| By Emilio Miranda,
on 19-10-2007 12:56
|
Views : 4100  |
Favoured : 82 |
Published in : , Notas Técnicas |
Eu estava com um problema com o Firefox 1.5. Ele redirecionava inesperadamente para uma página indesejada quando eu estava navegando num dos meus sites preferido o www.magnatune.com.
Isto acontecia na minha estação com o ubuntu 6.06, aquele com suporte de longa duração e que está funcionando normalmente sem grilos deste de 2004. Não dava bola para este problema do Firefox até que resolvi saná-lo no último fim de semana.
Depois de apagar os dados no diretório /tmp a coisa continuou a mesma. Apaguei o diretório /home/emilio/.mozilla e nada, o bug de redirecionamento continuava lá. Só vim dar conta de quão sério era o negócio depois que entrei na conta de minha esposa e o Firefox continuava com o mesmo comportamento anômalo. Percebi então, que algum código malicioso tinha conseguido escrever na área de instalção do Firefox sem a necessidade da senha de root, já que nunca, nunca mesmo, acesso os meus terminais Linux para tarefas do dia a dia como root.
Aparentemente o ataque deu-se pelo mecanismo explicado neste relatório
http://www.multirede.com.br/pagina.php?codigo=1109. O que é muito grave pois o ataque com certeza usou script com privilégio de root. De qualquer forma parti para ação.
Primeiro liguei o Ethereal e capturei uma sessão de navegação com o problema. Para fazer isto, instalei o ethereal e depois invoquei-o assim,
$ sudo bash
Password:
# apt-get install ethereal
# ethereal
Anotei os endereços envolvidos num arquivo à parte para poder bloqueá-los a seguir. Antes, porém, tinha de garantir que o malware estaria fora de minha estação definitivamente.
Eu não confiava mais na versão do firefox 1.5 que estava instalada na minha máquina. Resolvi usar o Swiftfox que é fornecido pelo Automatix que já está na versão 2.0. Mesmo tendo a informação que o bug tinha sido resolvido para as versões posteriores à 1.5. O problema é que não podemos simplesmente retirar o firefox do dapper com apt-get remove por que o sistema do ubuntu vai querer desinstalar o ubuntu inteiro! Por outro lado, eu tinha que desisntalar o firefox por que eu tinha certeza de que o vírus estava instalado lá. Depois de quebrar a cabeça resolvi por um caminho que mostrou-se acertado. Eu simplesmente apaguei os diretórios acima com rm -Rf e depois re-instalei o firefox 1.5 com apt-get install --reinstall firefox. Voltei a acessar o site www.magnatune.com e o redirecionamento indesejável já não existia mais.
$ sudo bash
Password:
# whereis firefox
# firefox: /usr/bin/firefox /etc/firefox /usr/lib/firefox /usr/X11R6/bin/firefox /usr/bin/X11/firefox /usr/share/firefox /usr/share/man/man1/firefox.1.gz
Neste ponto, instalei o Swiftfox via Automatix (por favor, entre no google com esta chave para obter toneladas de sites com instruções sobre como instalar o automatix). Depois do Swfitfox instalado, cliquei com o botão direito na figura do firefox que encontra-se na barra superior do gnome. Substitui o comando para o navegador de firefox %u para /opt/swiftfox/swiftfox %u.
A vulnerabilidade do firefox a este vírus está acoplada a um problema do google analitycs. Eu não sei se o google consertou o bug. O que eu decidi é que se eu tivesse opção de não acessar mais este serviço, eu o desabilitaria para sempre de minha máquina. Procurei mais informações sobre este serviço do meu console e obtive o seguinte,
emilio:~$ host www.google-analytics.com
www.google-analytics.com is an alias for www-google-analytics.l.google.com.
www-google-analytics.l.google.com has address 72.14.219.99
www-google-analytics.l.google.com has address 72.14.219.104
www-google-analytics.l.google.com has address 72.14.219.147
Instalei o plugin Adblock Plus do firefox (siga o Ferramentas > Complementos > Get Extensions). Depois de instalado, coloquei o endereço www.google-analitycs.com usando o botão Add Filter no canto inferior esquerdo da janela. Só por desencargo de consciência coloquei também o endereço da sub-rede 72.14.219. Depois de alguns acessos dei uma olhada no contador do filtro e obtive 114 bloqueios de acesso como você pode checar na figura abaixo. Isto bateu com a minha impressão, corroborado por outros, de que o acesso ficou mais rápido sem o google analitycs. Esta semana mesmo eu vou bloquear o acesso deste endereço no meu roteador ADSL para evitar que os outros browsers tenham acesso a este serviço.
Last update : 19-10-2007 15:25
|
|
|
(0 vote)