Phishing partindo de sua hospedagem


(João Ernani) #1

Ola, alguem poderia me informar mais de como estes ataques são feitos e como se proteger melhor??
Alteraram o arquivo .htaccess, incluiram script na primeira linha de vários arquivos e adicionaram alguns arquivos em determinados diretórios..com nomes session e nomes estranhos.
Como por exemplo..o arquivo model22.php é um arquivo malicioso.
Será que pode ser mesmo via ftp? Acho que não

Recebemos report de Phishing partindo de sua hospedagem.

Foi identificado os seguintes arquivos/diretórios com código malicioso:

./public_html/includes/modulos/fm_paginacao/model22.php

Data de criação do arquivo:

File: `model22.php'
Size: 155178 Blocks: 304 IO Block: 4096 regular file
Device: fd02h/64770d Inode: 8802441 Links: 1
Access: (0644/-rw-r--r--) Uid: ( 568/ wilson) Gid: ( 569/ wilson)
Access: 2015-06-22 19:51:12.000000000 -0300
Modify: 2015-06-22 19:51:12.000000000 -0300
Change: 2015-07-19 22:26:15.482000001 -0300

Logs com requisições maliciosas.

50.63.197.97 - - [30/Nov/2015:09:48:45 -0200] "POST /includes/modulos/fm_paginacao/model22.php HTTP/1.0" 200 452 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US) U2/1.0.0 UCBrowser/9.3.1.344"
50.63.197.101 - - [30/Nov/2015:09:51:45 -0200] "POST /includes/modulos/fm_paginacao/model22.php HTTP/1.0" 200 408 "-" "Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:24.0) Gecko/20100101 Firefox/24.0"
125.212.209.57 - - [30/Nov/2015:09:52:57 -0200] "POST /includes/modulos/fm_paginacao/model22.php HTTP/1.0" 200 580 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:29.0) Gecko/20100101 Firefox/29.0 SeaMonkey/2.26"
184.168.193.75 - - [30/Nov/2015:09:57:04 -0200] "POST /includes/modulos/fm_paginacao/model22.php HTTP/1.0" 200 452 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US) U2/1.0.0 UCBrowser/9.3.1.344"
72.167.190.197 - - [30/Nov/2015:09:59:08 -0200] "POST /includes/modulos/fm_paginacao/model22.php HTTP/1.0" 200 452 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:29.0) Gecko/20100101 Firefox/29.0 SeaMonkey/2.26"
77.120.122.27 - - [30/Nov/2015:10:01:14 -0200] "POST /includes/modulos/fm_paginacao/model22.php HTTP/1.0" 200 264 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US) U2/1.0.0 UCBrowser/9.3.1.344"
116.193.160.29 - - [30/Nov/2015:10:03:21 -0200] "POST /includes/modulos/fm_paginacao/model22.php HTTP/1.0" 200 140 "-" "Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:24.0) Gecko/20100101 Firefox/24.0"
104.236.147.71 - - [30/Nov/2015:09:59:43 -0200] "POST /includes/modulos/fm_paginacao/model22.php HTTP/1.0" 200 348 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:29.0) Gecko/20100101 Firefox/29.0 SeaMonkey/2.26"

Incidentes como este costumam ocorrer quando o computador utilizado para acesso ao FTP/Gerenciador de Arquivos esta infectado por algum vírus ou trojan, ou ainda por vulnerabilidade da aplicação utilizada, o que possibilita a inserção de scripts maliciosos.

Abaixo tem um print de um código malicioso inserido na primeira linha de um arquivo


(Valdeir Santana) #2

Pode ter sido via FTP ou um formulário com opção de Upload.

Dá uma lida nesse site, tem bastante coisa sobre segurança.
https://www.owasp.org/index.php/Main_Page


(Rafael Neri) #3

Eu conheço esse problema porque já passei por isso. Provavelmente sua hospedagem deve estar completamente infectada e mesmo removendo esses arquivos eles sempre reaparecem.

O ideal seria baixar os arquivos, passar um antivírus como o Kaspersky e subir em um novo servidor.

Mesmo assim seria interessante dar um revisada no código tentando fechar possíveis brechas de segurança.


(Daniel Schmitz) #4

lembrando tb que se vc tiver um wordpress/magento/etc desatualizado pode dar problema tb. Já tive uma conta suspensa por causa de magento desatualizado..


(João Ernani) #5

Obrigado a todos pelas respostas


(Rafael Bernard Rodrigues Araújo) #6

Tenho um servidor de hospedagem e acabo vendo isso repetidamente em contas de domínio que possuem wordpress, magento, joomla ou outros CMSs instalados e não atualizados. A não atualização de um tema ou plugin pode também ser a causa.

Isso ocorre porque muitas atualizações contém correções em falhas de segurança no código. Como estes CMSs são muiito visados, há computadores especializados em tentar utilizar esta brecha em instalações destes CMSs para infectá-los e, uma vez invadidos, serem redirecionados ou para invadir outras instalações ou para o envio de spam.

Do lado do servidor, é possível que haja instalado um programa de identificação de comportamento suspeito para que a invasão não cause estragos e possa ser corrigida rapidamente.


(oliver) #7

Você precisa de um provedor de hospedagem que lhe dê uma melhor segurança e monitoramento do servidor. Para o seu aplicativo PHP, eu sugiro que você experimente hospedagem PHP Cloudways (https://www.cloudways.com/en/php-cloud-hosting.php). Usando esta plataforma, você pode iniciar seu aplicativo em servidores gerenciados que são mantidos e gerenciados por eles. Isso significa que eles irão lidar com as coisas do nível do servidor, como patches de segurança, etc. Eles também monitorarão seu servidor para protegê-lo de tentativas de hacking.