Qual é a causa comum de downloaders de trojan em servidores linux?

Navegue suas respostas
2

Em vários servidores da web, sou responsável por um vírus javascript, um trojan downloader, de acordo com o antivírus que estou usando. É um javascript minificado que está na parte inferior de todas as páginas solicitadas pelo servidor. Eu não sei qual é a causa. Como posso evitar que isso aconteça novamente?

    
por Valentin Brasso 22.03.2010 / 16:26

6 respostas

1

Bem, saiba como proteger seus servidores (se o servidor foi invadido) ou escrever código de aplicativo seguro (se isso foi injetado por meio do aplicativo, como "injeção de SQL" - talvez você queira pesquisar no Google).

Se estiver usando softweare de terceiros, atualize as versões - talvez alguma peça popular que você usa esteja desatualizada com falhas de segurança conhecidas.

Não há resposta geral. Alguns bots escolheram uma das centenas de possíveis falhas / falhas de segurança e instalaram-se no seu site.

Espero que ninguém te processe;) Especialmente se você não mantiver seus aplicativos.

    
por 22.03.2010 / 16:35
1

Você usa um produto popular que fica comprometido com frequência? Tenho notado que o WordPress é tão grande agora que as pessoas começam a explorar sites poucas horas após a publicação de uma vulnerabilidade.

Como você está usando o Joomla, eu recomendaria inscrever-se no feed RSS de segurança do Joomla e ficar muito atento à atualização do seu software como correções de segurança são liberadas. Se isso não for algo que você tem tempo para fazer, encontre um host que forneça uma oferta de serviços gerenciados onde eles cuidarão disso para você.

    
por 22.03.2010 / 17:51
1

Apenas lançando isso para fora, mas você mencionou que está "na parte inferior de todas as páginas html", isso pode estar relacionado a um serviço de anúncios que está inadvertidamente exibindo um trojan?

    
por 22.03.2010 / 20:57
1

A vulnerabilidade é tão provável estar em plugins Joomla como núcleo Joomla, por isso, certifique-se de mantê-los atualizados também. Qualquer CMS tem vulnerabilidades descobertas de tempos em tempos, mas se você for proativo em manter tudo atualizado e manter o restante do servidor razoavelmente protegido, minimizará os riscos.

O

mod_security pode, até certo ponto, detectar e prevenir exploits contra sites vulneráveis, mas você precisa carregar módulos do Apache e não é t perfeito. Proteger as configurações do Apache e do PHP também ajudará, até certo ponto, mas não evitará ataques de injeção de SQL se você estiver executando código PHP vulnerável.

Você pode (deve) considerar também a varredura de seus sites com mais frequência para javascripts incorporados como este, para que você possa responder mais rapidamente. E possivelmente também procurar ativamente por vulnerabilidades.

    
por 22.03.2010 / 21:21
0

Poderia ser qualquer coisa, desde injeção de SQL a um antigo script CGI de exemplo. Como a TomTom diz, você precisa atualizar, mas encontre o problema e desative-o primeiro, ou você pode arrastar a vulnerabilidade junto com você.

    
por 22.03.2010 / 16:55
0

Lembre-se que o joomla tem addons de gerenciador de arquivos. Se você instalou a Camada FTP, seu nome de usuário / senha FTP para esse site está desobstruído em um arquivo de configuração que pode ser obtido remotamente através de alguns desses addons. Nesse ponto, eles podem entrar com FTP e fazer as modificações. Se o seu nome de usuário FTP que você definiu com a camada FTP puder acessar mais do que apenas o seu site, você também deverá verificar esses sites.

    
por 22.03.2010 / 21:33

Tags

shutdown.exe no Win Server2k3 de 64 bits não pode ser encontrado Como você adiciona um site à Zona Confiável do Internet Explorer por meio do GPO no servidor 2003?