Site com vírus, aprenda como resolver

Mantenha seu site seguro

Nossos pessoal de TI toma todas as precauções em relação a atualizações e correções nos seus sistemas para evitar quaisquer brechas de segurança nos sites hospedados. Contudo, existem algumas maneiras que não dependem da hospedaem para evitar que ocorram. As mais comuns são:

Terceiros possuem a senha de FTP

Ela pode ter sido descoberta devido ser uma senha FRACA, não tendo uso de números/letras/caracteres especiais ( @ , * e - ). Caso a máquina que utilize o FTP seja vítima de Sniffers ou Portscan, sua senha pode ser descoberta no momento que é estabelecida a comunicação com o servidor de FTP. Por isso é importante que seja escolhida uma senha contendo caracteres especiais.

A máquina que utiliza o FTP pode ter algum programa espião alocado em seu sistema, alguns conhecidos como Keyloggers e são responsáveis por capturar tudo que é digitado no teclado. Posteriormente enviando as informações sem seu consentimento para a pessoa que o colocou em sua máquina. Em algumas situações, estes programas podem ser camuflados em imagens e, ao abrir um simples email e permitir a imagem, seu equipamento é infectado.

 Vale frisar que, se você utiliza algum programa de FTP crackeado, ou seja, o arquivo executável foi alterado para conseguir utilizar o programa sem a
compra da licença é possível que o espião tenha sido infiltrado através desse crack


Recomendamos que sempre deixe um bom anti-vírus atualizado em sua máquina e esteja antenado nas notícias de segurança de sites relacionados com este tema, como por exemplo IDGNOW e ISFT.

Na dúvida se determinado Malware/Vírus/Worm/Trojan já foi identificado e vacinado acesse as últimas notícias dos fabricantes do Anti-Vírus, por exemplo: McAfee / F-Secure / Kaspersky / Sophos / AVG / Avast / SpyBot ... entre outros.

Vulnerabilidades na aplicação

Invasões podem ocorrer em virtude a algumas vunerabilidades da aplicação. Citamos algumas para lhe ajudar:

  • Scripts para uploads de arquivos: Em alguns casos a área de hospedagem fica exposta quando temos uma área de Upload no site e essa mesma não faz nenhuma validação do arquivo que será enviado pelo visitante.

Essa brecha de segurança é criada por quem está desenvolvendo o site, abre a oportunidade de qualquer pessoa má intensionada consiga enviar scripts maliciosos e programas para sua área de hospedagem. A mesma área poderá ser utilizada posteriormente em um esquema de Phishing, onde a mesma pessoa que conseguiu fazer o Upload divulga em emails maliciosos um Link que leva a sua área de hospedagem na mesma área onde foi feito o Upload dos arquivos. Exemplo: site.com.br/upload/banco.php 

Para evitar esse problema recomendamos que o desenvolvedor trabalhe na aplicação antes de permitir o Upload de qualquer arquivo via Script de Upload. Obrigue a aplicação validar o Mime Type do arquivo e antes da gravação alterar o nome para um nome dinâmico mantendo apenas sua extensão. Assim você permitirá que somente alguns tipo de arquivos sejam copiados para o seu site, protegendo-o desse tipo de ataque. De qualquer forma, vale frisar que não prestamos suporte a questões de programação e recomendamos que os desenvolvedores procurem em sites/fóruns relacionados a este assunto.

  • CMS: Muitas pessoas possuem os sites baseados em CMS (Sistemas Gerenciadores de Conteúdo). Existem vários hoje em dia no mercado. Porém os mais utilizados são JoomlaMamboWordPress entre outros.

Estes sistemas são mantidos por grandes grupos de desenvolvedores e em sua maioria OpenSource. A quem os utiliza, seja desenvolvedor ou não, é muito importante que esteja visitando regularmente seus fóruns e comunidades afim de descobrir o vazamento de alguma brecha de segurança e seu Patch de correção ou até mesmo atualização integral. 

Deixar um sistema desses sem a devida proteção, pode tornar a área de hospedagem tão nociva a ataques quanto entregar a senha de FTP a um desconhecido.

  • PHP INJECTION: Este tipo de ataque tem por característica explorar vulnerabilidades no código da página PHP e executar comandos que podem listar, criar, excluir arquivos de sua área. É recomendado que algumas diretivas do PHP estejam setadas corretamente para evitar este tipo de problema como Safe_Mode=On e Allow_Url_Fopen=Off.

Uma pessoa má intencionada pode pela string passada na URL de acesso ter o controle sobre sua área, exemplo: http://www.site.com.br/index.php?page=contato.php passando a listar o conteúdo com http://www.site.com.br/index.php?page=if?&cmd=ls

A diretiva Safe-Mode habilitada dificulta este tipo de invasão e, por uma boa prática de segurança, recomendamos ainda que os includes dos arquivos .php sejam antes mapeados e passados para IDs(números). Assim ao invês de qualquer parâmetro ser passado por um nome, ele pegaria apenas o número mapeado e descartaria todo o resto.

  • SQL Injetion: é a invasão mais comum e mais utilizada, pois se utiliza em campos de formulários como de contato e busca presentes em todos os sites.

Uso de conexão Wireless: Navegando com criptografia (protocolo) WEP

A criptografia WEP (ou protocolo WEP) foi criado em 1999 para oferecer segurança similar a rede cabeada, contudo o WEP logo teve o protocolo quebrado e hoje em dia existem softwares -- criados por hackers (ou crackers, se preferir) -- que facilitam a invasão da rede, permitindo ao invasor usufruir da conexão (como se estivesse ligado em rede com seus computadores) e dominar todo o acesso administrativo, incluindo acesso ao roteador. Esses softwares também registram os dados enviados por formulários, como a autenticação na página de administração do roteador, por exemplo. Em resumo, o WEP é o protocolo mais utilizado por redes domésticas, porém não oferece segurança aos usuários, visto que esse tipo de criptográfia já foi "quebrado" há muito tempo e a invasão à rede pode ser feito através de softwares prontos disponíveis na internet. 

Como evitar e resolver passo-a-passo

Você poderá seguir algumas passos iniciais para resolver esse tipo de dificuldade de modo definitivo. Listamos abaixo na ordem correta para lhe ajudar:

  • Primeiramente analise todos os equipamentos utilizados, pois podem estar contaminados com algum vírus, spyware ou outros males que capturam o que foi digitado e envia para terceiros, que fazem a invasão e alteram o site;
  • Não acesse o FTP ou Plesk antes de fazer um scan no seu computador afim de identificar e eliminar vírus ou outros males que podem interceptar a senha. Se desejar, alguns desenvolvedores de soluções anti-vírus oferecem scan gratuito via web.

Por exemplo:

  • Se utilizar conexão sem fio, não altere as senhas antes de verificar qual o protocolo utilizado para a navegação. Havendo a necessidade de alterar, verifique com o administrador da sua rede e o oriente a alterar a senha do roteador somente após desconectar da internet;
  • Altere a senha do seu Painel de Hospedagem (Ao acessar o Painel de Hospedagem , clique em "Editar" e modifique a senha. Na oportunidade, altere a senha do e-mail que constar nessa página);
  • Altere o login e senha de FTP do domínio, utilizando caracteres como @ , * e - ; e misturando letras e números, incluindo maiúsculas. Para alterar a senha acesse o Painel de Hospedagem , clique sobre o domínio e vá em alterar senha de FTP
 Importante:
 
 Se o seu domínio for, por exemplo, empresa.com.br, não utilize empresa como login de FTP, pois este será o primeiro login
 que pessoas má intercionadas utilizarão para tentar adivinhar a senha.
  • Quando a invasão ocorre por FTP é comum a alteração do index do site, onde o invador adiciona algum link (frame) que executa o vírus de outro local, ou seja, não existe contaminação por vírus na Revenda. Nesse caso, você mesmo pode remover esse código ou fazer o upload dos backups que possuir, substituindo o atual e eliminando o possível frame.


Quando a dificuldade é resolvida com as etapas acima, não há mais o que fazer para evitar que ocorra novamente. Basta manter o equipamento atualizado e evitar acessar de computadores públicos, como lan houses e cyber cafés.

Obtendo os logs de acesso e FTP

Se você desejar os logs de acesso para conferir de onde partiu as alterações, acesse os documentos na pasta log na raiz acima de seu diretório web

IMPORTANTE:

Na utilização de aplicativos CMS como Joomla, Wordpress, OS-Commerce, etc, recomendamos que sempre mantenha atualizado a versão, pois é comum o desenvolvedor desses aplicativos descobrirem vulnerabilidades na própria aplicação e lançar novas versões com as correções.

Dicas para reduzir riscos

  • Não utilize permissões de escrita (chmod 777) em arquivos. Por padrão esses arquivos devem permanecer com a permissão padrão 644.
  • Evite a utilização de permissões de escrita (chmod 777) em diretórios. Apenas diretórios que receberão escrita, como upload de imagens, por exemplo, precisam de tal permissão.
  • Ao clicar em um produto do seu site é exibido a URL conforme o exemplo à seguir:
http://www.seudominio/product_info.php?products_id=120

Observe que após o arquivo product_info.php é exibido o ID que o produto recebeu no banco de dados. O código aberto desta maneira abrirá margem à terceiros iniciarem tentativas de PHP injection em seu banco de dados.

Para evitar este problema, utilize algum recurso que reescreva URLs, como por exemplo:

 

 

 

  • Plataforma Windows: ISAPI Rewrite
  • Plataforma Linux: Mod Rewrite
  • 10922 användare blev hjälpta av detta svar
Hjälpte svaret dig?

Related Articles

Avira Antivirus - instalação e configuração

Quando você terminar de baixar o Avira, surgirá um ícone deste em sua área de trabalho (caso você...

Avira Antivirus - como usá-lo corretamente

Escaneando seu computador com o Avira AntiVir 10 Para fazer um scan, clique com o botão direito...

Removendo o aviso de Phishing do seu site

Quando a detecção de phishing e malware está ativada, as seguintes mensagens podem ser exibidas...

Removendo o aviso de Phishing do seu site

Quando a detecção de phishing e malware está ativada, as seguintes mensagens podem ser exibidas...

Verificando vulnerabilidades em aplicações Web

Objetivos da análise de vulnerabilidade: Essa documentação visa descrever os tipos de...