O problema está resolvido. Efetivamente, tal como referi no post anterior, não  existia qualquer vírus no browserd.com mas, o site foi atacado, e à grande.

Queixavam-se algumas pessoas de entrarem no browserd.com e de serem logo “infetadas” com vírus… Não era o que se passava mas ainda assim, percebo que se assustassem.

Para o utilizador menos atento, tinha acabado de apanhar um vírus!

Tentei perceber se havia algum padrão entre os casos que me relatavam e a única coisa em comum era o facto de utilizarem o Internet Explorer. Mas eu também acedi ao browserd.com com o Internet Explorer mais do que uma vez e nunca tinha detetado nada de estranho. Seria a versão do browser?

Experimentei aceder ao site através do computador da Patrícia. Diferenças para os restantes computadores cá da casa: Internet Explorer 7 e Avast Anti-Vírus (nos outros computadores que há por aqui está instalado o Internet Explorer 8 e o Trend Micro Internet Security Pro).

Surpresa minha, eis que vejo o browser ser redirecionado de browserd.com para um endereço estranho e complicado, com uma mensagem em forma de pop-up (Não era. Tratava-se de uma layer bem desenhada sobre um background que simulava uma janela do Windows Explorer) a avisar-me da existência de um vírus no meu computador e a sugerir-me o download imediato de um programa que solucionaria a questão.

Nunca carreguem em nada sem perceber do que se trata. Leiam! É assim que se apanham vírus (também).

Não foi fácil encontrar a solução admito. Após alguma pesquisa pela Internet, comecei a relacionar a situação apresentada com o recente ataque em massa a sites alojados num dos mais famosos serviços de alojamento de sites, o GoDaddy. Infelizmente, não encontrei qualquer registo de casos no meus serviço de alojamento por onde me pudesse guiar. Além disso, todos as descrições técnicas do problema que ia lendo, referiam a existência de um determinado pedaço de código em todos os ficheiros php do site que eu não encontrava (malta dos códigos, base64_decode diz-vos algo?).

Pois na realidade, o ataque de que o browserd.com foi vitima teve um upgrade relativamente às técnicas usadas no ataque o GoDaddy. Ao invés de ser injetado em todos os ficheiros php do site o tal código base64, foi antes feito de alguma forma o upload de um novo ficheiro php para a root do site onde constava o base64 e que por sua vez, inseria uma linha de código nos ficheiros php que obrigava o browser a fazer o redirecionamento para um endereço (welcometotheglobalisorg.com) onde ai sim, redirecionava uma vez mais o browser para outros endereços onde carregava então as tais páginas falsas que se assemelhavam a mensagens de sistema, levando a que utilizadores mais incautos carregassem nos botões de “OK” e infetassem as suas máquinas.

Os hackers entraram no servidor. Agora há que os tirar de lá.

Claro que até chegar a esta conclusão não foi fácil. Eu olhava para o php e não para o código final apresentado no browser. Foi ao fazer view source (no Internet Explorer) que detetei a tal linha no fundo da página, completamente despercebida, quase inocentemente a dizer-me olá…

Solução? Bem, começou por identificar os tais ficheiros php novos. Menos mal. Inteligentemente, em cada instalação de WordPress o ficheiros tinham um nome diferente mas tinham sempre o mesmo tamanho. Apagar os ficheiros era assim mais fácil mas os ficheiros php do site, alterados por este ataque? O que fazer? Abrir cada um individualmente e apagar a tal referência de redirecionamento? Não me parecia razoável. São centenas deles. Em cada instalação…

Felizmente, aquando de um anterior ataque aos servidores da GoDaddy, o site Sucuri tinha disponibilizado um script que, em teoria, removeria o problema de todos os ficheiros. Diziam tratar-se de um script para quem tinha os sites alojados no GoDaddy mas, e vejam o carinho que tenho por vós caros leitores, eu estava por tudo. Não podia deixar estar a coisa como estava. Feito o download e respetivo upload para o site, executado o script e, está resolvido. A referência de redirecionamento desapareceu de vez.

Não vou entrar em mais detalhes, aliás, porque também não sei detalhar o que se terá passado assim com tanta certeza mas, de uma coisa estou certo: Ninguém está livre de que lhe aconteça e o facto de ter os computadores, quer em casa quer no trabalho, com os browsers e anti-vírus atualizados, levava-me a desconhecer que outros, eventualmente menos protegidos, poderiam estar a ter problemas.

Agora a segunda parte da questão: Mudar passwords de tudo e mais alguma coisa, não vá o Diabo lembrar-se…

4 thoughts on “O site foi atacado. E agora?

  1. Eu tenho vindo aqui regularmente e não vi nada, mas eu uso o firefox e tenho um bloqueador de pop-ups. De qualquer modo, ainda bem que o problema já está resolvido!

  2. Apophis, só afetava mesmo quem usa o Internet Explorer e ao que parece, versões abaixo do 8…

    Toze, efetivamente ainda não tinha aplicado o ultimo update… Talvez fosse por ai…

    Teutónio, ao que me parece era uma evolução desse ataque. Também pensei no .htaccess mas esse estava igual… Menos mal. O dano podia ser muito maior…

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

*