Esse final de semana foi uma bosta. Tudo começou sexta-feira a noite, quando um árabe safado decidiu me sacanear. Por algum motivo que nem alá consegue explicar, ele penetrou (ui) no meu servidor e deixou uns scripts maliciosos pra me encher. Tá, o Carlos Cardoso explica pra você o que aconteceu:
O sujeito procura por domínios atrás de diretórios específicos, que
identifiquem que o site está rodando um determinado script com uma
vulnerabilidade conhecida. Pode ser um fórum, pode ser uma galeria de
imagens, pode ser um form mailer.
Encontrando ele usa essa vulnerabilidade para instalar um arquivo. Feito
isso, mesmo que você atualize seus programas, o cavalo de tróia já
estará dentro do servidor.
Esses cavalos de tróia funcionam como gerenciadores. O sujeito pode
subir outros arquivos, editar e apagar tudo que estiver disponível no
servidor, mandar emails, rodar aplicações…
O segredo é descobrir a vulnerabilidade, corrigi-la, e depois varrer o
servidor atrás desses arquivos suspeitos. Se o cara for esperto pode
usar nomes comuns, como o rss.php do wordpress, e você não descobriria
fácil.
É um bom truque olhar a data de atualização dos arquivos, se algum .php
destoar do resto, é suspeito.
Bem, o fêdaputa tinha feito isso mesmo. Um amigo, Matheus, me ajudou a encontrar os arquivos. Se chamavam “.mm.php” e ficavam ocultos. Pra achar tivemos que acessar via SSH. Deletamos e comemoramos. Já era madrugada de sexta pra sábado, então eu fui dormir.
Acordei todo serelepe. Quando acesso o site dou de cara com a famosa página árabe, que falava de alá e o caralho a quatro, com direito a uma música tr00 nerd 666. PORRA! Como que o viado conseguiu entrar no server de novo? Mais tarde fui descobrir que era uma vulnerabilidade no meu finado fórum, que rodava sob o Invision Power Board 2.2.0. Deletei o domínio do fórum, os arquivos e aproveitei pra fazer uma limpa no FTP. Não encontrei nada e com o fórum deletado pensei que tinha acabado a putaria… Engano meu. E foi assim o dia todo: Eu mudava a bosta da index, ele ia lá e mudava de novo, eu mudava a bosta da index, ele ia lá e mudava de novo, ad infinitum…
Hoje de manhã tive a idéia de mudar o usuário do FTP e deixar os arquivos do blog separado dos outros arquivos (Galeria, Sistema de anúncios, etc…). Pelo que parece, funcionou. Quando acabei de arrumar tudo direitinho, vi que a database tava com a codificação toda zuada. Os acentos tinham virado caractéres estranhos, e por mais que eu convertesse, convertesse e convertesse a parada não mudava. Tentei recuperar via backup automatico da DH, mas nem adiantou. Fui obrigado a usar o meu último backup, do dia 10/07. Perdi muitos comentários e alguns posts, mais fazer o que… Com a DB novinha, tive o problema dos acentos, só que agora eles viraram simples “?”. Rodei um script bacaninha e problema resolvido.
Então pessoal, meu fim de semana não foi nem um pouco legal, mas mesmo assim eu aprendi 2 coisas:
» Sempre faça backup. SEMPRE MESMO!
» Toda vez que sair uma atualização dos scripts que eu uso, SEMPRE IREI ATUALIZAR, mesmo que tome 1 hora do meu dia.
Agora que eu já aprendi a lição, vou ir jogar uma sinuca porque ninguém é de ferro… 
Atualização: Descobri como que o cara conseguiu entrar no server. Não foi pelo IPB e sim por uma galeria de downloads, que estava abandonada. Quando uma alma bondosa postou o comentário falando que tinha saído no site tal, eu fui dar uma olhada. Quando vi a screenshot, já saquei que era a galeria mesmo. Dando uma olhada na pasta dela, encontrei mais alguns scriptszinhos:
Vou dar mais uma olhada nas pastas pra ver se encontro algo… 
Felipe DaldeganGoiano, 18 anos e estudante do curso de Ciência da Computação. Trabalha como freelancer e é um macmaníaco de carteirinha. Possuí diversos Mac's, mas ainda se bandia pro lado do Windows com um PC rodando o Windows Vista.
24 de julho de 2007, às 23:40
Ataques a blogs brasileiros estão crescendo muito! O mesmo aconteceu com o Nostalgia Digital, blog meu e de uns amigos, que foi invadido e colocaram um código que causou o uso de 100% do CPU do servidor. Já dá pra imaginar o que aconteceu… Isso mesmo, nosso site foi suspenso ¬¬. Faz quase 1 semana e não descobrimos onde está a falha… Parabéns pela velocidade com que conseguiu corrigir o erro!
Usando
23 de julho de 2007, às 19:13
Nossa
que bosta mesmo
esses fedaputa
é um saco mesmo
mais na boa
acho que esse imprevisto já deve ter passado e vamos que vamos com o Sykey.net novamente
a outra coisa
adorei o site do seu amigo (http://mathe.us/), muito criativo o em breve dele
Usando
23 de julho de 2007, às 8:44
Pow brother que coisa chata heim… Foi mó cabuloso ver o teu site daquele jeito… afff é cruel, mas que bom que resolveu o problema.
Mudando um pouco de assunto, queria te pedir 2 coisas se for possivel de você atender, 3 aliás…
1. Você nunca mais falou dos programas portáteis.
2. Faz um tutorial ensinando como fazer programas portáteis. Tenho 2 tutus aqui só que não funcionam, se quiser lhe envio pra você dar uma olhada.
3. Tem como você atualizar o Gadget da Rádio Blast? Ele parou de funcionar =/
Abraços
Flows
abraços
Usando
23 de julho de 2007, às 0:13
Eu vi isso ai…ahauhauahau. malz pelas risadas, mas a musica era sinistra…ahauhauahau…bom que resolveu
Usando
22 de julho de 2007, às 23:54
GAROTA OU RAPAZ, MENINO OU MENINA, SENHOR OU SENHORA, EU TE AMO!
HAHAHAHAHAHAAHA DESCOBRI COMO QUE O FILHO DA PUTA ENTROU NO SERVER! PRA MIM ERA O IPB! AGORA EU VI QUE O VIADINHO ENTROU PELO SISTEMA DE DOWNLOADS ABANDONADO…
Usando
22 de julho de 2007, às 21:14
Que arabe chato hein. Eu vi hoje de madrugada o site. O ataque tem até registro no Zone-H:
http://www.zone-h.org/index2.php?option=com_mirrorwrp&Itemid=45&id=6477176
Usando