Todos os posts tagados cgi-bin

Em caso de malware em website…

… verificar todos os directórios para além do htdocs.

Por diversas vezes já fui consultado para remoção de malware em websites e sinceramente nunca me apareceu nada semelhante ao que foi divulgado no blogue Sucuri Security.

Após várias tentativas falhadas de remoção de malware num website de um utilizador, o Sucuri Security conseguiu encontrar o código malicioso num ficheiro PERL armazenado no directório cgi-bin.

É um local não muito comum e com uma taxa de detecção reduzida (pelo menos para o utilizador comum) porque o código é colocado num directório fora do htdocs, num ficheiro php.ini que por sua vez recorre ao parâmetro auto_append_file.

auto_append_file = “/home/user/USER/cgi-bin/security.cgi”

Este parâmetro é utilizado para adicionar código no final de todos os ficheiros script PHP.

Neste caso prático, é chamado um código armazenado no ficheiro security.cgi com conteúdo malicioso como pode verificar na imagem abaixo.

Definitivamente uma boa nota/dica de análise para adicionar a uma checklist quando for necessário fazer alguma remoção de malware num website infectado.

* Imagem retirada do blogue da Sucuri