Olá, até onde eu entendi, o interesse da Cristina é em não ser uma provedora de códigos maliciosos, no caso PHP.
Acredito que um IDS/IPS não adiantaria, uma vez que não se trata de ataques a rede/host, e sim de que a rede ou host seja uma provedora de ataques... na realidade não conheço solução voltada para isso... existe o mod_security do apache que pode te ajudar a monitorar e filtrar suas aplicações. Penso em algum programa que cheque a integridade de arquivos no servidor, algo parecido com o file: [EMAIL PROTECTED]:~$ cat sh.gif <?php system($_GET['sh']); ?> [EMAIL PROTECTED]:~$ file sh.gif sh.gif: PHP script text e depois, habilitar alguns filtros no mod_security buscando checar qualquer uso indevido do php... confesso que não conheço muito o mod_security, uma vez que não trampo mais como sysadmin e sim como desenvolvedor(quero arrumar um tempo para brincar com ele). Acredito que no mais é realizar auditorias... procurar nos logs do apache por qualquer comando... estilo uname, id, ls ... nada que o cat,grep,awk não resolva! Espero ter ajudado, boa sorte! Em 22/02/08, William Grzybowski <[EMAIL PROTECTED]> escreveu: > > Oi Patrick, > > Não sei se entendi muito bem, poderia me dar uma luz? > Php injection, como próprio nome ja diz é a inserção de codigo php > causado por código mal escrito que permito o injeção de código php > externo no servidor, correto? > > Como que funcionam essas regras que você falou? Essas empresas liberam > regras que atuam (obviamente) na ""camada"" do HTTP e analizam o > trafego para os softwares vulneraveis que eles tem conhecimento e > inclusao direta de scripts em servidores externos? > > Vlw > > 2008/2/21 Patrick Tracanelli <[EMAIL PROTECTED]>: > > > Cristina Fernandes Silva escreveu: > > > > > É cobrada essas regras ? Vc tem alguma faixa de preço ? é apllicance > > > ? ou somente as regras que posso usar no snort. > > > > Sim, são cobradas. Na Source Fire depende do seu perfil, tem varios > > precos. Eles confiam no que voce diz: Se voce diz que é pequeno porte, > > não importa se é uma multinacional, pagara como pequeno. No site da > > SourceFire tem todos os detalhes sobre preços. > > > > São só as regras a principio, mas pode comprar o sistema deles. Não > > conheço quem use no país o sistema deles. Mas não parece ser mais do > que > > o Snort com um front-end muito amigável. > > > > No caso da Juniper tem direito automaticamente a versão convertida pra > > Snort todos que tem Juniper série 5000 e já pague a licença anual do > IPS > > (que é um add-on no firewall Juniper). > > > > No Brasil quem representa a venda das assinaturas Source Fire é a > > BRConnection. > > > > > > > > > > > > > > > > > > Em 21/02/08, Patrick Tracanelli<[EMAIL PROTECTED]> > escreveu: > > >> Cristina Fernandes Silva escreveu: > > >> > > >>> Acho que não fui clara, Vou explicar, > > >> > > > >> > Quero evitar que alguem da minha rede use o meu ip (endereço ) > para > > >> > fazer ataques > > >> > de php injection para outro endereço externo. Até mesmo os meus > > >> > usuarios interno fazer algum ataque para servidores externos.. > > >> > > >> > > >> Cristina, um IDS ou IPS (Snort) sem dúvidas, é suficiente. O nível > de > > >> satisfação vai depender da qualidade das regras de análise de > instrusão > > >> que você utilizar. Isso quer dizer que dependendo do nível de > seriedade > > >> da empresa será proveitoso assinar um serviço (comercial) que > oferece > > >> regras testadas e atualizadas. Apesar da escolha natural ser Source > > >> Fire, minha escolha pessoal (e sugestão) é pelas regras fornecidas > pela > > >> Juniper. São as mesmas utilizadas no Juniper série 5000, > convertidas pro > > >> Snort. > > >> > > >> ------------------------- > > >> Histórico: http://www.fug.com.br/historico/html/freebsd/ > > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > >> > > > ------------------------- > > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > ------------------------- > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > > > -- > > William Grzybowski > ------------------------------------------ > Jabber: william88 at gmail dot com > Curitiba/PR - Brazil > ------------------------- > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > -- Att, Marcelo M. Fleury Linux User: #369521 Blog - http://marcelomf.blogspot.com/ "Não basta saber, é preciso também aplicar; não basta querer é preciso também agir" By Goethe ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd