Linkedin-in Youtube Twitter Facebook-f Instagram
  • +55 (11) 3255 -3926
  • contato@ibliss.com.br
IBLISS – Consultoria em Segurança Cibernética
  • Home
  • A IBLISS
  • Nossos Serviços
    • Consultoria em Cibersegurança
    • Governança, Risco e Compliance (GRC)
    • Serviços Gerenciados (MSS)
    • Teste de Intrusão
    • Conscientização e Cultura
    • AppSec & DevSecOps
  • Blog
  • Oportunidades
  • Contato
IBLISS – Consultoria em Segurança Cibernética
  • A IBLISS
    • Nossa Equipe
    • Responsabilidade Social
  • Blog Minuto Proteção
  • Contato
  • Home
  • Nosso Propósito
  • Nossos Serviços
    • AppSec & DevSecOps
      • Análise SAST e DAST
      • Revisão de Segurança (ASVS)
    • Conscientização e Cultura
    • Consultoria em Cibersegurança
      • Teste de Intrusão
    • Governança, Risco e Compliance (GRC)
    • Serviços Gerenciados (MSS)
  • Parceiros
  • Política de Alto Nível
  • Política de Privacidade

Blog Minuto Proteção

  • Home
  • Blog Minuto Proteção
  • Segurança Digital
  • Remova o Malware de seu Openx
Segurança Digital
_ 6 de outubro de 2010

Remova o Malware de seu Openx

Recentemente, foi divulgada uma vulnerabilidade [BID] na plataforma de anúncios OpenX e que foi usada para distribuição de Malware, infectando milhares de computadores, além de causar o incoveniente da tela vermelha da morte ao acessar o site (FF/Chrome) ou do Google taxar seu site com os dizeres nada agradáveis “Este site pode danificar seu computador“. Ajudamos uma empresa na limpeza desse malware e estamos divulgando o procedimento que utilizamos. Deve ajudar muita gente 🙂

1) Faça o backup da base de dados e do diretório do OpenX

2) Limpe sua base dados: Todas as tabelas devem ser avaliadas, principalmente as colunas “append” e “prepend” das tabelas “Zones” e “banners”, a tabela “users” e a tabela “audit”. No caso em que avaliamos, essas tabelas continham registros e informações criadas pelo Malware, além deste ter criado duas outras tabelas “z_5a9ae4abf5eb2cfc” e “z_cba312ca3e03a755”.

SELECT bannerid, append, prepend FROM banners WHERE append != '' OR prepend != '';
SELECT zoneid, append, prepend FROM zones WHERE append != '' OR prepend != '';

Verifique a tabela de usuários por outros registros não identificados e remova-os:

SELECT u.user_id, u.contact_name, u.email_address, u.username FROM users AS u, account_user_assoc AS aua WHERE u.user_id=aua.user_id AND aua.account_id = (SELECT value FROM application_variable WHERE name='admin_account_id');

Recomenda-se fazer um dump da base de dados e usar o grep para buscar registros que contenham o domínio origem do malware. Para identificar qual o domínio de origem, verifique o código fonte da página carregada no navegador ou busque pelos domínios conhecidos.

#mysqldump -u root -p Base_OpenX > dumpopenx.sql
#grep dominio.com dumpopenx.sql > saida1.txt

Substitua dominio.com pelos possíveis domínios de distribuição de Malware: blamesslek.com, sircic.com, sirjm.com, asirq.com, cnjug.com, blamesllek.com, bikleman.com, oplayerst.com, kovertums.com, pouiverton.com, frentomst.com, quintivolt.com, opperlant.com, priztersmon.com, polotren.com, juitwell.com, blivvsen.com, biltermos.com, livertip.com, voxinghelt.com, helstrijt.com, binreskolt.com, jewertlins.com, pinterrot.com, voxinghlet.com, noixols.com, kolinrt.com, pceriozc.com, ziniosca.com, serwinlk.com, plizzerc.com, qerwill.com, oltinder.com, pllistrev.com, nowelrsa.com, volintrex.com, esitolvarx.com, xezolpent.com, vionterxz.com, volinsat.com, opletrin.com, opertyvaz.com, lakeltis.com, xepzart.com

3) Atualize a versão do OpenX: faça o download aqui e siga estes procedimentos para atualização da versão.

4) Limpe o cache do Openx: sem medo de ser feliz, execute o comando:

#rm -rf /caminho/para/openx/var/cache/*

5) Configure seu OpenX de forma segura: esse ítem é alteranativo, mas recomendamos:

  • Remova os arquivos: /caminho/para/openx/www/admin/install.php e install-plugins.php
  • Remova o arquivo: /caminho/para/openx/libs/open-flash-chart/php-ofc-library/ofc_upload_image.php
  • Restrinja acesso ao  diretório admin do OpenX no Apache: http://forum.openx.org/index.php?showtopic=503453491&st=15&p=205811&#entry205811
  • Mantenha-se alerta para novas atualizações, assine o boletim da OpenX: alerts@openx.org

6) Peça revisão do seu site pelo site de Ferramentas Webmaster do Google.

Agora, esbarramos com outras situações em que o malware codificava os domínios e código malicioso em Base64 e o processo de limpeza do malware foi um pouco mais difícil. Usando o grep, busque no arquivo de dump e no diretório de páginas do openx a string “base64_decode”.

Precisando de alguma ajuda, entre em contato.

Malwares
♥
Mais um colaborador certificado CEH!!!
6 de outubro de 2010
Conheça a Técnica de DLL Hijacking
8 de novembro de 2010

Leave a comment Cancelar resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Postagens Recentes

  • IBLISS conquista certificação GPTW pelo terceiro ano consecutivo
  • IBLISS Digital Security anuncia parceria estratégica com a IT-ONE
  • Manipulação de curto tempo de expiração de tokens de autorização
  • Entenda o que é DevSecOps – INFOGRÁFICO
  • Teste de Invasão: Conheça as principais vantagens

Categorias

  • Acontece na IBLISS
  • Ameaças
  • AppSec & DevSecOps
  • Ataques Cibernéticos
  • Blog
  • Cibersegurança
  • Consciencialização
  • Conscientização
  • Cyber Protection
  • Diário de Um Pentester
  • eBook
  • Education
  • Estratégia em Segurança
  • Eventos
  • GDPR
  • Gestão de vulnerabilidades
  • LGPD
  • Notícias IBLISS
  • Privacidade
  • RGPD
  • Risk e compliance
  • root
  • Segurança Digital
  • Segurança no E-Commerce
  • Sensibilização
  • Technology
  • Testes de invasão
  • Uncategorized
  • Vagas
  • Vulnerabilidades

Contato

Av. Angélica, 2852
2° Andar
CEP 01228-200
Bela Vista
São Paulo / SP

contato@ibliss.com.br

+55 (11) 3255 -3926

IBLISS_Parcerias_Certificado-1536x512-1-pm727zz2jah6fbi8ty4ggbgwzzn3clcj1wf0235qf4

Links

  • A IBLISS
  • Nossos Serviços
  • Blog
  • Oportunidades
  • Contato
  • Política de Privacidade

Siga a IBLISS

Linkedin Youtube Facebook Instagram Twitter

Newsletter

© 2022 IBLISS Digital Security. Todos os direitos reservados. Desenvolvido por QMove.