Arquivos maliciosos na hospedagem:

Fernando_Rocha · Fevereiro 27, 2023, 2:59pm

Bom dia!

Alguém tem passado esses problemas com alguns arquivos detectados como arquivos infectados?

Todos os meus projetos foi detectado este arquivo:

/_lib/prod/third/chatapi/chatapi/whatsapp/src/Client.php

InfinitusWeb · Fevereiro 27, 2023, 3:06pm

Direto tenho esse problema entre outros de segurança

Fernando_Rocha · Fevereiro 27, 2023, 3:26pm

O Problema que os cliente ficam desconfiados…

Fernando_Rocha · Fevereiro 27, 2023, 3:26pm

Vocês conhece alguma ferramenta que possa fazer um Scan e ver se realmente tem algum problema?

InfinitusWeb · Fevereiro 27, 2023, 4:07pm

Estou obtendo erros para postar imagens aqui (reincidente).
The difference between the request time and the current time is too large.

InfinitusWeb · Fevereiro 27, 2023, 4:11pm

Obtenho o seguinte erro em todos meus ambientes de produção:

https://dominio/pasta/_lib/prod

Site fraudulento

Invasores em dominio podem levar você a fazer algo perigoso, como instalar software ou revelar suas informações pessoais (por exemplo, senhas, números de telefone ou cartões de crédito). Saiba mais

Para usar o nível mais alto de segurança do Chrome, ative a proteção reforçada

buhlerax · Fevereiro 27, 2023, 10:31pm

Conselho: Atualize para última versão.
Versões mais antigas tem vulnerabilidade que permite o upload de arquivo malicioso.
Vide:

Se não for isto somente a Netmake para saber ou a vulnerabilidade voltou. Assim como os bugs voltam.

Veja também: [Resolvido] Estamos vulneráveis a ataque na versão 9.7 - Bugs - Scriptcase

Luiz_Carlos_Monteiro · Março 3, 2023, 12:03pm

Tive minha conta do Scriptcase Host Invadida, tive que refazer o deploy de toda a aplicação.
Não sei como aconteceu, mas… vida que segue.

renmargom · Abril 15, 2023, 5:09pm

Boa tarde!

Ia abrir um tópico, mas encontrei esse tópico já aberto com a resposta do Haroldo próxima do que estou passando a 3 dias.

Relato:
Atualizei a 3 dias atrás uma aplicação para um cliente que tem hospedagem na Hostinger. Criamos um subdomínio e instalamos a aplicação. Após configuração do acesso a base de dados, fomos acessar a aplicação e deu a mensagem:

Site fraudulento

Invasores em nomedosite.com.br podem levar você a fazer algo perigoso, como instalar software ou revelar suas informações pessoais (por exemplo, senhas, números de telefone ou cartões de crédito). Saiba mais

Acessando a hospedagem do cliente, vi que o SSL estava instalado (refiz a instalação por desencargo de consciência), e o detector de malware também não acusava nada.
Informamos ao google que o bloqueio era equivocado e aguardamos para ver se retiravam o bloqueio referente a phishing do site do meu cliente.

Enquanto isso subi o sistema do meu cliente para uma hospedagem minha. E para minha surpresa, após alguns logins no sistema, apareceu a mesma mensagem. Então associei que o problema poderia estar na aplicação do SC. Esse domínio foi o https://armazem24horas.com.br, e tinha criado um subdomínio https://sistema.armazem24horas.com.br. Diferente da hospedagem do meu cliente, nesse caso a mensagem de phishing apareceu tanto no subdomínio quanto no domínio.

Não dado por vencido, peguei uma outra aplicação do SC (aplicação de teste, apenas com um login, e poucas outras apps), e joguei para uma outra hospedagem minha. Estava acessando normalmente pelo PC, e após fazer alguns logins, tentei acessar pelo celular, e na mesma hora apareceu a mensagem novamente de site fraudulento. A nova hospedagem segue: https://sistema.agrolove.com.br. E novamente tanto o subdomínio quanto o domínio passaram a apresentar a mensagem de site fraudulento.

Lembrando que também em minhas hospedagens, o SSL está instalado corretamente e também validei o detector de malware. E essas hospedagens antes acessavam normalmente antes de instalar a aplicação do scriptcase.

Tenho um ambiente de testes em uma VPS do CONTABO, e nela funciona com HTTP apenas, ao tentar executar qualquer aplicação do scriptcase é exibida a mensagem de site não protegido, mas consigo executa-las normalmente.

Em resumo, não consegui identificar uma sequência lógica para o erro, mas só sei que estou com minhas duas hospedagens bloqueadas e meu cliente também está com a dele bloqueada. Porém a dele o domínio raiz consta como seguro. Sendo assim ao invés de criar um subdomínio, criei o diretório na mão no public_html/ da hospedagem dele e joguei o sistema. Está funcionando normalmente dessa forma.

Mais alguém tem passado por isso? Se alguém tiver alguma luz aí do que mais posso fazer ou testar para tentar resolver esse problema, fico grato, pois realmente estou receoso do problema ocorrer nas próximas atualizações que precisar fazer nos clientes.

Por enquanto vou excluir as aplicações das minhas hospedagens e sinalizar no Google Console pra ver se retiram minhas URLs da base de sites fraudulentos.

Observação: Uso a última versão do ScriptCase, atualizada VERSÃO 9.9.010 (8)

Desde já grato por qualquer ideia dos colegas.

Abraços,
Renato

buhlerax · Abril 16, 2023, 4:30pm

@PedroLucas @yuri_esteves @marcia.scriptcase @HenriqueB @yuri.castro
Está acontecendo em outros lugares também.
As publicações do Scriptcase estão sendo consideradas como site fraudulento
Podem nos dar um retorno por favor?
No search console eles apontam para pasta _lib. Mas não dão explicações maiores

arnaldo_zyl · Abril 17, 2023, 6:23pm

para mim tambem esta acontecendo

buhlerax · Abril 18, 2023, 2:42am

Aconselho quem está passando por isto a enviar e-mail para feedback@netmake.com.br .

Prodesys · Abril 18, 2023, 12:48pm

Também estou enfrentando esse problema.
Não temos posicionamento da Netmake para solução dessa inconsistência.
ninguém se manifesta.

jneto2009 · Abril 18, 2023, 12:52pm

Bom dia!!
Passei por esse problema, após fazer os ajustes, solicitei a verificação junto ao google, demorou 4 dias para liberar o dominio.
1º Passo - Analisar o dominio ou subdominio com esse link https://securityheaders.com/ ele vai apontar a vulnerabilidade.
2º Passo - Achei esse site que explica como fazer a correção da segurança no apache e no nginx https://webdock.io/en/docs/how-guides/security-guides/how-to-configure-security-headers-in-nginx-and-apache
3º passo - Após feito a correção e analisado novamente no 1º passo, solicitar a verificação junto a Google. Utilizei esse site https://web.dev/hacked/

Demorou 4 dias para que a google fizesse uma nova verificação e retirasse a mensagem de site fraudulento.
Acho que esses passos podem ajudar quem precisa.

Prodesys · Abril 18, 2023, 1:22pm

Obrigado por compartilhar.
No meu caso a hospedagem é diretamente no Host da SC.
Então a correção, acredito, tenha que ser da própria Netmake.
Prefiro acreditar que essa última versão está com bug e eles estejam corrigindo.

InfinitusWeb · Abril 18, 2023, 1:54pm

Em todos meus domínios ocorre o problema.

E informar ao google que o site não é perigoso não está adiantando.

Prodesys · Abril 18, 2023, 3:18pm

Haroldo,
A Netmake, simplesmente, está “sentando em cima do problema”.
Só se limitam a informar que devemos informar ao Google.
Mas isso passou a ocorrer, justamente, após a republicação de projetos após a atualização do SC.
Projetos que não foram atualizados, dentro do mesmo domínio, não estão com essa mensagem.
São evidências que o problema está na versão do SC

buhlerax · Abril 19, 2023, 12:36pm

Um cliente que vê aquele vermelhão não vai entender, vai achar que o sistema é perigoso de usar.

DavidZeitune · Maio 4, 2023, 11:33am

Problema voltou a ocorrer ontem, mesmo depois do Google liberar, após 4 dias com mensagem.
Desagradável.

buhlerax · Maio 4, 2023, 12:04pm

@PedroLucas @yuri_esteves @marcia.scriptcase @HenriqueB @yuri.castro
Vocês estão cientes do que está acontecendo?