Tipo de infecção por malware: configuração do servidor

O que significa ter URLs com o tipo de infecção por malware "Configuração do servidor" no Search Console?

Isso significa que um hacker comprometeu seu site e está redirecionando os visitantes do site em bom estado para o site atacado por malware, provavelmente modificando o arquivo de configuração do servidor. Os arquivos de configuração do servidor geralmente permitem que o administrador do site especifique redirecionamentos de URL para páginas ou diretórios específicos de um website. Por exemplo, em servidores Apache, são usados arquivos .htaccess e httpd.conf.

Para mais informações gerais sobre sites comprometidos que distribuem malware, consulte Avalie os danos (invadido por malware).

Como posso confirmar o comportamento de redirecionamento do tipo de malware "Configuração do servidor"?

Em primeiro lugar, evite o uso de um navegador para visualizar páginas infectadas em seu site. Como muitas vezes o malware se espalha explorando vulnerabilidades do navegador, abrir uma página infectada com malware em um navegador pode danificar seu computador.

Confirme o comportamento usando cURL ou Wget para realizar solicitações HTTP (por exemplo, para buscar uma página). Essas ferramentas disponíveis gratuitamente são úteis nos redirecionamentos de diagnósticos e têm a flexibilidade de incluir informações do referenciador ou de user-agent. Ao veicular conteúdo malicioso apenas para usuários com user-agents ou referenciadores específicos, o hacker pode segmentar mais "pessoas reais" e evitar a detecção por parte de proprietários de sites e scanners de malware. Seu site precisa estar on-line para usar essas ferramentas. Por exemplo:

$curl -v --referer <referer-field> --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, como Gecko) 
  Chrome/12.0.742.112 Safari/534.30" </your-infected-url>
como
$curl -v --referer "http://www.google.com" --user-agent "Mozilla/5.0 
  (Macintosh; Intel Mac OS X 10_6_8) AppleWebKit/534.30 (KHTML, como Gecko) 
  Chrome/12.0.742.112 Safari/534.30" http://www.example.com/page.html
Então, buscar uma página com uma infecção do tipo "Configuração do servidor" pode retornar os seguintes cabeçalhos:
…
< HTTP/1.1 301 Moved Permanently
< Date: Sun, 24 Feb 2013 21:06:45 GMT
< Server: Apache
< Location: http://<malware-attack-site>/index.html
< Content-Length: 253
...

 

Como faço para limpar meu site do tipo de malware "Configuração do servidor"?

Entre em seu servidor por meio de acesso shell/de terminal (o site pode estar off-line, se você quiser) e analise os arquivos de configuração do servidor relevantes. O hacker pode ter modificado mais de um arquivo de configuração do servidor em seu site. Verifique se esses arquivos contêm diretivas indesejadas, como redirecionamentos, em que o hacker pode configurar seu site para que ele redirecione para sites com malware desconhecido. Por exemplo, em .htaccess:

RewriteEngine On 
RewriteCond %{HTTP_REFERER} .*google.* 
RewriteRule ^third-page.html($|/) http://<malware-site>/index.html [R=301]
Além disso:
  • Verifique todo o arquivo, pois o hacker pode ter adicionado seu código ao fim dele, ponto em que o código seria mais facilmente ignorado.
  • Investigue possíveis tarefas agendadas criadas pelo hacker, projetadas para atualizar continuamente o arquivo .htaccess. As tarefas agendadas podem ser listadas em vários locais, incluindo /etc/crontab (também em vários diretórios /etc/cron*) e /var/spool/cron.

Quando estiver pronto para limpar seu site (página em inglês), você pode substituir os arquivos de configuração do servidor com um backup confiável ou excluir o código indesejado do arquivo existente. Reinicie o servidor da Web se isso for necessário para ativar os novos arquivos de configuração.

A limpeza do tipo de malware "configuração do servidor" é útil para recuperar um site invadido, mas não corrige a vulnerabilidade original que permitiu ao hacker comprometer o site e pode fazer com que isso aconteça novamente. Para mais informações sobre como limpar todo o site, consulte o tópico Hacked with malware (em inglês) da documentação de recuperação de invasões.

Isso foi útil?
Como podemos melhorá-lo?