Recentemente, foi divulgada uma vulnerabilidade [BID] na plataforma de anúncios OpenX e que foi usada para distribuição de Malware, infectando milhares de computadores, além de causar o incoveniente da tela vermelha da morte ao acessar o site (FF/Chrome) ou do Google taxar seu site com os dizeres nada agradáveis “Este site pode danificar seu computador“. Ajudamos uma empresa na limpeza desse malware e estamos divulgando o procedimento que utilizamos. Deve ajudar muita gente 🙂

1) Faça o backup da base de dados e do diretório do OpenX

2) Limpe sua base dados: Todas as tabelas devem ser avaliadas, principalmente as colunas “append” e “prepend” das tabelas “Zones” e “banners”, a tabela “users” e a tabela “audit”. No caso em que avaliamos, essas tabelas continham registros e informações criadas pelo Malware, além deste ter criado duas outras tabelas “z_5a9ae4abf5eb2cfc” e “z_cba312ca3e03a755”.

SELECT bannerid, append, prepend FROM banners WHERE append != '' OR prepend != '';
SELECT zoneid, append, prepend FROM zones WHERE append != '' OR prepend != '';

Verifique a tabela de usuários por outros registros não identificados e remova-os:

SELECT u.user_id, u.contact_name, u.email_address, u.username FROM users AS u, account_user_assoc AS aua WHERE u.user_id=aua.user_id AND aua.account_id = (SELECT value FROM application_variable WHERE name='admin_account_id');

Recomenda-se fazer um dump da base de dados e usar o grep para buscar registros que contenham o domínio origem do malware. Para identificar qual o domínio de origem, verifique o código fonte da página carregada no navegador ou busque pelos domínios conhecidos.

#mysqldump -u root -p Base_OpenX > dumpopenx.sql
#grep dominio.com dumpopenx.sql > saida1.txt

Substitua dominio.com pelos possíveis domínios de distribuição de Malware: blamesslek.com, sircic.com, sirjm.com, asirq.com, cnjug.com, blamesllek.com, bikleman.com, oplayerst.com, kovertums.com, pouiverton.com, frentomst.com, quintivolt.com, opperlant.com, priztersmon.com, polotren.com, juitwell.com, blivvsen.com, biltermos.com, livertip.com, voxinghelt.com, helstrijt.com, binreskolt.com, jewertlins.com, pinterrot.com, voxinghlet.com, noixols.com, kolinrt.com, pceriozc.com, ziniosca.com, serwinlk.com, plizzerc.com, qerwill.com, oltinder.com, pllistrev.com, nowelrsa.com, volintrex.com, esitolvarx.com, xezolpent.com, vionterxz.com, volinsat.com, opletrin.com, opertyvaz.com, lakeltis.com, xepzart.com

3) Atualize a versão do OpenX: faça o download aqui e siga estes procedimentos para atualização da versão.

4) Limpe o cache do Openx: sem medo de ser feliz, execute o comando:

#rm -rf /caminho/para/openx/var/cache/*

5) Configure seu OpenX de forma segura: esse ítem é alteranativo, mas recomendamos:

• Remova os arquivos: /caminho/para/openx/www/admin/install.php e install-plugins.php
• Remova o arquivo: /caminho/para/openx/libs/open-flash-chart/php-ofc-library/ofc_upload_image.php
• Restrinja acesso ao  diretório admin do OpenX no Apache: http://forum.openx.org/index.php?showtopic=503453491&st=15&p=205811&#entry205811
• Mantenha-se alerta para novas atualizações, assine o boletim da OpenX: alerts@openx.org

6) Peça revisão do seu site pelo site de Ferramentas Webmaster do Google.

Agora, esbarramos com outras situações em que o malware codificava os domínios e código malicioso em Base64 e o processo de limpeza do malware foi um pouco mais difícil. Usando o grep, busque no arquivo de dump e no diretório de páginas do openx a string “base64_decode”.

Precisando de alguma ajuda, entre em contato.