Olá a todos!
Nos últimos dias percebemos uma quantidade considerável de chamados relacionados a alerta de malware em alguns websites e analisando o caso, não observamos evidências de ataques aos websites infectados e identificamos particularidades similares em todos os casos, estes estão utilizando o CMS Joomla e a popular extensão Autson Skitter Slideshow.
Nós buscamos uma cópia deste plugin para realizar uma análise e verificamos que esta extensão não está mais publicada no diretório de extensões do Joomla por estar sob investigação como é possível observar nesta imagem.
Observamos um website comprometido e não localizamos nenhuma possível backdoor na extensão em questão, entretanto, o arquivo infectado geralmente é o mesmo e tem a mesma data de alteração dos demais arquivos da extensão, o que nos leva a crer que o código malicioso tenha sido injetado ainda nos repositórios da extensão ou seus próprios desenvolvedores e ao instalá-la, o administrador esteja infectando o seu próprio website de forma despercebida, o fato da extensão ter sido desativada do diretório de downloads do Joomla amplia ainda mais a crença nesta hipótese.
Se você utiliza o CMS Joomla e a extensão Autson Skitter Slideshow, poderá verificar se o seu website está infectado analisando o arquivo modules/mod_AutsonSlideShow/tmpl/default.php buscando por uma função chamada dnnViewState() escrita em JavaScript. Os clientes que possuem acesso SSH podem executar o seguinte comando para realizar esta análise:
[code]find modules/mod_AutsonSlideShow -exec grep -i dnnviewstate {} -ls ;[/code]
O comando deve ser executado no diretório de instalação do seu Joomla.
Se você localizar esta função, recomendamos que a remova imediatamente ou desinstale a extensão em questão o mais rapidamente possível uma vez que este poderá estar colocando em risco a segurança dos seus visitantes.
Temos por política interna manter nossos servidores sempre atualizados com os últimos patches/releases de segurança e ressaltamos a importância de manter suas aplicações sempre atualizadas em sua última versão estável disponível, além de sempre buscar instalar extensões e componentes a partir dos repositórios oficiais e sempre que possível, buscar verificar se o pacote instalado não foi alterado, o que pode ser feito por meio de comparação de hashes.
Este caso em específico chama a atenção devido ao fato desta popular extensão, possivelmente comprometida, ter estado disponível no próprio diretório de extensões do Joomla. Nós atualizaremos este post na medida em que conseguirmos mais informações sobre o caso.
Estamos disponíveis para sanar quaisquer dúvidas sobre o caso em nossos canais de atendimento.
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Donec non dui vel metus vestibulum bibendum. Maecenas ullamcorper eget nulla ac dapibus. Quisque pharetra ligula purus, a suscipit ex placerat dictum. Mauris non nulla sit amet ante facilisis pellentesque sed sed dui. Cras sagittis tincidunt felis, at ultrices justo dapibus vitae. Aliquam aliquam sodales metus.
Confira todos os posts
Você já deve ter percebido que a HostDime vive falando sobre nuvem, e não é só porque [...]
Ler mais
Cada vez mais tecnológica, a sociedade tem caminhado para gerações conectadas e [...]
Ler mais4007 2085
Capitais e regiões metropolitanas
0800 000 2085
Demais regiões
(+1) 407 756 1126
Chamadas internacionais
O que as últimas notícias do mercado financeiro, frases motivacionais, novas tecnologias e assuntos variados têm em comum? Os insights que compartilhamos em nossa news mensal, claro!
Receba esse material exclusivo em sua caixa de entrada:
