Pessoal, bom dia. O site dos periódicos da UnB (https://periodicos.unb.br) foi hackeado de alguma forma e não estou conseguindo descobrir como resolver esse problema. A grande dificuldade é que o problema ocorre apenas quando a pessoa busca por ele em algum buscador como o Google ou Bing. Se buscar pelos termo Revista Participação (DEX/UnB) verá que o resultado mostra um tal de BET6K.com Se clicar no linke ele redireciona para esse site. Mas se acessar o link por fora do buscador, ele não faz esse redirecionamento. Se algúem souber como consigo decobrir onde está o problema eu agradeço.
Para constar: Troquei todos os arquivos da instalação por novos e fiz uma busca no banco tentando achar algum rastro, ma sem sucesso. Tentei ver também o Log mas não consegui achar alguma evidência clara, apenas evidências de tentativas de acesso a conteúdos que não existem.
Olá @rogeriopritzke
O último caso semelhante que tivemos aqui, a invasão foi feita através do tema Immersion, que estava desatualizado e a versão instalada tinha uma vulnerabilidade. Não foi nem pelo sistema da revista em si, a injeção foi feita pelo github do tema. Excluímos o tema, atualizamos os demais plugins e o site voltou ao normal.
Mas a fonte pode ter sido qualquer uma. Em geral quando ocorre algo assim a gente faz uma análise tendo como base a data de última alteração dos arquivos do sistema. Verificamos quais arquivos foram alterados recentemente, abrimos eles e vemos se tem algum código malicioso.
Consegui reproduzir exatamente o que você indicou. Acessando a página por vários navegadores tudo parece normal, mas passando o referer como sendo o Google, carrega um JS malicioso que faz o redirecionamento.
Exemplo de outra página como o mesmo comportamento:
Observando estes casos, não há qualquer sinal de carregamento de partes do conteúdo normal do OJS. Ou seja, parece que o desvio é feito antes de chegar no PHP (ex.: no Apache) ou, pelo menos, antes de carregar o código normal do OJS (ex.: no ojs/index.php, antes de inicializar o código do OJS).
Como você indicou que o código do OJS foi substituído, a principal aposta fica no Apache.
Sugestões de verificações:
Procurar por arquivos .htaccess
Veja se as configurações do apache foram modificadas.
Não encontrando, procure por tudo que possa conter HTTP_REFERER
Como você trocou o código do OJS, confirme se não ficou algum cache antigo.
Fico à disposição para ajudá-lo mais com essa situação crítica.
Pessoal, agradeço pelas orientações. Ainda nãpo desocbri o problema. @OpenJournalSolutions, não usamos esse tema, então descartei essa hipótese. @Diego_Abadan, fiz uma varredura atrás de arquivos .htaccess mas não encontrei nenhum. Sobre o Apache, com o conhecimento que eu tenho fiz uma busca em alguns arquivos de configuração mas não encontrei algo relevante. Buscando pelo termo HTTP_REFERER também nao retornou nada.
Estou suspeitando que esse cache esteja apenas na busca do Google, pois outros sites Wordpres que foram invadidos eu consegui limpar e ainda consta na busca esse redirecionamento.
Fiz um pedido de limpeza das URL’s com redirecionamento e estou augradando para ver se tem algum efeito. Quando tiver alguma novidade colocarei aqui, pois notei que vários outros periódicos do Brasil também está com o mesmo problema.
Estou suspeitando que esse cache esteja apenas na busca do Google
Infelizmente, não. Eu faço o teste simulando um acesso diretamente às páginas comprometidas e passando o referer como sendo um acesso via Google, mesmo sem ser, e consigo confirmar que o comprometimento persiste.
Se você quiser, podemos fazer uma videochamada e eu ou algum membro de nossa equipe pode tentar lhe auxiliar na localização do problema.
@Diego_Abadan , se houver essa possibilidade daparte de vocês eu tenho interesse. Como eu trabalho pela manhã, tenho disponibilidade de conversar das 08:00 àté as 12:00 Me mande uma mensagem no e-mail rogeriopritzke@unb.br por gentileza.
@rogeriopritzke vcs já devem ter resolvido o problema né??? Não consegui reproduzir aqui. Eu iria suspeitar se o problema não era DNS… Verifique também se não existem arquivos ou pastas estranhas dentro do seu /files do seu OJS. Geralmente quando mal configurado o OJS, alguns arquivos infectados quando são enviados ao servidor disparam scripts maliciosos.
Pessoal, consegui achar o problema. O invasor conseguiu colocar o Apache para carregar um arquivo chamado mod_api.so. O caminho do arquivo no meu caso foi em: /usr/lib/apache2/modules/mod_api.so Eu consegui encontrar ele procurando no diretório /etc/apache2 cd mods-enabled/ e vendo quais módulos foram alterados recentemente. Notei que o módulo api.load havia sido alterado recentemente. Abrindo ele vi a chamada para esse mod_api.so, que na verdade era o causador das chamadas para os sites de BET.
Removi o famigerado arquivo e consegui resolver o problema.
Com relação a inasão em si: Pode ser pelo fato desse servidor estar com a versão 18.04
Iremos proceder com a atualização das versão e ver se com isso conseguimos impedir novas invasões.
