Em Qua, 2006-12-13 às 09:24 -0200, Renato Frederick escreveu: > Pelo que pude ver o que o clamav está reclamando é que o portal do seu > cliente em php tem trojan que permite acesso shell via php. > Ou seja, via php o cliente pode passar uma string maluca que faz algo como > "rm -rf ." ou "/tmp/programa_que_abre_um_backdor.sh", enfim, executa qq > comando shell. > Se o apache também estiver comprometido o cliente pode fazer upload de um > trojan pro /tmp por exemplo e via php executá-lo. Experimente dar um ps aux > e verificar se não tem nada de estranho rodando (como daemons com o mesmo > nome de programas licitos mas em diretorios diferentes, tipo ./inetd ou > ./http (ao inves de /usr/sbin/inetd, /usr/local/bin/httpd, etc etc). > > Normalmente isso ocorre porque o seu php.ini está inseguro, bem como a > permissão do seu diretório www está muito aberta, etc etc. > > Com isso o cliente, inocentemente ou maliciosamente(ou ainda, é invadido) e > fica com um script vulnerável no seu diretório. > > A questão é bem mais embaixo que problemas do linux. Se você ativar o > freebsd e nao proteger seus scripts e clientes de maneira correta, pode sim > dar o mesmo problema. > > Cheque com cuidado as flags do php.ini, como safe_mode, register_globals, > etc etc. Caso a página do cliente seja tão mal feita que precise disto > ativo, coloque estas flags só no virtualhost dele, por exemplo. > > Caso estes scripts sejam de sua empresa, dá uma prensa no programador, > porque está mal feito :) > > Sobre o kernel, não sei de linux, mas no freebsd há securelevels e outras > medidas paranoicas que evitam até que você altere a data sem dar um boot e > iniciar em single mode ;) > Essas e outras medidas evitam por exemplo instalação de root-kits e outros > problemas, tão comuns nesses linux que existem por aí. > Creio que o handbook do freebsd dá uma pincelada nestes pontos, você pode > baixá-lo e procurar essa seção, prá proteger melhor sua rede. > > > Abraços > > > > -----Mensagem original----- > > De: [EMAIL PROTECTED] > > [mailto:[EMAIL PROTECTED] Em nome de Márcio Luciano Donada > > Enviada em: quarta-feira, 13 de dezembro de 2006 08:31 > > Para: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > > Assunto: Re: [FUG-BR] Invasão de servidor Linux > > > > -----BEGIN PGP SIGNED MESSAGE----- > > Hash: SHA1 > > > > Cristina Fernandes Silva wrote: > > > Pessoal, > > > > > > Estou com um servidor Cent OS que foi invadido recentemente. > > Aproveitando estamos migrando para o > > > FreeBSD. > > > > > > Fizemos backup dos arquivos httml,gif,jpg,doc para o > > servidor FreeBSD > > > > > > Porem passei o clamav e ele dectetou varios virus, coisa > > que no CENT > > > OS > > nao e > > > > > > /html/index.html: Trojan.Downloader.JS.ADODBStream FOUND > > > /html/supeer/portal/new.php: PHP.Shell FOUND > > > /html/maquina/adm.php: Trojan.PHP.C99Shell FOUND > > > /html/diretorio1/bs: Linux.Osf.3974 FOUND > > > > > > A minha duvida é, sera que o meu servidor FreeBSD ja esta > > injectado ? > > eu movi para estes arquivos > > > para uma pasta exclusiva para arquivos infectados. > > > > > > Foi correto isso ? > > > > > > Outro detalhe, segundo o administrador desta maquina > > (Linux) talvez o > > kernel foi comprometido, > > > isso é posivel no FreeBSD, como eu posso saber se o meu kernel esta > > comprometido. > > > > > > > Talvez o problema seja quando você for executar isso. Mas > > seria interessante, acho que deve ser parte de um site esses > > arquivos, colocar o apache em chroot, para evitar qualquer > > tipo de problema. E tome muito cuidado com o php. No mais o > > FreeBSD tem muitas opções para não alterar kernel e tudo > > mais, muito mas muito mais seguro. > > > > Abraço, > >
Uma boa solução é colocar o diretorio root do apache em uma partição montada com noexec e nosuid , fora ainda chflags que podem ser usadas nos recursivamente na arvore do site -- Marcello Costa BSD System Engineer unixmafia at yahoo dot com dot br FUG-BR #156 http://www.fug.com.br _______________________________________________________ Novidade no Yahoo! Mail: receba alertas de novas mensagens no seu celular. Registre seu aparelho agora! http://br.mobile.yahoo.com/mailalertas/ ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
