotstore u_u").
Cuido da captura das vendas, layout do site, faço as promoções... Enfim, cuido de tudo ligado à internet.

O que me aconteceu:
Semana passada, entrou um vírus no site. Ou melhor, pensei ser um vírus; quando se abria a página inicial do site ou a página do painel de controle, o anti-vírus bloqueava uma invasão.
Liguei para a locaweb, e me disseram para baixar todos os arquivos do site e passar um anti-vírus nele.
Fiz isso, baixei quase 3 gb de arquivos e passei o Norton Internet Security, e não achei nada.

Liguei de novo para a Locaweb, e falaram que poderia ser algum script que entrou nas nossas páginas.

Bingo! Havia um script em iframe (e nós nem utilizamos isso no nosso site), que direcionava para baixar um malware.

Esse malware estava em todas as páginas default e index, e perdi um bom tempo para limpar tudo...

Porque, vejam bem, só cuido do site durante a semana. Segunda (dia 15), ao chegar no trabalho, chequei nossos arquivos pelo ftp, e essas páginas index e default estavam como data de modificação dia 14/06, um domingo, em q ninguém do trabalho acessa.
Logo, foi fácil ver quais páginas haviam sido modificadas.


Depois que limpei o script das páginas, tudo voltou ao normal. Troquei todas as senhas de acesso, ninguém mais as têm além de mim.
Só que hoje, durante a tarde, o site e o painel de controle não estavam abrindo. Apertando o F5 para atualizar, vi que aparecia, na barra de carregamento do IE q um script estava tentando ser aberto. Do mesmo tipo que eu havia apagado, sabe?

Aí, eu fui entrar no server ftp (utilizo o FilleZilla) para fazer a mesma coisa q eu havia feito antes: apagar os scripts das páginas.
Surpresa: login e senha certos, carregando arquivos, carregando mensagem de boas vindas e... Arquivos não puderam ser abertos!

Achando estranho, acessei o painel de controle da locaweb, por onde também é possível ter acesso aos arquivos ftp. Loguei normalmente, acessei a página para abrir o ftp e... Apareceu uma mensagem falando que não podia ser aberto porque eu não possuía autorização para isso!!!

Eu sou a administradora da conta, como isso pode acontecer????

Daí, fui eu ligar para a Locaweb de novo, perguntando o porquê disso. O atendente também não estava conseguindo acessar na hora que liguei, o site também não abria com ele... Aí, ele liberou o meu acesso aos Logs que acessaram o ftp na última semana.
Até eu ser atendida demorou uns 30 min... Enquanto conversava com o atendente, pelo menos uns 20 min...
E, milagrosamente, o site voltou a funcionar!
E o acesso ao ftp também!

A primeira coisa q fiz foi checar se alguém havia mexido; mas estava lá que a última data em que os arquivos foram emxidos foi dia 15/06, o dia em que eu limpei os scripts de malware!
Baixei a página default que abre a "vitrine" do site, e não tinha nenhum malware, assim como a página do painel de controle! Sendo que esta última foi onde eu havia visto, na barra de carregamento do IE, q havia um malware ali!!

Foi como se o hacker estivesse testando... Vendo se conseguia bloquear nosso acesso e depois liberando...


Parte estranha:
Com o acesso aos Logs, chequei logo os acessos do domingo, dia 14/06. Aparece o IP e o nº de ID do usuário... Buscando no google, fui parar num site que acha IPs (com direito a mapa com o nome das ruas), e achei um de SP, e aparece os dados, dizendo serem da Locaweb... (?!)
E, buscando o ID do usuário, acho um endereço de Salvador, dizendo ser da Tele Norte Leste Participações S.A., e user veloxzone...

Provavelmente, o hacker conseguiu mesclar o IP dele, e utilizar esses...

O site que usei foi:
What Is My IP Address? - Lookup IP, Hide IP, Change IP, Trace IP and more...

E o IP do hacker é: 200.234.196.78
E o ID de user: 189.105.234.219

A parte estranha que me referia é: no acesso ao Log, vi o IP e tals, e também vi o q o hacker fez; ele baixou todos os arquivos do site!
Na boa, pra que o hacker quer isso???


Caramba, acho que escrevi demais... Será que alguém vai se dar o trabalho de ler...?

[mmachado]

Izi,

A história que você contou tem se repetido à exaustão com muita gente. Estes vírus se espalham pela internet contaminando sites para que usuários façam downloads de outros vírus. Uma vez no computador desses usuários, o vírus vasculha o sistema à procura de senhas de FTP, que são enviadas para outras pessoas, que fazem as alterações das páginas contaminando mais sites. E assim entramos em um círculo vicioso.

O objetivo é direcionar outros usuários para sites fraudulentos ou transformar seus computadores em zumbis para ataques a outras redes ou envio de spam.

Provavelmente você contaminou o seu computador em algum momento, o que permitiu o roubo da sua senha de FTP.

Se estiver aceitando conselhos, passe uns dois bons anti-vírus em todos os computadores de onde costuma dar manutenção no seu site. Troque todas as suas senhas e, POR FAVOR, não use a opção de "salvar senha" no FileZilla ou em qualquer outro programa.

Esse problema não é um privilégio da Locaweb (apesar da lentidão e incapacidade de reação ser). Eu trabalho em um provedor e isso começou a acontecer com os nossos clientes. Apesar de não termos nenhuma obrigação para impedir esses acessos, nós implementamos uma monitoria nas contas de FTP e estamos conseguindo bloquear centenas de tentativas, todos os dias, de contaminação dos sites.

Nós iniciamos, inclusive, uma força tarefa para avisar aos nossos clientes que houve tentativa de acesso à sua conta FTP com credenciais válidas. Eles ficam meio atordoados assim como você, aparentemente, ficou. Por isso fazemos questão de explicar o que está acontecendo e dar os conselhos certos.

Se quiser nos conhecer melhor, estamos aqui:
http://www.infolink.com.br/

[]s, MM

[Ize Chi]

Se quiser nos conhecer melhor, estamos aqui:
Hospedagem de Sites - Domínio Internacional e site grátis é só no InfoLink!

Estou pensando seriamente em sair da Locaweb... Me parece uma boa opção, só tem q ver se disponibiliza o que necessitamos...

[brunosolar]

É até dificil comentar depois do MM (hehehe)

Além do mais, o server onde está hospedado o site e da sua empresa ou locado da localweb?

Seria interessante avalia-lo para checar possíveis rootkits, malwares etc que podem reinfectar os arquivos, ou ainda ter uma brecha de acesso para o atacante mesmo que troque as senhas.

[Ize Chi]

Nossa, obrigada =]

Agora, uma dúvida: antes, os computadores ficavam ligados em rede, inclusive o meu, de onde eu fazia as modificações.
Essa semana, na quinta, o meu computador foi desligado da rede e assim deve permanecer.

Ele já teve o Avast instalado, o AVG e eatualmente está com a versão de teste do Norton Internet Security, que está prestes a expirar.

Eu já passei o anti-vírus mil vezes, mas não está encontrando nada. Presupondo que, de alguma forma, meu computador está infectado e o anti-vírus não está achando essa infecção...
Seria melhor eu zerar o meu computador???
Surtiria efeito reinstalar o Windows e tals, como todos os programas...?
Tenho backup dos meu arquivos em um HD externo, logo, não seria problema fazer isso.
Eu só preciso saber se ajudaria ou não, a me livrar dessa infecção, sabem?

[Ize Chi]

Acabei de descborir algo;

tipo, estou monitorando meu site o fds todo, e quando entrei na página inicial, meu antivirus bloqueou um vírus.

Acessei o ftp, não tinha nenhuma modificação em data nem nada.

Daí, baixei os arquivos pro meu computer. Meu antivírus bloqueou vários, como sendo vírus html/framer, e não me deixou nem mesmo abrir o arquivo no Dreamweaver, como eu fiz antes, para editar O.o

Puuutz... Pra minha sorte, tenho um backup recente dos arquivos, vou ver se apago tudo e ponho de novo no ar, quem sabe assim funciona... -.-'

E, enquanto isso, vou procurando soluções...

[Guzpido Krush]

Machado, estes vírus são confeccionados especialmente para o site que se deseja atacar ou eles funcionam de forma mais genérica, inserindo o código web praticamente em qualquer código já existente? Você poderia citar alguns nomes e tipos destes malwares?

Será que este problema não poderia ser evitado se, mesmo no Window$, os webdesigners utilizassem usuários com menos privilégios para navegar e usuários diferentes para trabalhar no site? Mais difícil para o malware infectar um arquivo que ele não tem permissões para escrever.

[mmachado]

Surtiria efeito reinstalar o Windows e tals, como todos os programas...?

Seria bom, mas se você não descobrir por onde esse vírus chegou, é possível que em breve você esteja com o mesmo problema.

Machado, estes vírus são confeccionados especialmente para o site que se deseja atacar ou eles funcionam de forma mais genérica, inserindo o código web praticamente em qualquer código já existente? Você poderia citar alguns nomes e tipos destes malwares?

Esse é um exemplo: Gumblar .cn Exploit - 12 Facts About This Injected Script | Unmask Parasites. Blog.

Será que este problema não poderia ser evitado se, mesmo no Window$, os webdesigners utilizassem usuários com menos privilégios para navegar e usuários diferentes para trabalhar no site? Mais difícil para o malware infectar um arquivo que ele não tem permissões para escrever.

Isso é praticamente impossível de acontecer na prática.

[]s, MM

[ceth]

Isso ta com cara de um simples auto-infect. (detalhes de um caso parecido pode ser visto aqui.)

Eu recomendaria apagar todos os arquivos do servidor, e depois upar os arquivos do backup pra lá.

Depois, é claro, ficar de olho no site, e se possível nos logs de acesso, porque se for mesmo um auto-infect, provavelmente algum invasor conseguiu acesso ao seu servidor e alterou as páginas "incluindo o código malicioso nas mesmas", e como você não detectou isso "nem o suporte da hospedagem", é bem provável que o mesmo ainda esteja conseguindo acessar seu servidor.


[]s,
ceth

[willian_pires]

Lembre-se também que não necessariamente usaram-se do seu ftp para alterar os arquivos, hoje em dia devido a baixa qualidade de código pressão por atualização e nulidade com relação a segurança sendo que sempre para os desenvolvedores fica implícito que a segurança é uma coisa do servidor/firewall e não do conjunto todo.

Muitas aplicações acabam fazendo gravação de conteúdo em seu próprio diretório web com o mesmo usuário em que o iis/apache usa para ler as paginas dinâmicas isso na mão de qualquer um é um prato cheio e por mais que voce sempre limpe o seu ftp e pois seu computador inacreditávelmente o vírus volta.

Portanto atente-se a qualquer script que faça gravação em seu diretório web.

Att