Um site do bem está sendo atacado. Deve ser o mal, vamos procurar desequilibrar este embate.
Anamnése.
Registre com cuidado cada um dos sintomas. Sempre que possível, guarde as evidencias para futuras referencias. Procure observar e descrever com cuidado o comportamento do paciente. Se preciso, ligue as ferramentas de monitoramento. Arquivos que foram alterados. privilégios modificados, entradas no log que apareceram ou desapareceram. Tudo pode ajudar.
Como foi que os arquivos foram alterados em seu conteudo ou em seus privilégios?
A procura do Paciente Zero
Nestas horas conhecer bem o paciente Zero é fundamental. Quem foi o primeiro infectado? Como ele foi infectado? Como ele infectou os proximos? São perguntas cruciais.
Cercado? Procure a saida para Dentro e Para Cima.
Onde procurar a resposta? Procure nos rastros deixados. O que foi feito? Qual é a assinatura da ação? Alem das pegadas deixadas, alguma confirmação interna? Os logs contem algum registro?
Confiar em quem? Confie desconfiando! Algumas ajudas externas como o UnMaskParasites.com podem ser uteis.
Não enterre o cadáver muito rápido.
As provas devem ser mantidas. Se necessário, mantenha “o cadáver no congelador”, enquanto continua a vida em outro ponto. Mas o cadáver contem as informações de que podemos precisar. O cadáver fala.
Mate o mal no ninho. Se deixar ele voar, ele se prolifera. Crie a sua colonia de infectados e trate deles com carinho. Eles são testemunhas vivas de do problema e podem responder as suas perguntas no futuro.
Foco. Não vamos dispersar…
Anote as trilhas alternativas, mas mantenha o foco no problema. Concentrar, aumenta a força. Dispersar, diminui a nossa força. Manter o foco no problema, uma outra hora nós voltamos aos desvios que deixamos de visitar.
“Hoje nós estamos com pressa. Não vamos tomar nenhum atalho!” dizia minha sábia mãe.
O criminoso sempre volta à cena do crime
Não sei se é fato, mas se for, devemos nos aproveitar disso. Receba-o, agora como um bom hospedeiro. Procure acomapnhá-lo com atenção. É disso que ele precia. E você também.
Não espere que ele faça as mesmas coisa que ele fez na última visita. Mas considere como uma possibilidade. O presente é consequencia do passado, mas o passado, nem sempre explica o presente.
Do Ombro de Gigante se enxerga mais longe.
Será que isso já aconteceu antes? Alguem já relatou isso tudo antes? Sim…. Muito provavelmente, sim. Procure pelo que eles dizem. Estude com carinho as informações passadas por aqueles que já trilharam este caminho anteriormente.
Alguns links que merecem revisão oportuna:
- Official Google WebMaster Central Blog – My Site’s Hacked! Now What? – dicas e recursos Google para a situação! No dia que for necessário odiar o Google, realmente vai ser difícil.
- IFrame Removal – algumas dicas de como remover o IFrame Injection.
- All Your iFRAMEs Point to Us; Google Technical Report provos-2008a; com estudo completo sobre a situação.
- IFrame attacks and facts – um resumo interessante sobre os ataques usando IFrame.
Igualmente, o outro lado se baseia em conhecimentos outros.
Não, você não é especial para o invasor.
A invasão é, muito provavelmente, resultado de um tiro no escuro. Assumir que o problema é com a sua causa ou suas ações é muita presunção e deve ser evitado.