Olá para todos!
Identificamos há alguns dias que nosso moodle (v. 3.3) foi alvo possivelmente de ataque XSS (cross-site scripting). Em algumas páginas da plataforma, há requisições (no cliente) para um host remoto promovida por um arquivo js. Possivelmente houve um ataque (injeção de js) via formulários usando o método POST, explorando alguma vulnerabilidade do ambiente.
Identificamos que essas chamadas ocorrem em alguns cursos (provavalmente nos últimos que foram criados/configurados) e que temos 10 tabelas do banco de dados com registros apontando para https://cloudapi.online/js/api46.js
Alguém já percebeu essa situação?
Olá Claúdio,
Algumas perguntas e suposições:
1) tem mais algum outro serviço rodando no mesmo servidor (por exemplo wordpress)
2) se sim, está atualizado?
3) confira por favor todas as permissões de pastas dentro da sua instalação do moodle
ps: já vi muito administrador moodle colocar permissão 777 nas pastas /mod /block /local para pode conseguir atualizar plugins via interface do moodle ( o que é um ERRO tremendo por questões de segurança)
Digo isso porque já vi ataques via wordpress onde conseguiram injetar scripts .php nas pastas de /wp-content/uploads que ao serem executados conseguiam injetar .js dentro de todas as pastas do servidor web que possuiam permissão de escrita
Outra coisa> vc pode executar comandos shell para identificar todos os arquivos que foram modificados;
de imediato sugiro vc a reinstalar TODO o moodle substituindo TODO o fonte.