Publicado em 19 de mai.

Segurança - arquivos 'surgem'

Boa noite. O caso é o seguinte: tenho alguns sites que desenvolvi em PHP, nenhum deles permite upload de algum tipo de arquivo pro servidor. Acontece que eu estava dando uma olhada nos meus arquivos no SFTP, quando começo a me deparar com arquivos PHP que eu não me lembrava de ter uploadeado ou programado.

Achei uns 6 ou 8 arquivos estranhos, dentre eles um arquivo "ini.php" que estava vazio, mais um outro que não lembro o nome vazio também, um chamado "pr.php" (autoria de um tal de bogel) e outro chamado "shell.php" totalmente criptografados (2 comandos php e muitas letras aleatórias) e mais um chamado "icq.php" (autoria de dois tais de icqbomber e c0d3d), este não criptografado. Tinha achado também um "_ajax_func.php" que contém conteúdo não criptografado mas muito curto e um arquivo "sexo.php"... sim, "sexo.php" :ermm: , que estava vazio.

Fiquei curioso e resolvi abrir os arquivos não vazios, eis que vem a baita surpresa. Dois deles ("pr.php" e "shell.php") pediam senhas para autorização, eu simplesmente os deletei. O "icq.php" eu abri e caiu direto num painel de controle do meu próprio FTP, com comandos em alemão e inglês que permitiam o download dos meus arquivos, a remoção deles e outras diversas funções. Minha página estava hospedando um arquivo que nem eu sabia que existia, que eu jamais coloquei no meu site e que permitia qualquer um ter controle total sobre meu conteúdo!

Algo ainda mais estranho é que eu tinha feito backup há 3 dias e os arquivos "icq.php" e "pr.php" não estão no meu computador. Não sei se nesse intervalo de tempo eles se instalaram no meu site ou se algo aconteceu.

Mas estou com o "_ajax_func.php" e com o "shell.php" aqui, caso alguém queira analisar por curiosidade ou qualquer outro motivo, é só pedir.

Peço ajuda aos especialistas: estes arquivos vieram de onde? Pode ter sido do meu próprio computador? Pode ser falhas na segurança do meu site, mesmo que eu não permita upload de arquivo algum nele? O que fazer pra evitar que volte a acontecer?

Muito obrigado,

Renato.

Discussão (3)

Entre ou cadastre-se para participar da discussão

Entrar Criar conta

hinom· 19 de mai.

1. o software FTP que utiliza é original ou crackeado ?

os cracks possuem virus.

cracks para clientes ftp geralmente enviam arquivos de forma oculta, como esses que encontrou.

tb pode ser algum outro virus no seu PC.

2. falha no host

há possibilidade de haver falha de segurança no próprio host de hospedagem.

o host é compartlhado?

faça testes varrendo a árvore de diretórios do servidor.

se conseguir enxergar diretório abaixo do seu nível raíz, e principalmente se conseguir manipular arquivos fora da sua base raíz, então há um problema grave.. o "vírus" pode ter chegado por aí, talvez otro cliente no host esteja mal intencionado ou talvez tb seja uma outra vítima.

há vários outros pontos.. verfique esses 2 primeiramente.. são os mais óbvios

Renato =)· 19 de mai.

Não, o cliente de SFTP que eu uso é gratuito (BitKinex).

O host é compartilhado, e eu consigo ver diretórios abaixo do meu nível raiz e consegui manipular alguns arquivos também, mas acredito que a pasta referente ao meu usuário esteja com o CHMOD correto. Vou verificar isto daqui a pouco.

Pesquisei durante a madrugada e vi em alguns artigos que meus sites mesmo não permitindo uploads cometiam erros de segurança. Já estão devidamente contornados.

EDIT: loguei como outro usuário do host e não consegui acessar minha própria pasta.

hinom· 19 de mai.

é uma falha de segurança do host. o nível é grave.

peça para que corrijam ou troque para um host confiavel... pois mesmo que corrijam, apenas o fato de estar com esse tipo de falha primária já demonstra o nível de qualidade do host.. que é péssimo.

no entanto, não quer dizer que o vírus tenha surgido daí... mas de qualquer forma, avise o host e decida se quer continuar ou mudar para outro.

Quanto ao CHMOD, não é garantia de que está protegido.

O root ou qualquer otro com privilégios acima do seu usuário tera acesso aos seus diretórios

Se o host tem esse tipo de falha básica que permite navegar e manipular arquivos fora da pasta base, então imagine quais outras falhas não deve ter.