Chrome Dev Summit 2018 is happening now and streaming live on YouTube. Watch now.

Glossário de sites invadidos

O glossário abrange uma coleção de termos técnicos mencionados em toda a nossa documentação de segurança. A lista é ordenada alfabeticamente com os termos em negrito seguidos pela definição.

Privilégios de administrador
Os privilégios de administrador são o nível mais alto de configuração de permissão de conta em um sistema. Esse tipo de privilégio permite ações como excluir todo o site, redefinir senhas ou fazer upload de arquivos.

Backdoor
O backdoor (porta dos fundos, em português) é um programa instalado em um sistema para ignorar os controles de autenticação e manter o acesso.

Técnicas de cloaking
As técnicas de cloaking são práticas usadas para a exibição de diferentes conteúdos ou URLs a usuários reais e mecanismos de pesquisa.

Por exemplo, scripts dinâmicos e regras no .htaccess podem retornar códigos de status com base nas solicitações processadas. Com essa tática, os hackers escondem vestígios ao retornar um código de erro 404 ou 500 para determinados endereços IP ou navegadores, enquanto veiculam spam para outros endereços IP ou navegadores.

Arquivos de configuração
Os arquivos de configuração são usados para armazenar informações como credenciais e local do banco de dados para sites dinâmicos.

Sistema de gerenciamento de conteúdo (CMS, na sigla em inglês)
Os sistemas de gerenciamento de conteúdo são pacotes de software que ajudam os usuários na criação e edição de websites. Exemplos desses sistemas incluem WordPress, Drupal e Joomla!, embora existam muitos outros, incluindo alguns personalizados.

Especialistas em investigação digital forense
Especialistas em investigação digital forense são pessoas ou equipes que podem ajudar você a limpar o site e a identificar como ele foi comprometido.

Página da Web estática
As páginas da Web estáticas têm um único arquivo constante que exibe conteúdo para um website.

Página da Web dinâmica
As páginas da Web dinâmicas usam scripts para gerar conteúdo no site. Elas usam um software para gerar páginas sempre que solicitado, com uma combinação de scripts e modelos para apresentar conteúdos.

eval()
Em PHP e JavaScript, eval() é uma função que avalia uma string e retorna um resultado. As funções eval são desencorajadas quando o site recebe entradas de dados dos usuários, porque isso abre uma vulnerabilidade que permite aos invasores passarem códigos maliciosos (ou seja, injeção de comandos PHP nocivos).

FTP
O Protocolo de transferência de arquivos (FTP, na sigla em inglês) é um protocolo usado para transferir arquivos de uma máquina para outra.

Arquivos ocultos
Arquivos ocultos são arquivos que não aparecem em um diretório por padrão. Normalmente, arquivos como o .htaccess são ocultos para proteger informações importantes contra modificações acidentais. É necessário configurar o sistema de arquivos para permitir a visualização e edição de arquivos ocultos.

Códigos de status HTTP
Os códigos de status HTTP são respostas padronizadas que os servidores da Web retornam junto com o conteúdo quando os usuários tentam interagir com uma página, ao carregar uma página ou enviar um comentário, por exemplo. Esses códigos ajudam os usuários a entender como o website está respondendo ou a identificar erros. Consulte a página de códigos de status da World Wide Web Consortium para ver a lista completa de códigos de status e o que eles significam.

iframe
Os iframes permitem que uma página da Web exiba o conteúdo de uma página dentro de outra. O uso de iframes ocultos é uma tática comum usada por hackers para redirecionar usuários aos sites deles.

Arquivo de registros
Os arquivos de registros são arquivos nos quais os servidores da Web gravam as solicitações dos usuários para acompanhar todas as atividades realizadas no servidor. É possível identificar tentativas de invasão ou tráfego suspeito no site consultando os arquivos de registros.

Malware
Malware é qualquer software especificamente projetado para prejudicar computadores, softwares em execução ou usuários. Saiba mais sobre malware.

Ofuscação
Ofuscação é uma tática usada para confundir as pessoas que interpretam o código, tornando-o mais difícil de ler. Os métodos comuns de ofuscação usados por hackers incluem a substituição de caracteres, a troca intencional de nomes de variáveis e o uso de codificações, como base64, rot13, gzip, codificação de url, codificação hexadecimal ou uma combinação deles. Às vezes, métodos como o base64 e o gzip também são usados para compactar e ocultar grandes quantidades de código, como shells da Web completos.

Phishing
O phishing é uma forma de engenharia social que engana os usuários para que eles forneçam informações confidenciais (como nomes de usuário ou senhas) ao se disfarçar de uma fonte confiável. Por exemplo, o phisher enviará um email para a vítima em potencial fingindo ser do banco e solicitando as credenciais da conta bancária dela. Saiba mais sobre o phishing.

Search Console
O Search Console é um serviço gratuito oferecido pelo Google que ajuda você a monitorar e a manter a presença do seu site nos resultados da Pesquisa Google. O Google também usa o Search Console para se comunicar com os webmasters sobre problemas nos websites deles. Saiba mais sobre o Search Console.

Sitemap
O sitemap é um arquivo que contém a lista de páginas da Web em um site para informar os mecanismos de pesquisa sobre a organização do conteúdo do site. Saiba mais sobre os sitemaps.

Engenharia social
A engenharia social é uma técnica usada para ganhar acesso ou controlar informações confidenciais tentando enganar as pessoas para que elas forneçam o acesso, em vez de atacar o código diretamente. Uma das formas mais comuns de engenharia social é o phishing. Saiba mais sobre engenharia social.

Pico de tráfego
Os picos de tráfego são aumentos súbitos ou inesperados no tráfego do website.

Autenticação de dois fatores (2FA)
A autenticação de dois fatores é um mecanismo de segurança usado para proteger o login da conta exigindo pelo menos dois tokens de comprovação. Por exemplo, um usuário que usa a autenticação de dois fatores precisa inserir uma senha e um código de segurança recebido via SMS para acessar a conta.

Serviço de hospedagem na Web
Os serviços de hospedagem na Web oferecem aos usuários espaço para hospedagem do site em um servidor da Web, como o Google Sites. Dependendo do serviço, outros recursos ou ferramentas podem estar disponíveis.

Linguagens de script da Web
As linguagens de script da Web geralmente são usadas em combinação com o HTML para adicionar outros recursos a um site. Por exemplo, as linguagens de script são usadas para processar formulários, moderar comentários ou criar efeitos visuais especiais. Nesse contexto, os guias de recuperação de invasão usam o termo "linguagem de script" para se referir ao PHP ou JavaScript.

O PHP é uma linguagem de script do lado do servidor, o que significa que o servidor da Web interpreta e executa os comandos.

O Javascript é principalmente uma linguagem do lado do cliente, o que significa que o navegador do usuário interpreta e executa os comandos.

Servidor da Web
Um servidor da Web é a máquina e o software que hospeda e controla páginas da Web e outros arquivos relacionados a um website.

Shell da Web
Um shell da Web é um script de backdoor que permite aos invasores manterem o acesso a um servidor.

Spam na Web
Spam na Web é uma tática abusiva de otimização de mecanismos de pesquisa (SEO) ou conteúdo de spam que tenta aumentar a classificação ou a popularidade de um site ao enganar e manipular os mecanismos de pesquisa.