O problema está resolvido. Efetivamente, tal como referi no post anterior, não  existia qualquer vírus no browserd.com mas, o site foi atacado, e à grande.

Queixavam-se algumas pessoas de entrarem no browserd.com e de serem logo “infetadas” com vírus… Não era o que se passava mas ainda assim, percebo que se assustassem.

Para o utilizador menos atento, tinha acabado de apanhar um vírus!

Tentei perceber se havia algum padrão entre os casos que me relatavam e a única coisa em comum era o facto de utilizarem o Internet Explorer. Mas eu também acedi ao browserd.com com o Internet Explorer mais do que uma vez e nunca tinha detetado nada de estranho. Seria a versão do browser?

Experimentei aceder ao site através do computador da Patrícia. Diferenças para os restantes computadores cá da casa: Internet Explorer 7 e Avast Anti-Vírus (nos outros computadores que há por aqui está instalado o Internet Explorer 8 e o Trend Micro Internet Security Pro).

Surpresa minha, eis que vejo o browser ser redirecionado de browserd.com para um endereço estranho e complicado, com uma mensagem em forma de pop-up (Não era. Tratava-se de uma layer bem desenhada sobre um background que simulava uma janela do Windows Explorer) a avisar-me da existência de um vírus no meu computador e a sugerir-me o download imediato de um programa que solucionaria a questão.

Nunca carreguem em nada sem perceber do que se trata. Leiam! É assim que se apanham vírus (também).

Não foi fácil encontrar a solução admito. Após alguma pesquisa pela Internet, comecei a relacionar a situação apresentada com o recente ataque em massa a sites alojados num dos mais famosos serviços de alojamento de sites, o GoDaddy. Infelizmente, não encontrei qualquer registo de casos no meus serviço de alojamento por onde me pudesse guiar. Além disso, todos as descrições técnicas do problema que ia lendo, referiam a existência de um determinado pedaço de código em todos os ficheiros php do site que eu não encontrava (malta dos códigos, base64_decode diz-vos algo?).

Pois na realidade, o ataque de que o browserd.com foi vitima teve um upgrade relativamente às técnicas usadas no ataque o GoDaddy. Ao invés de ser injetado em todos os ficheiros php do site o tal código base64, foi antes feito de alguma forma o upload de um novo ficheiro php para a root do site onde constava o base64 e que por sua vez, inseria uma linha de código nos ficheiros php que obrigava o browser a fazer o redirecionamento para um endereço (welcometotheglobalisorg.com) onde ai sim, redirecionava uma vez mais o browser para outros endereços onde carregava então as tais páginas falsas que se assemelhavam a mensagens de sistema, levando a que utilizadores mais incautos carregassem nos botões de “OK” e infetassem as suas máquinas.

Os hackers entraram no servidor. Agora há que os tirar de lá.

Claro que até chegar a esta conclusão não foi fácil. Eu olhava para o php e não para o código final apresentado no browser. Foi ao fazer view source (no Internet Explorer) que detetei a tal linha no fundo da página, completamente despercebida, quase inocentemente a dizer-me olá…

Solução? Bem, começou por identificar os tais ficheiros php novos. Menos mal. Inteligentemente, em cada instalação de WordPress o ficheiros tinham um nome diferente mas tinham sempre o mesmo tamanho. Apagar os ficheiros era assim mais fácil mas os ficheiros php do site, alterados por este ataque? O que fazer? Abrir cada um individualmente e apagar a tal referência de redirecionamento? Não me parecia razoável. São centenas deles. Em cada instalação…

Felizmente, aquando de um anterior ataque aos servidores da GoDaddy, o site Sucuri tinha disponibilizado um script que, em teoria, removeria o problema de todos os ficheiros. Diziam tratar-se de um script para quem tinha os sites alojados no GoDaddy mas, e vejam o carinho que tenho por vós caros leitores, eu estava por tudo. Não podia deixar estar a coisa como estava. Feito o download e respetivo upload para o site, executado o script e, está resolvido. A referência de redirecionamento desapareceu de vez.

Não vou entrar em mais detalhes, aliás, porque também não sei detalhar o que se terá passado assim com tanta certeza mas, de uma coisa estou certo: Ninguém está livre de que lhe aconteça e o facto de ter os computadores, quer em casa quer no trabalho, com os browsers e anti-vírus atualizados, levava-me a desconhecer que outros, eventualmente menos protegidos, poderiam estar a ter problemas.

Agora a segunda parte da questão: Mudar passwords de tudo e mais alguma coisa, não vá o Diabo lembrar-se…

Nestas coisas das interwebs, nós que cá andamos há já algum tempo, sabemos bem que isso de ter o controlo é um pouco conversa para encher chouriços… Não se controla assim tanto quanto isso e, mesmo aquilo que se controla por vezes, sem se dar por ela, lá nos dá uma ou outra surpresa…

Uma amiga queixava-se ontem à noite no Facebook que tinha apanhado um vírus ao clicar num link para ler o post completo, num daqueles pequenos excertos que a rede Networked Blogs publica no wall automaticamente sempre que um novo post é publicado no blog.

Networked Blogs

Assustei-me pois claro. Era de um link dos meus que ela falava. Um link que tinha um vírus.

De imediato corri tudo quanto era ferramenta online para verificar se existia algum vírus no site. Resultado atrás de resultado, todos me deixavam mais descansado. Limpo. Site sem vírus, sem qualquer problema. Então que raio se estava a passar.

Lembrei-me então que há uns dias atrás, um outro amigo se tinha queixado de algo parecido. Não referia o acesso através do Facebook mas dizia que ao entrar no meu site, que lhe aparecia uma mensagem de alerta, para fazer o download do anti-vírus. Impossível.

Depois de alguma conversa com quem tinha seguido de perto, e solucionado, o problema do computador da minha amiga, a coisa ficou um pouco mais clara. Ela entrou no site e possivelmente apareceu-lhe uma daquelas mensagens de falso anti-vírus que sugere o download imediato de um ficheiro para “limpar o computador”. Um clique é quanto basta. E depois já não há muito a fazer. Computador infetado.

Fake Anti-virus no link do Networked Blogs?

O serviço da Networked Blog publica no Facebook um pequeno excerto do post original publicado no site. Logo abaixo publica um link para o site, com o url completo do mesmo e, um link para o artigo em particular e desta feita, não com o url completo mas sim através de um url alterado e gerado a partir do próprio serviço Networked Blogs, algo do género http://networkedblogs.com/qualquercoisa. Este url deveria apontar diretamente ao post original mas, ao que parece, por vezes passa por outros caminhos antes de lá chegar.

Esta manhã, ao chegar ao trabalho, diz-me um colega que ao clicar no mesmo link que a minha amiga tinha clicado, também lhe apareceu uma mensagem de alerta e a sugerir que fizesse o download de um anti-vírus. Apareceu e desapareceu. Ele estranhou que tal acontecesse no meu site, tentou replicar mas já não conseguiu. Já não apareceu tal mensagem.

Confirma-se. Preocupem-se. Networked Blogs sob suspeita?

Não sei. Tentei esclarecer. Pesquisei um pouco, perguntei por ai. Não tenho de momento tempo para mais mas não arrisco. Fica a nota:

O site browserd.com não tem nem há registo de ter tido qualquer vírus.

E para que não restem dúvidas, mesmo mantendo-me na rede Networked Blogs, até ter o assunto completamente esclarecido, a publicação dos posts do browserd.com no Facebook passa a estar a cargo da aplicação RSS Grafitti.