Invasão em servidor dedicado

[GnomO]

Olá amigos,

Possuo um servidor web dedicado com windows 2003 na hostgator e percebi que ultimamente alguns arquivos javascript de alguns sites estão sendo alterados com códigos maliciosos para que o usuário ao acessar o site serem infectados com um tipo de Trojan.

Gostaria de fazer três perguntas:

- Pensei que os invasores poderiam possuir a senha de FTP do site ou a senha do acesso ao RDC. Isso está correto?

- Como saber se meu servidor está em sendo usado como zumbi por hackers?

- Qual melhor antivirus posso instalar em meu servidor windows server 2003?

Desde já agradeço;
Fabrício Oliveira

[mmachado]

Fabrício,

Quanto a senha de FTP, não descarte essa hipótese. Existem vírus circulando por aí que vasculham configurações em computadores de usuários para encontrar configurações de programas de FTP ou de acesso remoto. Já vi inúmeros "desenvolvedores" e "web designers" com esse problema.

Você pode consultar a "reputação" das páginas hospedadas no seu servidor em serviços online. Um bem simples é no próprio Google:
http://www.google.com/safebrowsing/d...ite=google.com (altere o final para o seu endereço)

Eu não tenho certeza se os anti-vírus hoje em dia reconhecem essas modificações maliciosas nas páginas HTML gravadas localmente ou se só monitoram isso durante a navegação. Você vai precisar testar.

[]s, MM

[kautela]

Responde depois do mmachado e dicifil viu... o cara e fera!

Gnom0,
Pegue todos os sites que foram 'invadido', que suas paginas tenham sido alteradas, e rode um scan em busca de shell's hospedada no servidor...
caso voce as ache, provavelmente pode ter sido uma invasão exclusiva aos sites, algumas falha que possibilitou a inclusão da shell tipo RFI
Abaixo exemplo de scan

Caso nao encontre de uma verificada nas informações abaixo.
obs: isso levando em consideração que vários sites do seus servidor tiveram os arquivos alterados, se for apenas um, pule todos os passo e veja so os logs do site em questão.

1. Verifique as permissões do seu servidor, use algum gerenciador de arquivos em php ou asp, coloque no servidor, e olhe todos os diretórios em busca de algum que sua permissao possa comprometer alguma informação importante, ou, faca um script em bat para varrer as permissões e depois analise os logs.
( exemplo, se a pata de backup do plesk estiver com suas permissões comprometidas, seja por qualquer motivo, pode abrir brecha ma uma invasão... encontrou fala em um site, pegou os outros )

2. Veja o log dos bancos do seu servidor, Mysql e SQLServer, fique atendo no SQL a procedure o exec xp_cmdshell, muito usado...
se o hacker conseguiu as credenciais sa do SQL, um abraço... root no servidor.
(Procure por procedures ou funcoes que possam te ajudar e entender o que aconteceu, load file por exemplo)

3. Verifica a versão dos software que estao rodando no seu servidor. e analise o log de todos, claro

4. tudo quanto e tipo de log que você pude ver relacionado aos sites que foram invadidos, VEJA!!!
Por eles voje consegui saber o que aconteceu, se foi um problema de programação no site que possibilitou uma invasão ao SITE, se foi falha no SERVIDOR ou falha no USUARIO

#!/bin/sh
export HISTFILE=/dev/null;
echo
echo -n "Search started at: "
date
find ~/public_html -type f \( -name "*.htm" -o -name "*.html" -o -name
"*.phtml" -o -name "*.php" -o -name "*.ll" -o -name "*.perl" -o -name
"*.ssh" -o -name "*.php.dem" -o -name "*.pHp.dem" -o -name "*.js" -o -
name "*.txt" -o -name "*.shtml" -o -name "*.py" -o -name "*.swt" -o -
name "*.izri" -o -name "*.irzi" -o -name "*.php.jpg" -o -name "*.PHP" -
o -name "*.php.jpeg" -o -name "*.php.gif" -o -name "*.sh" -o -name
"*.cgi" -o -name "*.log" -o -name "*.pl" \) ! -iname "exploit-
scanner.php" ! -iname "extra-strings.php" ! -iname
"authorizenet_cc_[abc]im.php" ! -iname "chronocontact.html.php" ! -
iname "view.html.php" ! -wholename "*/broken-link-checker/*" ! -
wholename "*/wishlist-member/*" ! -wholename "*/supercache/*" ! -
wholename "*/cache/*" -print0 | xargs -0 egrep -Hil '(GMJK\ Crew)|
(fLasHcoM\ CpAnEl)|(FeeLCoMz)|(Bk-code\ shell)|(MaZaCrEw\ CpAnEl)|
(VopCrew)|(fuckerboy)|(Cyber\ Crew\ Shell)|(OrigamiCrew)|(CyBeSteR)|
(N3tsh_surl)|(\[\ bjork)|(COLUMBUSSheLL)|(c88sh)|(Crazy_Hacker)|
(Fx29Sh)|(r57sh)|(c99sh)|(\!mPLe\ SHeLL)|(web\ shell)|(PoWeReD\ BY\
GodFatheR)|(Webcomm\-Cr3w)|(O0O.maxx)|(Nigerian\ Spam\ Community)|
(IcHig0)|(Modif\ by\ \:)|(Sincan2)|(EdianShell)|(Tiagow)|(PackBot)|
(mass\.eMailer)|(MASS\ MAIL\!\!\!)|(FxID)|(Oishi\ Crew)|(DexQy-
community)|(J4m35_B0nd)|(psyBNC)|(milw0rm)|(sUxCre w)|(\$c99)|
(HackerBooty)|(ThOurOS)|(Chanary)|(ccpower\ \-config)|(cENxShell)|
(bamby\.web\.id)|(autoversi.tcl)|(Defaced\ by)|(H4cked\ By)|(h4ck3d\
by)|(Fatihul\ Ulum)|(By\ TouchMoneY)|(Sender\ Mails)|(HacKer\ EgypT)|
(rootshell\-team)|(SHELL\ FUCKER)|(Mailer\ by\ Albrim)|(FraNGky)|
(Karaw4nghacK)|(\-\=ok\=\-)|(PHP\ IRC\ Bot)|(\[S\]uper\[BAD\])|(Emp3ror
\ Undetectable)|(ByroeNet\ Team)|(Pitbull\ Bot)|(By\ racrew)|(Masss\
Defacer)|(Data\ Cha0s)|(webadmin\.php)|(Cyber\ One)|(xcrew\-\-)|(by\
ladusty)|(no\ malware\ on\ this\ code\,)|(SnL_ayaz_\/was_here)|(DONSHAQ
\ Was\ Here)|(YoUngEST\ \-\ Mass\ Mailer)|(DoS\-Dz)|(devilzShell)|(By\
Shaun\$\$)|(patrao\ PHP)|(IndoIrc\ LCC)|(JaheeM\ Galaxy)|(Naija\ Boys\
Too\ Much)|(MulCiShell)|(Shell\ uploader\ By\ HalT)|(Shany\ was\ here)|
(\[\"lol\"\])|(send\ evil\ code)|(Andre_Corleone)|(Upload\ fisier\:)|
(Vrs-hCk)|(By\ Continue\ Crew)|(Phpshell)|(paraghcybernet)|(Database\
Scanner)|(\$\$haun\$\$)|(KecoaK)|(cow_revo)|(Fx29I D)|(bhlcrew)|(PHP\-
Mailer)|(InboX\ Mass\ Mailer)|(ALL\-inbox\ Mailer)|(cPanel\ brute\
forcer)|(gblack\ Was\ Here)|(indoshell)|(eX\ Mortal)|(RawckerHeaD)|
(SimAttacker)|(V.I.T.A.L.)|(zreg\ exploit)|(ReloaD\-X)|(dodol\ was\
here)|(eX\ was\ here)|(Codz\ by\ angel)|(cakill\ schumbag)|
(Shevchenko)|(ONeTCr3w)|(Rengkong)|(yogyacarderlin k\ Crew)|(\:\:\
Mailer\ Inbox\ \:\:)|(\-HackeR\-)|(Emoney\ \-\-)|
(Goog1e_analist_certs)|(owned\ by\ c0d3d)|(UnixStats\ Mass\ MaiLer)|
(Hacked\ By\ NHC)|(Bot\ Shell)|(Response\ CMD)|(\.\:\:\ Welcome\ \:\:
\.)|(BARUKLINTHENG)|(\-\-\=\[\ genol\]\=\-\-)|(Upload\ GAGAL\ \!\!\!)|
(by\ shegs35c)|(Dz-Gr33nF@TheR)|(Super\ Floooder)|(D4rk\ Cod3rs)|(PHP\
Bot\ \:\:)|(online\ hacker)|(SerCom\ CoLi)|(By\ Th3\-r4wKs)|
(KingDefacer)|(living-tuerkei.de)|(By\ DurjanA)|(r1pp3rm4ya)|(Backdoor
\ by\ RoCu)|(By\ Pejvaknuse)|(Spider\ PHP\ Shell)|(NeutroX\ CorP)|
(ZaraByte\ File\ Uploader)|(DONEJE\ Was\ Here)|(Killer\ Hack)|(Simo64\
WebShell)|(Morocain\ checker)|(AKACHIMAILER)|(iMHaBiRLiGi\ PhpFtp)|
(Andalas_oku)|(Cha0s!)|(P.h.p.S.p.y)|(\:\:\ MAILER\ \:\:)|(Error\ to\
enters\ it)|(Oracle\ Super\ ....)|(By\ \[\ Silver\ Malaysia)|(semua\
ada\ waktunya!)|(PHP\ eMailer)|(By\ Yung\ Money)|(KingOfCode[Zen])|(By
\ WebCraker)|(M\ A\ R\ A\ N\ H\ A\ O)|(\-\=php\ mailer\ inbox\=\-)|(by
\ diccky)|(class\ pBot)|(M3DiJoK\ Mailer)|(hAckERbo0TY)|(LeoeMailer)|
(up100500)|(MR\ GHOST\ HUNG)|(By\ BlueSpy)|(NetJackal)|(By\ AsOkA)|(by
\ Hackc0re)|(BLACK_MASK)|(fuckyoursystem.org)|(putri-bot)|(HACKERMIND)|
(\|\|\ VAMPIRE1)|(E\ L\ I\ T\ E!)|(Pasukan-ddos)|(Done\ The\ Work!!!)|
(Powered\ by\ bLacknite)|(K4L0ng666\ H3r3)|(Slowloris)|(by\ reisbey)|
(\~\ Shell\ I)|(Coded\ By\ Burtay)|(sabri\ -\ PayPal)|(Flood\<\/b\>\<br
\>Completed)|(yetki\ kontrol\ fonksiyonu)|(Upload\ Success\ !!!)|(R3van
\ BASTARD)|(Cr4sh_aka_RKL)|(By\ Secsion)|(Thurcom\ Webmail)|(Devil\
mailer)|(ConfigSpy)|(bot\ net\ versi\ genol)|(\:\:SkyCreW\:\:)|(P\|i\|c
\|h\|i\|n\|c\|h\|a)|(LISTING\ FILES\ 2010)|(SPAM\ PRO\ CARNAVAL)|(By\
Xr0b0t)|(Mr-Lordz)|(lama's'hell)|(JabLay\ Crew)|(By\ \$am\$ung)|(By\
Dotexe)|(VulnScan\ v10)|(gr33ts\:)|(MailerinBox\ --)|(-\ Inbox\
Mailer)|(by\ mr.le0n)|(hacked\ by\ itox)|(\-\-\=itox\=\-\-)|(\[\-BLaCk
\-\])|(Mask_magicianz)|(By\ Charo)|(Fariz_�oy)|(#PaGi\ was\
here)|(ro0tsCrew)|(Mundesuar\ Nga\ \:\ AnGeL)|(Ps-X\ TeaM)|
(Saldiri.Org)|(by\ Fatur)|(By\ legitseller18)|(CyberLords\ Team)|(Cmd\
#PdN)|(tubau-itz)|(By\ Kobra\ Crew)|(ByroeNet)|(Unit-X\ Team)|
(Fariz_coy)|(ConnectBackShell)|(By\ Sun-Army)|(KaRtOsurO)|(e'e'k\
Injector)|(H\ @\ p\ a\ t\ i\ t)|(MILDNet\ Community)|(by\ HEXB00T3R)|
(4a-G\ TeaM)|(Hacked\ By\ Metropolis)|(PeTeR\ 7rB)|(l33t-k1ll3r)|(hell
\ v.\ 3.0)|(alt_xred)|(Newsletter!!!)|(By\ xIgOr)|(Cash\ Them\ ReZulT)|
(UnixUnited\ Crew)|(FerNANdU\ Ownz)|(CMD\ LISTING\ FILES\ 2010)|(PRINCE
\ ISHOLA)|(Sh3ll)|(Kuang\ Grade\ Mark\ Eleven)|(Jabrik@Hackd)|(By\
Methesuck)|(by\ ach3com)|(hantu\ crew)|(By\ TuX_Sh4D0W)|(drie88)|(By\
Zikry.Z.Azhar)|(By\ Marwan1302)|(The\ Cyber\ Nuxbie)|(Xtream\ Xpl)|(By:
\ Sindrom)|(function\ bullfinch)|(GRATIS\ Shell)|(P3ruT3am)|(MASS\
MAILERZ)|(\$r57\=)|(By\ VoY493)|(Created\ By\ Shaun)|(shadowTeam)|
(D.O.M\ TEAM)|(PoPpa\ Deus)|(The\ Old\ Team\ Is\ Back)|(HackTn.CoM)|
(cybertreff)|(by\ Francoboy)|(KubuCyber\ Team)|(by\ FakoMasT3r)|(By\
RACIONAIS)|(Peace\ !!!)|(P.h.p.S.p.y)|(phpRemoteView)|(WHC\ CrEw)|
(Maospati\ TeaM)|(SyRiAn\ \|\ 34G13)|(BofA\ FullZ)|(AK-CoMMuNiTy\
Shell)|(r3m1ck\ shell)|(BatamHacker)|(SY-HACKER)|(JAAALiiikOm)|(MATRiX
\ ALARAB)|(tryag.cOm)|(H4CK3R\ N4O)|(Red\ Eye\ Crew)|(0ldW0lf)|(LorD-
C0d3r)|(REBEL\ KREW)|(STUNSHELL)|(indoseiancoder)|(Order\ of\ Grifos)|
(Reverse\ Shell)|(by\ system-root)|(Symlink\ Tools)|(SMS\ Bomber)|
(Mesin\ SMS)|(annoy\ the\ victims)|(petimati\ Cpanel)|(By\ Scra3zy)|(By
\ PeruTeam)|(PROHacker\ PRIV8)|(iskorpitx)|(By\ MaGnUm-X)|(Islamic\
Ghosts\ Team)|(MOROCCO.SECURITY)|(site\ r00ter)|(Object\ not\ found\!)|
(By\ Risker)|(\\x65\\x76\\x61\\x6C\\x28\\x67\\x7A\\x69) |(Magic\ SpaMMeR
\ MaiLeR)|(by\ Maksymilian)|(Hacked\ by\ Shark)|(Execution\ By\ StEvE)|
(D\ A\ D\ D\ Y)|(\-\ PRIV8)|(Garculas\ Shell)|(Mr\ H017)|(wpfooterz)|
(\^\_\_\_\^)|(udp\ flood)|(port\ \=\ 6667)|(By\ Dr\.ahmed)|(FTP\
CraCkeR)|(Dr\.JEeNTeL\ SheLL)|(Doma\!ns)|(by\ VeXR)|(ML7s\ Hackers)|
(>veter<)|(By\ WebCraker)|(Boa\ Spam\ AL)|(titanic\ crew)|(By\ Mr
\.Alo0oNe)|(By\ akatsuki)|(by\ GaDafFiMoneY)|(EggMoneyMAILER)|
(\:akatsuki\:)|(Lloyds\ TsB\ Inc)|(BajoCrew\ Shell)|(One\ Code\
Unlock)|(Spam\ ReZulT)|(KeNiHaCk)|(K3N\!H4Ck)|(G\ A\ R\ C\ U\ L\ A\ S)|
(another\ Maga)|(RosebanditZ)|(by\ Ivan\ Ivanausqui)|(By\ OluChase)|
(bank\ ReZulT)|(I\ MUST\ RICH)|(Inbox\ arab47)|(Inbox\ 4\ All\ HZ)|(\:
\:\ newsletter\ \:\:)|(Sudden_death)|(by\ B\ 4\ R\ T\ H)|(LOKO_SPAM)|
(Formosus\-Crew)|(indonesiansecurity\ team)|(\.\:\:\ mass\ mailer\ \:\:
\.)|(Enjoy\ New\ Aol)|(Team\ SQL)|(Exploit\:\ error_log)|(Sniper_SA)|
(MeToll)|(By\ Karar\ alShaMi)|(By\ Mohajer22)|(B0uK4risS)|(By\ Hasnf)|
(Rapidshare)|(Sender\ Imbox)|(FakoMasT3r)|(Red\ Posion)|(JatimcreW)|
(AlpHaNiX)|(by\ Neo2k8)|(nmapbot)|(ohai\ back)|(by\ p4km1n)|(billgates
\ was\ here)|(plaNETWORK\ SheLL)|(irc\.byroe\.net)|(\,\ no\ luck\!)|
(z3nc4rt\.cc)|(AKACHI\ MAILER)|(Gat\ Fullz)|(CGI-Telnet)|(PHP\ Mailer\
2011)|(iLLoGicSh3LL)|(\ CMD\ \:\:)|(\@\ MyHack)|(love2bbs)|(ihalimz
\.com)|(\.\:\ i\[H\]z)|(TeRoRisTe_Mc)|(serv3r\ ScaNN3r)|(EgY_SpIdEr)|
(title\>HcJ\ \<)|(Priv8\ SCR)|(ibl13Z\ Private\ Shell)|(irc\.indoforum
\.org)|(port\=\"6667\")|(3MSHELL)|(\[\ HaNgEr\ \])|(\-\ G00dLuck\ \-)|
(\|semua\ ada\ waktunya\!)|(w3\|\|5f4rg0)|(By\ NikoL\ \:)|(By\ Da-
Slake)|(سبام \روت
\العرب)|(PayPal\ ReZulT)|(Y\!\ Log)|(\-
SPM\ Log)|(ZenCart\ Pwnage)|(DAT\ RUDE\ BARRISTA)|(BY\ LUN4T1C0)|
(Luthfi_\ Fy)|(by\:\ devil\_\_)|(By\ SooMin\ Kim)|(By\ kaycr3w)|(By\ Ja
\$pA)|(by\ DoitSelf)|(coguZAO)|(nst\.void\.ru)|(Lom\.\.\.\.\. \.\.\.\.\.
\.x)|(STreammz\ \!)|(the3gayskeeters)|(ibl13Z\[dot)|(FUCK\ \!\!\!)|(\:
\:\ w33d)|(REd\ Dragon\_al)|(tiga-lima\ SheLL)|(g00nshell)|(Y\(\)NOT\-
T)|(By\ seller_mailer)|(n0h\@hotmail\.com)|(\:GShell)|(by\ akatsuchi)|
(infectslab\:)|(nazis\ are\ comming\!\!)|(\$url\ \=\ \$urls\[rand)|(By
\ AwesomeBuge)|(\-\=SPAM\=\-)|(MagelangCyber)|(by\ Initial\ A)|(By\
Sikuruz)|(Codeshift3r)|(X\-Cisadane)|(BY\ PSYCODEZ)|(Newbie-R)|(By\
faKmen)|(by\ Cyber\ AE)|(File\ Upload\ \:)|(By\ SHinepo)|(By\ Adrian\
Unix)|(PROHacker\ was\ here)|(S\ U\ B\ Z\ I\ D)|(\$bunn\ \=\ explode)|
(semua\ ada\ waktunya\!)|(UBS\ ReZuLt)|(\<\H\T\M\L\>\ )|
(Bismillah)|(irc\.javairc\.org)|(RedHackeR)|(Th3\ K\!LL3r)|(By\ The\
setan)|(Solohackerlink\ Crew)|(solutionzzzzzz)|(BlAcK\.JaGuAr)|(SUNT\
LA\ emailul)|(Hacker\ Indonesia)|(Thund3rC4sH)|(\$shell\ \=\
curl_exec)|(james0baster)|(\_860972539\_)|(MadeinC hina)|(WordPress\
Inserter\ Links)|(phpRemoteView)|(Shell\ by\ aak)|(fullz\.result)|(\:
\:xs86\-)|(gog1\=liTiTTT1Ti1I)|(Dr\.Timor)|(by\ r3v3ng4ns)|(By\ Iron\
Mask)|(B\ a\ n\ k\ l\ i\ n\ e)|(FODAX\ CORPORATION)|(Simple\ Shell)|(\:
\ inb0x\ \:)|(Irc\.Allnetwork\.Org)|(\-234\-\ >)|(BY\ HaTeX)|
(empixcrew)|(HTTP_SHELL)|(\$tds\ =\"http\:\/\/)|(95\.163\.66\.187)|
(Powered\ By\ root\@localhost)|(BY\ kaMtiEz)|(by\ ChitoZz\_)|(By\
2mibi)|(s0ul_p0w3r)|(KENNY\ WIZZY)|(DMaR\ AL\-TMiMi)|(\[vb\ Tools\])|
(By\ SILVER\ FOX)|(Gaza\ Hacker\ Team)|(Symlink\ t00lz)|(Unit\-X\
Team)|(By\ DrZer0)|(DrZer0\ Hacker)|(Lagripe\-Dz)|(AbdullaH\ AL\-
TAMiMi)|(\$v01b6e203)|(By\ \[\ Lkon)|(PHPJackal)|(sime\:site)|(\-CHA\$E
\-)|(rush1ng)|(by\ LAMA)|(M1LH4S\ \-\ T4M)|(By\ Xadpritox)|(AndRy\
PNT)|(Ani\ Shell)|(\.\ Z190T\ \.)|(B\ Y\ M\ A\ G\ I\ C)|(H3xTeCh)|
(Surrogafier)|(\$Ve8662315)|(By\ TeaM\ MosTa)|(raCrew\ ConnectBack)|
(M0H4M3D\ 4M1N3)|(>HcJ\ <)|(By\ RAB3OUN)|(\#\ SA3D)|(by\ r3cogn1z3d)|
(LEOMACS\ CRYPTOGRAPHIC\ CREW)|(aKpuMPiN)|(By\ kay8992)|(By\ DewaSpam)|
(By\ TrYaG\.CC)|(Inbox\ Mailr)|(ybhacker)|('filesman')|(By\
Newbie_Campuz)|(by\ bankonmoney4me)|(Crush\ Mailr)|(\-\ PHP\-Sender)|
(netjackal\.by\.ru)'
echo
echo -n "Search completed at: "
date
echo