Invasão de FTP para o uso de phishing

[marcosfj1]

Galera acabo de receber um aviso da localweb falando q houve uma denuncia do site que eu adiministro que esta sendo usado para phishing atraves de msg de email, então eles recomendarao que fosse olhada o FTP para ver se tinha alguma pasta diferente.

Bem eu fiz isso e nada, esta tudo certo como sempre esteve, o estranho é q a denuncia foi feita no dia 11 e o site blindado fez uma varredura no dia 17 e mostrou q não havia mais falhas, pois o outro programador já havia corrigido todas

Mas o q me mata é eles falarem que tem algo no FTP e eu não conseguir ver....existe possibilidade de estar algo oculto...ou ao invez de criarem uma pasta a pessoa q invadiu pegou um arquivo meu já existente e modificou ele para uso proprio?

não entendo muito disso qualquer explicação vai ser boa

valeu

[Jefferson Oliveira]

Já tive um problema parecido, mais não comigo, mais na agencia onde trabalhei, isso ai é por causa de permissões de pasta, verifique pastas com permissões 777.

Não sei se esse é seu caso, mais meu problema foi na locaweb mesmo.

Editado Dezembro 27, 2010 por Jefferson Oliveira

[marcosfj1]

Cara então a um tempo atras uns 3 meses invadiram sim o FTP e tinha uma pasta la.....as pastas antes estavam com permissoes 777, mas depois disso todas foram mudadas para 755, mas mesmo assim olhei em todas pra garantir....e nada :(

Fora q a locaweb fica culpando e ameacando tirar do ar o site, caso na seja resolvido....mas como resolver algo q não vejo muito foda

[Jefferson Oliveira]

Poder ser que o virus já esteja na sua hospedagem, entende? Tive um problema que sempre eu apagava uma pasta e sempre elas apareciam novamente, então tenta achar arquivos esquisito, qualquer que seja. Isso resolveu o problema da agência.

[marcosfj1]

Poder ser que o virus já esteja na sua hospedagem, entende? Tive um problema que sempre eu apagava uma pasta e sempre elas apareciam novamente, então tenta achar arquivos esquisito, qualquer que seja. Isso resolveu o problema da agência.

Como assim já estar na minha hospedagem??

Tipo se eu to procurando no FTP e não to achando ele não esta la....ou quer dizer q possa estar la no meu servidor ClOUD que tem na locaweb? porque se for ai não tem como eu ver certo?

Realmente não entendo muito disso hehe

[Jefferson Oliveira]

Cara eu vasculhei, vasculhei, vasculhei, até encontrar um arquivo em php que achei suspeito, apaguei ele e resolveu, também não entendo muito, mais é uma experiência que estou passando pra você, pode ser que não seja o seu caso, mais qualquer ajuda é bem vinda. :)

[rickayron]

Cara eu vasculhei, vasculhei, vasculhei, até encontrar um arquivo em php que achei suspeito, apaguei ele e resolveu, também não entendo muito, mais é uma experiência que estou passando pra você, pode ser que não seja o seu caso, mais qualquer ajuda é bem vinda. :)

Apague tudo que está lá e faça a restauração dos arquivos nativos, aqueles que foram instalados no inicio do site, provalmente existe um backdoor no seus aquivos, mesmo com todas as falhas corrigidas o seu sistema possui uma porta aberta, passe um scan no seu site para ver as portas que estão sendo utilizadas e as portas que estão abertas.

até mais

[Stoma]

Verifique os arquivos e pastas que foram alterados da data citada em diante, se não tiver nada que não deveria estar nos arquivos então é porque não tem nada...