Tipo de infecção por malware: injeção de SQL

O que significa ter páginas marcadas com o tipo de infecção por malware "Injeção de SQL" no Google Search Console?

O tipo Injeção de SQL significa que provavelmente o banco de dados do site foi comprometido. Por exemplo, o hacker pode ter programaticamente inserido código malicioso em cada registro da tabela de um banco de dados. Mais tarde, quando o servidor carregar uma página que requer informações do banco de dados, o código malicioso estará incorporado no conteúdo da página e poderá prejudicar os visitantes do site.

Para mais informações gerais sobre malware, consulte Avalie os danos (invadido por malware).

Como faço para investigar o tipo de malware "Injeção de SQL"?

Em primeiro lugar, evite o uso de um navegador para visualizar páginas infectadas em seu site. Como muitas vezes o malware se espalha explorando vulnerabilidades do navegador, abrir uma página infectada com malware em um navegador pode danificar seu computador.

Confirme o comportamento usando cURL ou Wget para realizar solicitações HTTP (por exemplo, para buscar uma página). Essas ferramentas disponíveis gratuitamente são úteis nos redirecionamentos de diagnósticos e têm a flexibilidade de incluir informações do referenciador ou de user-agent. Ao veicular conteúdo malicioso apenas para usuários com user-agents ou referenciadores específicos, o hacker pode segmentar mais "pessoas reais" e evitar a detecção por parte de proprietários de sites e scanners de malware. Seu site precisa estar on-line para usar essas ferramentas.

Por exemplo:
$curl -v --referer <referer-field> --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, como Gecko) 
  Chrome/12.0.742.112 Safari/534.30" <your-url>
como:
$curl -v --referer "http://www.google.com" --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, como Gecko) 
  Chrome/12.0.742.112 Safari/534.30" http://www.example.com/page.html

Na saída do Wget ou cURL, verifique se há palavras como "iframe" ou "eval", que podem ter sido incluídas pelo cibercriminoso.

Em seguida, faça login em seu servidor de banco de dados ou visualize seu banco de dados por meio de uma ferramenta como phpMyAdmin. Se você usou Wget ou cURL, tente correlacionar o dano encontrado no código-fonte da página por meio de Wget ou cURL com as entradas reais do banco de dados. Por exemplo, se você notou que suas páginas incluíam um iframe perigoso, pode executar uma consulta SQL em busca de um código iframe. Por exemplo:

SELECT * FROM blog_posts WHERE post_text LIKE '%>iframe%'; 

Também é possível verificar se há atividade incomum no log do banco de dados e nos arquivos de erro em seu servidor, como comandos SQL inesperados que parecem anormais para usuários regulares ou que parecem erros.

Como faço para limpar meu site do tipo de malware "Injeção de SQL"?

Quando estiver pronto para limpar seu site, atualize todos os registros infectados do banco de dados ou restaure seu último backup do banco de dados.

Remover o código malicioso não resolve a vulnerabilidade subjacente que originalmente permitiu ao hacker comprometer o site. Se a causa raiz não for corrigida, o site poderá ser comprometido novamente no futuro. Para mais informações sobre como limpar um site invadido, consulte a ajuda para sites invadidos (página em inglês).

Este artigo foi útil para você?
Como podemos melhorá-lo?