Pular para o conteúdo principal

Fui hackeado! Que emoção!

Dizem que a primeira vez a gente nunca esquece e, no meu caso, é verdade: no ar desde Janeiro de 2011, esse site foi hackeado (ou crackeado) pela primeira (e eu espero que última) vez.


Embora eu já tenha conseguido resolver o problema, avisei a PlugHost, empresa que hospeda essa página, para que eles possam se precaver e auxiliar os outros clientes.


Pelo que apurei, o ataque se deu cerca da 1h 50min de hoje. O autor do ataque foi um grupo chamado THA ou The Hackers Army. O ataque do grupo consistia em inserir um deface que mostrasse uma mensagem de apoio à causa palestina. O texto fazia operação à #OP FREEDOM PALESTINE e deveria ser exibido quando se completassem 64 anos da criação de Israel.


Mas parece que algo deu errado (ou não) pois ao acessar o site, apenas se via a mensagem "Hacked by Hacker". Eu entrei no CPanel e fiquei investigando o que eles fizeram e de onde partiu o ataque. Pelo visto, eles subiram dois arquivos, index.htm e index.html, com a mensagem e ainda alteraram o arquivo index.php com o texto. Eles também alteraram o arquivo header.php do tema com a mensagem e um código malicioso. Também percebi que o nome de usuário e a senha de acesso ao Wordpress foram alterados.


Para resolver o problema, eu excluí os dois arquivos index e substituí os arquivos index.php e header.php adulterados pelos originais do Wordpress e do tema, respectivamente. É claro que isso não resolve o problema pois, agora, eu devo descobrir por onde eles entraram e mitigar quaisquer possibilidades de futuros ataques, se isto estiver ao meu alcance. Também vou dar uma olhadinha no banco de dados para ver se está tudo OK.


Para o pessoal da PlugHost ou os interessados, estou disponibilizando os arquivos do deface aqui. Eles poderão ser úteis para se determinar o modo de ataque e se chegar aos seus autores que, ao que tudo indica, não são brasileiros.


E como eu estou me sentindo? Bem, não estou bravo. É uma sensação estranha, como se você tivesse sido premiado, só que ao contrário. Evidentemente, é uma situação ruim para o webmaster mas valeu a experiência - e do fato de quase ter contribuído para uma causa social.


Comentários

  1. Provavelmente algum plugin desatualizado. (Principalmente de URL's, ou imagens)

    Verifica se não tem nenhum arquivo em uma pasta de imagens com o nome "shell.php", "sys.php", "c99.php" ou coisas assim. Procure o mesmo nos logs do servidor.

    ResponderExcluir

Postar um comentário

Postagens mais visitadas deste blog

Como acessar configurações avançadas no Sagemcom F@st 2704N

NOVO TUTORIAL: GUIA DEFINITIVO DAS CONFIGURAÇÕES AVANÇADAS DO SAGEMCOM F@ST 2704N!
Atualização 23/01/2015: Alguns problemas apontados e descobertos nesse modem:
1. Alguns usuários relatam dificuldade em salvar alterações na configuração ADSL;
2. Não sei como acessar os logs do modem; mesmo habilitando, eles não aparecem;
3. Se você trocar o DNS do modem, ele voltará ao da Oi ao ser reiniciado;
4. Estou enfrentando alguns problemas sérios de lentidão. Não sei se isso é relacionado ao modem ou a algum dispositivo na minha rede interna.
-----
Os modens da marca Sagemcom estão se tornando muito populares no Brasil, não, quiçá, por sua qualidade, mas porque eles são os atuais queridinhos das operadoras: quando você assina um plano ADSL, geralmente a operadora envia um modem wireless para sua casa a fim de que você possa navegar sem precisar ter gastos extras com esse equipamento. É claro que os equipamentos fornecidos pelas operadoras são básicos, mas saciam as necessidades dos usuários comuns - …

O Guia Definitivo das configurações avançadas no Sagemcom F@st 2704N

Há alguns meses, eu contei minha experiência com o Sagemcom F@st 2704N e tenho recebido diversos comentários sobre suas configurações avançadas. Agora que minhas aulas na faculdade estão acabando, resolvi reservar um tempinho para explorar melhor esse modem que, diga-se de passagem, é muito bom.