Tip:
Highlight text to annotate it
X
[MÚSICA TOCANDO]
Olá, sou Maile Ohye.
Prosseguindo na série de vídeos sobre recuperação de sites invadidos,
agora você está pronto para avaliar o dano.
Este vídeo é para aqueles que
receberam notificação de infecção do site por malware
e que têm um bom conhecimento técnico para visualizar código-fonte
e executar comandos no terminal.
Para ajudar e compartilhar conhecimentos sobre como combater o malware,
estou aqui com um engenheiro da equipe de Navegação segura
do Google, Lucas Ballard.
Olá, Maile.
Obrigado por nos oferecer sua ajuda.
Até o momento, tivemos uma visão geral sobre invasões
e confirmamos que o site foi comprometido e está distribuindo malware.
Agora, estamos prontos para avaliar o dano.
Mas antes de prosseguirmos, você pode explicar
o que exatamente é o malware?
Claro.
Malware é um termo geral para um software malicioso
elaborado para danificar um computador ou rede.
"Malware" abrange coisas como vírus, worms, spyware, key
loggers e cavalos de troia.
Para proteger a todos na Web de software malicioso,
a equipe de Navegação segura do Google executa scanners por toda a Internet
para encontrar páginas nocivas.
Nossos scanners automáticos determinam se as páginas
estão infectadas detectando conteúdos maliciosos.
A reputação do webmaster não conta como um fator no processo.
Se seu site foi infectado com malware, você não está sozinho.
Encontramos cerca de 10.000 novos sites infectados todos os dias.
É uma informação muito útil.
Você pode fornecer um exemplo concreto
do que significa para um site a infecção por malware?
Certamente.
Sempre que um site legítimo for marcado como "infectado
com malware", significa que o Google
determinou que, quando um usuário visitar esse site,
o navegador visitará automaticamente outro site que
o atacará.
Normalmente, o navegador visita o site agressor
porque o site legítimo ou um dos recursos
incluídos pelo site legítimo foi
modificado para incluir conteúdo do agressor.
Alertamos os usuários contra páginas com malware porque, quando o usuário visita
a página infectada, o conteúdo do site agressor
explorará uma vulnerabilidade no navegador do usuário.
Quando a exploração for bem-sucedida, o software malicioso
será carregado automaticamente no computador do usuário
sem que ele saiba.
O software malicioso pode ser um spyware que rouba
dados bancários dos usuários ou malware
que usa o computador infectado para enviar spam.
Com o computador do usuário comprometido,
o invasor adicionou outro nó
em sua rede de malware, que pode
ser usado para atacar outros computadores ou sites.
Seu exemplo realmente demonstra
como o malware se espalha como uma doença infecciosa.
Explique como os proprietários de site podem
descobrir se seus sites estão infectados com malware
ou se ajudaram a infectar outros sites.
OK.
A Navegação segura do Google exibe publicamente essas informações
para todos os usuários, não importando se ele for o
o proprietário verificado do site.
Vamos ao laptop para navegar pela página de diagnóstico
da Navegação segura do Google.
Está em www.google.com/safebrowsing/diagnostic?site=
e termina com seu site.
Por exemplo, posso adicionar googleonlinesecurity.blogspot.com.
Aqui, é possível ver o status atual do site mostrando
se os usuários podem navegar com segurança pelas páginas
Minha equipe opera os scanners responsáveis pela geração
desses dados.
Felizmente, nosso blog de segurança on-line está a salvo.
Vejamos um site infectado com malware
para saber mais informações sobre o que pode estar em seu site.
O tipo de informação que você verá na página de diagnóstico
da Navegação segura é o status atual do site, o que significa:
ele tem chance de ser seguro?
Ou é suspeito e pode ser nocivo aos usuários?
Sites infectados com malware obviamente estão na lista de suspeitos.
Abaixo, no relatório do que aconteceu quando o Google visitou o site,
nós exibimos mais informações detalhadas.
Por exemplo, é possível ver quais sites agressores
seriam incluídos a partir de seu site.
Também é possível ver informações sobre o próprio site agressor.
Novamente, o site agressor é usado para hospedar o malware
que infectará os usuários e verificar se seu site foi incluído
em uma rede de malware ainda maior.
Clicar no site agressor ou na rede,
leva você a mais informações na Navegação segura.
A última informação nessa página
mostra se o site foi usado como intermediário
na infecção de outros sites ou para hospedar malware.
Obrigada, Lucas.
Seguindo adiante, agora que compreendemos o malware,
você pode explicar como investigar com segurança
o dano em nosso próprio site?
Boa pergunta.
Que bom que você perguntou!
Antes de visualizar páginas, excluir arquivos ou modificar seu site,
comecemos com várias dicas para a investigação de malware.
Primeiro, não use seu navegador para
abrir uma página da Web infectada.
Como já foi dito, o malware geralmente
se espalha pela exploração das vulnerabilidades do navegador.
Abrir uma página da Web infectada no navegador,
é procurar por encrenca.
Segundo, ao investigar um código malicioso, é muito útil
ter acesso ao servidor.
Como alguns malware estão configurados para serem exibidos
somente com base no user agent, cookies, referenciador, hora
do dia, sistema operacional ou versão do navegador do usuário,
é bom ver o código-fonte real
da página para compreender melhor seu conteúdo
e comportamento.
Terceiro, existem algumas ferramentas úteis
para conduzir solicitações HTTP de diagnóstico ou buscas de páginas
para avaliar os danos ao site.
Como os invasores costumam configurar os redirecionamentos de sites legítimos
para sites agressores, apenas ver o código-fonte de uma página
pode não ser suficiente para detectar redirecionamentos.
Você deve fazer uma busca pela página.
Duas ferramentas úteis e que costumam estar disponíveis gratuitamente,
são o Wget e o cURL.
Tanto o Wget quanto o cURL fazem solicitações HTTP,
e podem ser configurados para incluir, fazer referência,
a informações de user agent ou de navegador.
Esses recursos são úteis para revelar
algumas das técnicas sofisticadas usadas pelos invasores
para evitar detecção.
Por exemplo, o invasor pode configurar o site
para redirecionar somente para conteúdo malicioso
quando o URL for solicitado de uma página de resultados de pesquisa.
Isso significa que, se o usuário pesquisou no google.com,
a solicitação de uma página incluirá um referenciador do Google.
Exibindo somente conteúdo malicioso
aos usuários com um referenciador do Google, o invasor
atinge mais pessoas reais e pode evitar a detecção
de webmasters e scanners de malware com muito mais
precisão.
A pesquisa com o Wget e o cURL deve
retornar recursos que explicam mais a fundo seus usos.
Para recapitular o que foi abordado,
ao investigar a presença de malware no site: primeiro,
não abra a página em um navegador.
Segundo, veja o código-fonte da página em um sistema de arquivos.
E terceiro, busque redirecionamentos e verifique o código-fonte
por meio do Wget ou do cURL.
Nós já visitamos a página de diagnóstico
da Navegação segura para ter mais conhecimento
sobre o que afetou nosso site.
O próximo lugar a ser vasculhado é a seção de malware
das Ferramentas para webmasters
Como proprietária verificada do site,
farei login nas Ferramentas para webmasters, selecionarei "Meu site",
"Diagnóstico" e "Malware".
Lucas, pode nos falar mais sobre as informações
que sua equipe exibe nesta página?
Certamente.
A página de malware contém dois botões
na parte superior, Tabela de downloads e Solicitar uma análise.
Você usará o botão "Solicitar uma análise" quando
o site estiver livre de malware.
Antes de chegarmos lá, será preciso
avaliar o dano.
A tabela nessa página mostra uma amostra
dos URLs infectados em seu site,
o tipo de infecção que nossos scanners reconhecem,
e a data mais recente de detecção.
Ao clicar no URL, você é direcionado para a página "Detalhes do malware",
com itens de ação específicos.
Alguns exemplos de URL não têm um tipo de infecção.
Embora os scanners tenham detectado o URL como malicioso,
não foi possível identificar esse comportamento específico.
Para os outros, fornecerei uma explicação aprofundada
sobre cada tipo de infecção em outro vídeo.
Depois que cada URL de exemplo nas Ferramentas para webmasters
for investigado, a última ação dessa etapa
será avaliar de modo mais geral o dano ao site.
Sim.
O vídeo "Avaliação de danos ao sistema de arquivos" deve ser assistido por último
nesta etapa.
A avaliação de danos ao sistema de arquivos ajuda
a compilar uma lista de arquivos que foram modificados ou adicionados
pelo criminoso virtual para auxiliar na limpeza, nas etapas a seguir.
Obrigada, Lucas.
Pessoal, para cada tipo de malware no site,
confiram os vídeos correspondentes do Lucas em tópicos, como
configuração de servidor, injeção de SQL e modelo de erros.
Depois de investigar o dano de todos os tipos de malware
em seu site, não deixe de realizar uma avaliação geral
no sistema de arquivos.
Quando essas ações forem concluídas,
avance para a próxima etapa, identificar a vulnerabilidade.
Estamos nos aproximando da recuperação.
Continue com o bom trabalho.