Hoje deparei-me com uma situação caricata quando enviei um email para para alertar um cliente de um problema de segurança, mais propriamente, denunciar a presença de um backdoor/shell no seu website.

Nesse email alojado na Netcabo, para além de acompanhar um texto introdutório do problema e a sua solução, enviei um screenshot da shell r57 (detectado em muitos antivírus).

Recebi uma resposta automática do Sr. Netcabo com a seguinte informação:

Na mensagem, “Problema de segurança no XXXXXXXXXXX”, que lhe foi enviada por “xxxxxxxx “, foi detectado um vírus “PHP/C99Shell.R”. O ficheiro infectado, “Body of Message”, foi automaticamente apagado pelo antivírus instalado nos servidores de mail da NetCabo.

Por um lado compreendo este tipo de solução de analisar possíveis conteúdos maliciosos mas considerar vírus o
texto no corpo do meu email (apenas referência ao termo “r57shell”) e um anexo de um screenshot com o titulo “screenshot-site.jpg”?

Pessoalmente já usei este serviço do clam num servidor de email e reparei que efectua muitos falsos positivos o que pode levar aos emails de envio a serem destinados a uma blacklist caseira ou ao “mau nome” do remetente.

De referir que a resposta automática da Netcabo veio como SPAM HIGH e que o cliente recebeu o email tal e qual como foi enviado sem qualquer referência de vírus.

DS

Segundo a ScanSafe, um código iframe está a ser usado em cerca de 55.000 páginas hackadas para preparar um ataque que consiste em backdoors, roube de passes, malware, etc.

O Iframe está ligado ao site http://aov.org/x.js que faz correr exploits e malware em mais de 7 dominios infectados.

Fizemos uma pesquisa por sites de língua portuguesa que estão entre esta rede e encontrámos 771 páginas infectadas, algo que não surpreende devido à falta de informação de muitos webmasters e administradores.