Segurança Hospedagem Linux - Iframes / JavaScript / .htaccess

De Wiki Locaweb
Ir para: navegação, pesquisa

Essa Wiki visa mostrar brevemente como identificar, entender e prevenir problemas que envolvam a segurança de seu Site em Plataforma Linux.
Caso você não seja o Desenvolvedor do Site, aconselhamos repassar essa Wiki ao mesmo.
Como parte de seu conteúdo mostra uma linguagem técnica do mundo Unix-Like, seu desenvolvedor terá maior facilidade em entender os termos utilizados.



Ao notar o comportamento estranho do Site, alarmes do navegador ou Anti-Virus informando que não é seguro, provavelmente esse possa ter sido infectado por alguma técnica que visa explorar brechas na programação utilizando recursos como Iframes, JavaScript ou arquivos ocultos .htaccess .

Também podem ocorrer casos em que o acesso ao FTP da Hospedagem encontra-se comprometido pois a máquina que está utilizando este recurso está infectada. Detalharemos a seguir como identificar, seu funcionamento e prevenção.

Como Identificar


1 - A Locaweb periodicamente faz a varredura de suas hospedagens procurando por arquivos potencialmente maliciosos ou que estejam fazendo algum tipo de redirecionamento para servidores que os contenham. Sempre que identificado um problema você receberá um chamado de Aviso comunicando a identificação do problema e algumas ações a serem feitas.

2 - Mesmo não recebendo tal chamado, ninguém melhor do que o cliente ou desenvolvedor para identificar o comportamento inadequado de seu Website. A qualquer momento que identificá-lo, você tem em mãos os Logs de acesso a sua hospedagem para analisar uma potencial invasão a sua área.

3 - Tenha sempre um ótimo Anti-Vírus instalado em sua máquina, mantendo-o constantemente atualizado. Utilize navegadores atualizados que também façam verificações em base de dados antes de permitir o acesso a um site que possa estar infectado. Um bem exemplo seria os navegadores Internet Explorer e Firefox, conforme segue imagem:

Virusie8.png
IE: Site potencialmente Infectado com algum arquivo malicioso ou fazendo redirecionamento para vírus

Firefoxvirus.jpg
Firefox: Site potencialmente Infectado com algum arquivo malicioso ou fazendo redirecionamento para vírus

4 - Verifique no diretório raiz da sua área de hospedagem se existe um arquivo chamado malware-DATA.log, este é o arquivo gerado por nosso sistema de anti-vírus.
Caso seja positivo, verifique a existência dos tipos de virus detectados e de suas variantes como IFRAME, TROJAN.JS, WORM.REDIRECT.
Para verificar o conteúdo deste arquivo, faça o acesso ao SSH. Exemplo acessando o arquivo:

$ cd ~
$ cat malware-20090717.log
/home/raylinux1/index.php_teste: Exploit.HTML.IFrame-6 FOUND


Outros exemplos de tipos de vírus comuns de Iframes. Trojans.JS e sua variantes:

Exploit.HTML.IFrame-6 / Exploit.HTML.IFrameBOF-7 / Exploit.IFrame.Gen

HTML.Agent-19 / HTML.IFrame-10 / HTML.Iframe-20 / HTML.Iframe-22 / HTML.IFrame-27 HTML.Iframe-30 / HTML.Iframe-32 / HTMl.IFrame-33 / HTML.Iframe-5 / HTML.Iframe-6
HTML.JScript-1
Iframe.China.1.UNOFFICIAL / Iframe.China.2.UNOFFICIAL / Iframe.China.3.UNOFFICIAL / Iframe.China.4.UNOFFICIAL / Iframe.China.5.UNOFFICIAL / Iframe.China.All.MAY.BE.FALSE.UNOFFICIAL
JS.Agent-48 / JS.Agent-55 / JS.Downloader-41 / JS.Downloader-60 / JS.Downloader-61 JS.Dropper-11 / JS.Inor-1 / JS.Redirect-2
Trojan.Clicker-3089 / Trojan.Clicker-3670 / Trojan.Downloader-659 / Trojan.Downloader.JS-12 Trojan.Downloader.JS-14 / Trojan.Downloader.JS.Twetti / Trojan.Iframe-14 Trojan.Iframe-3 / Trojan.Iframe-6 / Trojan.Iframe-7 / Trojan.Iframe-9
Trojan.JS-1 / Trojan.JS-17 / Trojan.JS-19 / Trojan.JS-21 / Trojan.JS-22 / Trojan.JS-29 Trojan.JS-30 / Trojan.JS-35 / Trojan.JS-36 / Trojan.JS-37 / Trojan.JS-39
Trojan.JS.Gumblar / Trojan.JS.Gumblar-2 / Trojan.JS.Gumblar-3 / Trojan.JS.Gumblar-4 Trojan.JS.Gumblar-5 / Trojan.JS.Gumblar-7 / Trojan.JS.Gumblar-8
Trojan.JS.Redirector / Trojan.JS.Redirector-2 / Worm.Redirect-1



Entendendo como ocorre


1- Qualquer pessoa que não está devidamente protegida com um bom Anti-Vírus acessa o site infectado e acaba fazendo o download do arquivo malicioso a seu computador.
Ou algum usuário/desenvolvedor de posse do login/senha do FTP da hospedagem, faz seu acesso e na manipulação dos arquivos infectados de sua área, também acaba baixando este para sua máquina.

O vírus é instalado automaticamente no computador destes usuários, que roubam o login/senha e envia para o CRACKER.

2 - Este CRACKER, tem um sistema automático que utiliza a conta roubada para fazer o download de toda área de hospedagem do usuário e altera as paginas principais adicionando vírus
ou apontamento para outros sites, com linhas de javascript, iframe ou arquivo .htaccess. Depois disto, faz o upload novamente para o servidor com estas alterações, fazendo
com que o site do usuário fique infectado, e infectando todas as pessoas que o acessam.

Como Removê-los



1- Tenha um bom antivírus atualizado e que não seja pirateado, pois o mesmo costuma vir com malwares embutidos que infectam a máquina, além de deixar de alarmar os vírus.

2- Passe o antivírus em todos os computadores dos usuários/desenvolvedores que tenham acesso ao site e remova os malwares.

3- Baixe todos os arquivos de sua área de hospedagem e passe o antivírus para removê-los.

4- Tenha em mãos o backup, e verifique se o mesmo também já não está infectado, ou poderá remover manualmente as linhas injetadas no código, porém este último dará muito mais trabalho.

5- Altere a senha do PAINEL e FTP.

6- Suba o site novamente limpo sem vírus, e veja na próxima seção como se proteger.

Como se proteger



1- Não acesse de locais públicos ou máquinas compartilhadas que você não tenha conhecimento do que possa ter instalado.

2- Tenha um bom Antivírus atualizado e que não seja pirateado, pois o mesmo costuma vir com malwares embutidos que infectam a máquina, além de deixar de alarmar os vírus. Faça a checagem periodicamente nos computadores que tenham acesso a área de hospedagem.

3- De imediato, remova todas as entradas gravadas no seu cliente FTP de login/senha/host, e não armazene mais estes tipo de informações, pois eles costumam armazenar estas informações em texto puro.

4- Utilize somente SCP com chave trocada e passprase, pois é mais seguro os dados trafegam criptografados, além do cracker ter que roubar sua chave, terá que descobrir a passprase para que ele possa ter acesso novamente. Altere novamente sua senha de FTP/SSH, para que tenha certeza que todos os passos foram seguidos corretamente e que o CRACKER não possua mais esta informação.

IMPORTANTE:Deixamos apenas algumas recomendações neste documento pois este assunto é bastante complexo e extenso. Pedimos que tente sempre se manter atualizado sobre questões
de segurança que rodam pela Internet e regularmente acesse sites/fóruns relacionados a estes assuntos, para saber se alguma nova técnica de invasão via programação ou utilização de recursos como FTP está sendo usada.

A Locaweb trabalha com tecnologias avançadas investindo pesado em recursos de segurança para seus servidores. Tudo que foi abordado aqui está relacionado a nível da home de cada usuário e não do Sistema Operacional das máquinas.

Veja também