Nos últimos dias temos recebido vários pedidos de emergência relacionados com instalações de WordPress infetadas com um malware com o nome "Fake jQuery". Este ataque, como quase todos os ataques ao WordPress é na maioria das vezes possível simplesmente porque a versão do WordPress, os Plugins em uso ou o Theme instalado possuem falhas de segurança e não foram atualizados.

Nos dias que correm já todos devíamos saber que possuir as últimas actualizações de segurança é obrigatório e pode ser um caso de vida ou de morte, da sua empresa ou do seu negócio online.

Recebemos um pedido esta semana que se destacou pela quantidade de sites afetados num só servidor. O cliente possui um servidor dedicado e lá dentro tem uma quantidade enorme de sites e blogs baseados em WordPress. As visitas que ele tem diariamente, tornam-o um alvo interessante. Ele notou que havia algo de errado quando recebeu um aviso de um serviço externo a avisar que um site estava infectado. Este site em particular, é bastante grande e possui imensos (vastos milhões) de visitantes. A questão aqui é, dependendo da configuração do servidor (e outras) é possível estes pequenos pedaços e código se espalharem por um servidor inteiro e foi mesmo isso que aconteceu. Num espaço de segundos, 8 outros sites estavam infectados, momentos depois 20, passados 30 minutos a quase totalidade de sites e blogs tinha sido infectada, mais de 60 ao todo.

Agora imagine a quantidade de arquivos que estão no servidor, imagine que para alguns sites não tem backups e a limpeza terá de ser efetuada manualmente, arquivo a arquivo, por vezes com leitura linha a linha. É muito trabalho e investimento que podia ser evitado.

Ao analisarmos a situação, sabíamos que após limpar um site o mais provável era ele ser infetado novamente em segundos. Cada vez que alguém visitava o ou os sites infetados, mais se espalhava o código malicioso, então a prioridade seria encontrar o ou os pontos de origem, as backdoors.

Após uma enorme análise de logs e atividade do servidor acreditávamos ter achado um possível ponto de entrada e fomos analisar mais a fundo esse site (antigo e em desuso) mas ao mesmo tempo, colocámos um dos nossos especialistas a criar um script feito especialmente para remover este malware de todos os ficheiros, definimos a estratégia a tomar, as precauções necessárias e os testes que iríamos fazer antecipadamente nos nossos servidores e computadores.

Neste site antigo não muito usado, um dos pequenos (provavelmente por causa disso foi atacado) as actualizações de segurança tinham caído no esquecimento, ninguém mais estava a pensar nele e nesse modo ficou vulnerável a ataque e invasão.

Enquanto isso a equipe de análise vasculhava todos os ficheiros desse site para indícios de actividade estranha, desde uso de funções específicas, tempo de processamento alongado, mudanças recentes, código "escondido" através de encodificação, etc. Finalmente, achou-se o culpado. Num único arquivo desse minúsculo site, estavam 50 linhas de código que eram o motor e a vontade dessa infeção. Guardámos o arquivo na sua totalidade para análise e removemos o código malicioso.

Após essa remoção, executámos o nosso "anti-malware", a vacina específica para esta infeção e em segundos o servidor ficou limpo e os sites ficaram saudáveis de novo.

Não deixe de fazer actualizações e lembre-se, só porque um site já não está a ser usado, desde que esteja visível ao mundo virtual é um possível ponto de entrada e a origem de enormes dores de cabeça.

Caso precise de suporte para remover malware e garantir que o seu negócio não perde credibilidade e investimento, contate-nos.