Chrome Dev Summit 2018 is happening now and streaming live on YouTube. Watch now.

Invasão com malware

Esta etapa refere-se a sites invadidos para distribuir malware, muitas vezes com o aviso "Este site pode danificar seu computador" exibido nos resultados da pesquisa. É uma das etapas mais longas no processo de recuperação. Nesta etapa, você compilará uma lista de arquivos danificados em seu site. Você usará essa lista em uma etapa posterior, Fazer a limpeza e a manutenção de seu site.

Se o site tiver sido afetado por spam, não malware, e exibir o aviso "Este site pode ter sido invadido" nos resultados da pesquisa, consulte a página sobre como avaliar danos de spam (invasão por spam).

Será necessário:

  • Acesso de administrador shell/de terminal aos servidores de seu site: Web, banco de dados, arquivos.
  • Conhecimento de comandos shell/de terminal.
  • Capacidade de executar consultas SQL no banco de dados.

O que você fará:

Preparação

  1. Evite usar um navegador para visualizar páginas em seu site. Como muitas vezes o malware se espalha explorando vulnerabilidades do navegador, abrir uma página infectada com malware em um navegador pode danificar seu computador.
  2. Crie um documento para registrar os resultados desta etapa. O documento incluirá (no mínimo) o nome ou o local de cada arquivo danificado e observações sobre como ele foi infectado. Isso servirá como base para a fazer a limpeza e a manutenção do seu site.
  3. Confira os recursos adicionais, se necessário:
    • Assista o vídeo acima para ver como o malware funciona e como é possível manter-se em segurança durante a investigação em busca de malware.
    • Consulte a página de diagnóstico de Navegação segura do Google para ver informações públicas sobre a possibilidade de um site causar danos aos usuários. É possível ver o status de listagem do seu site em um URL semelhante ao seguinte:
      http://www.google.com/safebrowsing/diagnostic?site=<your-site>
      Por exemplo: http://www.google.com/safebrowsing/diagnostic?site=webmastercentralblog.blogspot.com
  4. Use cURL ou Wget para fazer solicitações HTTP (por exemplo, para buscar uma página).

    Estas ferramentas disponíveis gratuitamente são úteis para diagnosticar redirecionamentos e têm a flexibilidade de incluir informações do referenciador ou de user agent. Incluir um referenciador ou user agent específico é útil para imitar os hackers, pois eles só podem veicular conteúdo malicioso para usuários com user agents ou referenciadores específicos, para atingir mais "pessoas reais" e também podem evitar a detecção por parte dos proprietários do site e de scanners de malware.

    $curl -v --referer "http://www.google.com" <your-url>

Estudo dos tipos específicos de infecção de malware em seu site

  1. Selecione seu site verificado no Search Console e clique em Problemas de segurança.
  2. Investigue todas as categorias de malware listadas nos problemas de segurança do seu site, como configuração do servidor e injeção de SQL. Cliquem em "Exibir detalhes" para ver informações adicionais sobre os URLs infectados de cada categoria. Os detalhes podem incluir exemplos de snippets de código injetados pelo hacker. Para cada categoria, copie para o documento de investigação:
    • Todos os URLs de exemplo infectados listados na categoria de malware em Problemas de segurança.
    • Todas as páginas adicionais danificadas que forem descobertas durante sua investigação.
    • Resultados detalhados sobre os URLs infectados, como o tipo de dano causado.
  3. Abaixo você encontra informações para ajudar a investigar cada tipo de malware:

Avaliação de danos ao sistema de arquivos

Em seguida, será preciso fazer login no sistema de arquivos do site para mais uma investigação aprofundada. Esteja ciente de que, entre outras coisas, o hacker pode ter modificado páginas ou registros de banco de dados existentes, criado novas páginas com spam, gravado funções para a exibição de spam em páginas limpas ou deixado "backdoors", que permitirão uma nova entrada do hacker no site ou que continuarão a execução de tarefas mal-intencionadas caso não sejam eliminados.

Caso seu site esteja on-line, deixe-o novamente como off-line nesta etapa.

  1. Se você tem um bom backup do site, identifique os arquivos que foram criados ou modificados desde o backup. Adicione esses arquivos à sua lista, pois você provavelmente desejará investigar mais. Em sistemas baseados em Unix, use um comando como:
    $ diff -qr <current-directory> <backup-directory>
    Por exemplo:
    $ diff -qr www/ backups/full-backup-20120124/
    além disso,
    $ md5sum <current-page> <backup-page>
    Por exemplo:
    $ md5sum www/page.html backups/full-backup-20120124/page.html
  2. Verifique se os registros de servidor, acesso e erros apresentam atividades suspeitas, como tentativas de login com falha, histórico de comandos (especialmente como raiz), criação de contas de usuários desconhecidos e assim por diante. Esteja ciente de que o hacker pode ter alterado esses registros de acordo com os propósitos dele. Caso seja útil, veja o vídeo com exemplos para identificar a vulnerabilidade.
  3. Confira arquivos de configuração, como .htaccess e httpd.conf, em busca de redirecionamentos. Os hackers frequentemente criam redirecionamentos condicionais com base no user agent, na hora do dia ou no referenciador.
  4. Verifique se há pastas e permissões de arquivo muito brandas. Os hackers alteram as permissões porque, quando as permissões muito brandas permanecem despercebidas pelo proprietário do site, o hacker tem uma maneira de entrar no site novamente. Arquivos maiores que 644 (rw-r--r--) e pastas superiores a 755 (rwxr-xr-x) podem causar problemas de segurança. Certifique-se de que todas as permissões mais abrangentes são realmente necessárias. Em sistemas Unix, experimente:
    $ find <your-dir> -type d -not -perm 755 -exec ls -ld {} \;
    $ find <your-dir> -type f -not -perm 644 -exec ls -la {} \;
  5. Se você tiver um banco de dados, investigue registro por registro usando uma ferramenta como phpMyAdmin.

Próxima etapa

A próxima etapa do processo é identificar a vulnerabilidade.