nginx virus

[mestivalet]

Meu Xubuntu 12.04 e 13.10 estão contaminados por um virus. Quando abro o blogger.com ou qualquer blog do blogspot, aparece a seguinte saudação:

Welcome to nginx!

If you see this page, the nginx web server is successfully installed and working. Further configuration is required.

For online documentation and support please refer to nginx.org.
Commercial support is available at nginx.com.

Thank you for using nginx.



Em uma rápida pesquisa pela web, pode-se conferir que esse  é um sintoma de um vírus conhecido como "welcome do nginx" ou simplesmente como "nginx" e que nada tem a ver com o nginx. Ele não apenas afeta o firefox, como o chromium (que raramente é usado).

O curioso é que se digito um endereço válido do tipo blogger.com/<...> o virus não me desvia do acesso à página.

Esse sintoma aparece por um ou dois dias, depois desaparece por um tempo mais demorado, e quando acho que me livrei do virus ele reaparece.

Já formatei os pendrives, já rodei "sudo freshclam"  e "sudo clamscan -r /", já limpei o cache do navegador, e o vírus retorna.

No Xubuntu 12.04, é muito pouco provável que alguém tenha autenticado a instalação desse virus. E, no Xubuntu 13.10, isso com certeza não aconteceu.

Alguém faz ideia de como solucionar esse problema?

[Eliseu Carvalho]

Até onde eu sei isso não é virus.

[Arthur Bernardes]

Cara, só traduza a mensagem!!

Bem vindo ao nginx!

Se você está vendo esta página, significa que o servidor nginx está instalado com sucesso e trabalhando. Configurações adicionais são necessárias.

Para documentação e suporte online por favor consultar em nginx.org

Suporte comercial está disponível em nginx.com

Obrigado por utilizar o nginx.

Esse servidor está instalado em sua própria máquina?

[zekkerj]

Remova o vírus nginx de sua máquina!!!

sudo apt-get purge nginx

Saiba como se proteger dele!!!

http://packages.ubuntu.com/raring/nginx

[mestivalet]

Remova o vírus nginx de sua máquina!!!

sudo apt-get purge nginx

Saiba como se proteger dele!!!

http://packages.ubuntu.com/raring/nginx

Obrigado pela resposta, mas o problema persiste.
Detalhe: nunca instalei o nginx.

Mesmo assim, segui seu conselho e o resultado foi esse:

manuel@manuel-Inspiron-3420:~$ sudo apt-get purge nginx
[sudo] password for manuel:
Lendo listas de pacotes... Pronto
Construindo árvore de dependências       
Lendo informação de estado... Pronto
Pacote 'nginx' não está instalado, portanto não foi removido
Os seguintes pacotes foram automaticamente instalados e não são mais necessários:
  avidemux2.6-common avidemux2.6-jobs calligra-l10n-engb calligra-l10n-pt
  calligra-l10n-ptbr calligra-l10n-zhcn create-resources hyphen-en-us
  kdevelop-l10n kdevelop-php-docs-l10n kdevelop-php-l10n language-pack-kde-en
  language-pack-kde-pt libasn1-8-heimdal:i386 libasprintf0c2:i386
  libavidemux2.6 libcapi20-3:i386 libcroco3:i386 libexif12:i386
  libgd2-xpm:i386 libgettextpo0:i386 libgif4:i386 libglu1-mesa:i386
  libgomp1:i386 libgphoto2-2:i386 libgphoto2-port0:i386
  libgssapi3-heimdal:i386 libgtlcore0.8 libgtlfragment0.8
  libhcrypto4-heimdal:i386 libheimbase1-heimdal:i386 libheimntlm0-heimdal:i386
  libhx509-5-heimdal:i386 libieee1284-3:i386 libkrb5-26-heimdal:i386
  libldap-2.4-2:i386 libllvm3.0 libltdl7:i386 libmpg123-0:i386 libopenal1:i386
  libopenshiva0.8 libqtshiva0.1 libroken18-heimdal:i386 libsane:i386
  libsasl2-2:i386 libsasl2-modules:i386 libspnav0 libunistring0:i386
  libusb-0.1-4:i386 libusb-1.0-0:i386 libv4l-0:i386 libv4lconvert0:i386
  libvisio-0.0-0 libwind0-heimdal:i386 libxbase2.0-0 libxcomposite1:i386
  libxcursor1:i386 libxinerama1:i386 libxpm4:i386 libxrandr2:i386
  libxslt1.1:i386 myspell-pt mythes-en-au openoffice.org-hyphenation
  wine-gecko1.4:i386
Use 'apt-get autoremove' para removê-los.
0 pacotes atualizados, 0 pacotes novos instalados, 0 a serem removidos e 0 não atualizados.
manuel@manuel-Inspiron-3420:~$

PS: já vou rodar o autoremove.

[Eliseu Carvalho]

Se apareceu essa mensagem num site, é porque provavelmente o mesmo deve estar com algum problema. Isso nada tem a ver com o teu PC, e sim lá com a administração do site, lá sim eles têm que tomar providências pro site funcionar de novo.

[linuser104]

por curiosidade, qual é o conteúdo do arquivo host que fica em /etc

sudo gedit /etc/hosts

o DNS aí está em automático ou você mudou para algum diferente do fornecido pelo seu provedor.

[mestivalet]

Cara, só traduza a mensagem!!
(...)
Esse servidor está instalado em sua própria máquina?

Arthur, a tradução não interessa, pois não é uma mensagem oficial do nginx -- é qualquer coisa que interfere na navegação.

Creio que seja um virus com base no que pesquisei na internet. Para quem lê inglês, pode conferir sites que se referem ao mesmo problema: http://www.2-spyware.com/remove-nginx-virus.html e http://forum.arduino.cc/index.php?topic=175131.0

[mestivalet]

por curiosidade, qual é o conteúdo do arquivo host que fica em /etc

sudo gedit /etc/host

o DNS aí está em automático ou você mudou para algum diferente do fornecido pelo seu provedor.

No arquivo host.conf, o conteúdo é:

# The "order" line is only used by old versions of the C library.
order hosts,bind
multi on


Se digito "sudo gedit /etc/host" apenas abre um arquivo vazio.

Não entendo como o DNS pode ter sido afetado.

[linuser104]

por curiosidade, qual é o conteúdo do arquivo host que fica em /etc

sudo gedit /etc/host

o DNS aí está em automático ou você mudou para algum diferente do fornecido pelo seu provedor.

No arquivo host.conf, o conteúdo é:

# The "order" line is only used by old versions of the C library.
order hosts,bind
multi on


Se digito "sudo gedit /etc/host" apenas abre um arquivo vazio.

Não entendo como o DNS pode ter sido afetado.

Errei o nome na verdade é hosts

[mestivalet]

por curiosidade, qual é o conteúdo do arquivo host que fica em /etc

Ah, no arquivo /etc/hosts, o conteúdo é:

127.0.0.1   localhost
127.0.1.1   manuel-Inspiron-3420

# The following lines are desirable for IPv6 capable hosts
::1     ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

[linuser104]

por curiosidade, qual é o conteúdo do arquivo host que fica em /etc

Ah, no arquivo /etc/hosts, o conteúdo é:

127.0.0.1   localhost
127.0.1.1   manuel-Inspiron-3420

# The following lines are desirable for IPv6 capable hosts
::1     ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

Tudo normal.

Como os colegas informaram isso aí muito provavelmente não é virus, veja:

http://semvirus.pt/nginx-virus/

olha o comentário de lá:

MEU DEUS diz
Agosto 12th, 2013 at 3:50 pm

QUANTA BESTEIRA JUNTA E REUNIDA! O NIGINX NA VERDADE È UM SERVIDOR WEB ( PRA QUE VC TOLO E INUTIL QUE TA LENDO ESSA derma AGORA, VISUALIZE O CONTEUDO DA PAGINA ) , PROXY REVERSO E PROXY BALANCEADOR DE CARGA. O NGINX É UMA VERSÂO DO APACHE2 MELHORADA, UTILIZADA ATÉ PELO TWITTER. EU ACHO QUE O AUTOR DESTE POST DEVERIA SER AUTOR DE LIVROS DE FICÇÃO CIÊNTIFICA, TALVEZ TENHA MAIS FUTURO.

DOIS CONSELHOS:

ESTUDE PRA PODER POSTAR ALGO NA INTERNET!!!!!!
VAI ESCREVER LIVROS DE FICÇÃO, VAI SE DAR MELHOR LÁ.

E AH, SOU FORMADO EM CIÊNCIAS DA COMPUTAÇÃO, COM PÓS GRADUAÇÃO EM REDES.

e aqui também:

http://answers.microsoft.com/en-us/windows/forum/windows_xp-security/how-to-remove-ngnix-virus-from-windows-xp-pro/6b95b9ad-b64e-43f7-bc02-2a335b57b93e

Answer
KuttusRam replied on


Nginx is NOT A VIRUS! It's an open source web server and a reverse proxy server. When you get the "Welcome to Nginx!" (that's pronounced 'engine x') message, something may have gone awry on the server side. Here's what you can try...


1: Empty your browser cache by deleting all temp files and (possibly defective) cookies, then re-start your machine. Problem solved? Fine, if not, read on...

2: Reboot your router – unplug it, wait about a minute, and then plug it back in. This could also work...

neste ultimo manda limpar o cache e dar um reboot no roteador.

De qualquer forma é bom verificar os se os DNS não foram alterados no seu sistema/roteador.

[Eliseu Carvalho]

por curiosidade, qual é o conteúdo do arquivo host que fica em /etc

Ah, no arquivo /etc/hosts, o conteúdo é:

127.0.0.1   localhost
127.0.1.1   manuel-Inspiron-3420

# The following lines are desirable for IPv6 capable hosts
::1     ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

Tudo normal.

Como os colegas informaram isso aí muito provavelmente não é virus, veja:

http://semvirus.pt/nginx-virus/

olha o comentário de lá:

MEU DEUS diz
Agosto 12th, 2013 at 3:50 pm

QUANTA BESTEIRA JUNTA E REUNIDA! O NIGINX NA VERDADE È UM SERVIDOR WEB ( PRA QUE VC TOLO E INUTIL QUE TA LENDO ESSA derma AGORA, VISUALIZE O CONTEUDO DA PAGINA ) , PROXY REVERSO E PROXY BALANCEADOR DE CARGA. O NGINX É UMA VERSÂO DO APACHE2 MELHORADA, UTILIZADA ATÉ PELO TWITTER. EU ACHO QUE O AUTOR DESTE POST DEVERIA SER AUTOR DE LIVROS DE FICÇÃO CIÊNTIFICA, TALVEZ TENHA MAIS FUTURO.

DOIS CONSELHOS:

ESTUDE PRA PODER POSTAR ALGO NA INTERNET!!!!!!
VAI ESCREVER LIVROS DE FICÇÃO, VAI SE DAR MELHOR LÁ.

E AH, SOU FORMADO EM CIÊNCIAS DA COMPUTAÇÃO, COM PÓS GRADUAÇÃO EM REDES.

e aqui também:

http://answers.microsoft.com/en-us/windows/forum/windows_xp-security/how-to-remove-ngnix-virus-from-windows-xp-pro/6b95b9ad-b64e-43f7-bc02-2a335b57b93e

Answer
KuttusRam replied on


Nginx is NOT A VIRUS! It’s an open source web server and a reverse proxy server. When you get the “Welcome to Nginx!” (that’s pronounced ‘engine x’) message, something may have gone awry on the server side. Here’s what you can try…


1: Empty your browser cache by deleting all temp files and (possibly defective) cookies, then re-start your machine. Problem solved? Fine, if not, read on…

2: Reboot your router – unplug it, wait about a minute, and then plug it back in. This could also work…

neste ultimo manda limpar o cache e dar um reboot no roteador.

De qualquer forma é bom verificar os se os DNS não foram alterados no seu sistema/roteador.

Essa do livro de ficção científica foi ótima kkkkkkkkkkkk
Então, mestivalet, fique tranquilo, não há nenhum virus aí.

[zekkerj]

Então; brincadeiras à parte, tem algumas coisas que eu consigo imaginar que possam ter disparado essa mensagem aí.

Você está usando sua máquina em casa, ou em alguma rede, tipo faculdade, shopping, etc? Conexão via rádio, talvez?

[mestivalet]

Problema resolvido, obrigado.

A única coisa que eu não havia tentado era reiniciar o roteador wireless (limpar o cache e reiniciar o computador sempre foi insuficiente).

Agora consigo entender melhor o que aconteceu, embora ainda não saiba o porquê. Também não sei como evitar que o problema se repita.

zekkerj, isso acontece em casa, utilizo um serviço de acesso via rádio.