Em caso de malware em website…

… verificar todos os directórios para além do htdocs.

Por diversas vezes já fui consultado para remoção de malware em websites e sinceramente nunca me apareceu nada semelhante ao que foi divulgado no blogue Sucuri Security.

Após várias tentativas falhadas de remoção de malware num website de um utilizador, o Sucuri Security conseguiu encontrar o código malicioso num ficheiro PERL armazenado no directório cgi-bin.

É um local não muito comum e com uma taxa de detecção reduzida (pelo menos para o utilizador comum) porque o código é colocado num directório fora do htdocs, num ficheiro php.ini que por sua vez recorre ao parâmetro auto_append_file.

auto_append_file = “/home/user/USER/cgi-bin/security.cgi”

Este parâmetro é utilizado para adicionar código no final de todos os ficheiros script PHP.

Neste caso prático, é chamado um código armazenado no ficheiro security.cgi com conteúdo malicioso como pode verificar na imagem abaixo.

Definitivamente uma boa nota/dica de análise para adicionar a uma checklist quando for necessário fazer alguma remoção de malware num website infectado.

* Imagem retirada do blogue da Sucuri

Achaste interessante? Partilha!
    Analista de segurança web com vários anos de experiência. Fundador do projeto WebSegura.net. Reconhecido publicamente, por divulgação de vulnerabilidades, por empresas como a Google, Adobe, eBay, Microsoft, Yahoo, Panda Security, AVG, Kaspersky, McAfee, Hootsuite e outros. Colabora regularmente com a comunicação social em temas relacionados com a segurança de informação.

    Que tal participar com o seu comentário?