opa Marcelo.. bem colocado sua sugestao de footprint .. é preciso mudar o banner do apache e do SO tbm... :)
---------- Original Message ----------- From: "Marcelo M. Fleury" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" <freebsd@fug.com.br> Sent: Fri, 22 Feb 2008 11:10:56 -0300 Subject: Re: [FUG-BR] OT-Ataque PHP injection > Bom, > > a pergunta é sobre sofrer ataques ou prover ataques ? Seria bom esclarecer > isso, a maioria das respostas é como evitar os ataques, mas eu > entendi que ela quer garantir que em seu servidor não tenha códigos > maliciosos, capazes de prover ataques em OUTROS servidores e não no dela... > > Gustavo, acrescentaria na sua lista o magic_quotes_gpc.... de > qualquer formar, acredito que todas devem ser analisadas, buscando > mensurar o impacto nos sistemas existentes... > > com relação a alterar a extensão do php, não sei até que ponto isso é > valido... teria que se alterar o banner do apache também, dentre outras > coisas( eu acho )... ataques de footprint são cada vez mais sofisticados... > > []s > > Em 22/02/08, Gustavo Polillo Correa <[EMAIL PROTECTED]> escreveu: > > > > > > no php.ini vc pode fazer : > > > > disable_functions = system,exec > > > > isso fara com que o php nao execute as funcoes system() e nem exec().. > > dando > > maior seguranca a ataques desse tipo.. outras variaveis interessantes para > > prover maior seguranca no php sao: > > > > safe_mode= On > > safe_mode_gid=Off > > expose_php=Off > > register_globals=Off (sem comentarios.. rsrs) > > dispaly_error=Off > > log_eroor=On > > error_log=php_erro.log > > > > Considerando que seu php nao emitira erros, vale ainda configurar o > > apache: > > > > trocar : > > AddType application/x-httpd-php .php > > > > Por: > > AddType application/x-httpd-php .jsp > > > > Ou > > AddType application/x-httpd-php .dhmtl > > > > Ai vc renomeia todos os seus arquivos .php para jsp ou dhtml e isso > > dificultara ao atacante qual a tecnologia que vc esta usando.. ele pensara > > que > > é java pages ou dhtml ou asp.. enquanto que vc usa php!! Mas se vc deixar > > a > > variavel display_error=On, qdo der um erro.. o cara ja vai saber o que vc > > sta > > usando.. > > > > isso ajuda mas nao evita ataques contra programacao mal feita!! > > > > modsecurity do apache é muito bom... acho que todos deveriam ter... com > > bons > > filtros.. ajuda muuuito!! > > > > ate. > > > > Gustavo Polillo Correa. > > > > > > > > > > > > ---------- Original Message ----------- > > From: "Marcelo M. Fleury" <[EMAIL PROTECTED]> > > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" < > > freebsd@fug.com.br> > > Sent: Fri, 22 Feb 2008 09:59:32 -0300 > > Subject: Re: [FUG-BR] OT-Ataque PHP injection > > > > > Olá, > > > > > > até onde eu entendi, o interesse da Cristina é em não ser uma > > > provedora de códigos maliciosos, no caso PHP. > > > > > > Acredito que um IDS/IPS não adiantaria, uma vez que não se trata de > > ataques > > > a rede/host, e sim de que a rede ou host seja uma provedora de > > > ataques... na realidade não conheço solução voltada para isso... > > > existe o mod_security do apache que pode te ajudar a monitorar e > > > filtrar suas aplicações. > > > > > > Penso em algum programa que cheque a integridade de arquivos no > > > servidor, algo parecido com o file: > > > > > > [EMAIL PROTECTED]:~$ cat sh.gif > > > <?php > > > system($_GET['sh']); > > > ?> > > > [EMAIL PROTECTED]:~$ file sh.gif > > > sh.gif: PHP script text > > > > > > e depois, habilitar alguns filtros no mod_security buscando checar > > qualquer > > > uso indevido do php... confesso que não conheço muito o mod_security, > > > uma vez que não trampo mais como sysadmin e sim como > > > desenvolvedor(quero arrumar um tempo para brincar com ele). > > > > > > Acredito que no mais é realizar auditorias... procurar nos logs do > > apache > > > por qualquer comando... estilo uname, id, ls ... nada que o cat,grep, > > > awk não resolva! > > > > > > Espero ter ajudado, boa sorte! > > > > > > Em 22/02/08, William Grzybowski <[EMAIL PROTECTED]> escreveu: > > > > > > > > Oi Patrick, > > > > > > > > Não sei se entendi muito bem, poderia me dar uma luz? > > > > Php injection, como próprio nome ja diz é a inserção de codigo php > > > > causado por código mal escrito que permito o injeção de código php > > > > externo no servidor, correto? > > > > > > > > Como que funcionam essas regras que você falou? Essas empresas liberam > > > > regras que atuam (obviamente) na ""camada"" do HTTP e analizam o > > > > trafego para os softwares vulneraveis que eles tem conhecimento e > > > > inclusao direta de scripts em servidores externos? > > > > > > > > Vlw > > > > > > > > 2008/2/21 Patrick Tracanelli <[EMAIL PROTECTED]>: > > > > > > > > > Cristina Fernandes Silva escreveu: > > > > > > > > > > > É cobrada essas regras ? Vc tem alguma faixa de preço ? é > > apllicance > > > > > > ? ou somente as regras que posso usar no snort. > > > > > > > > > > Sim, são cobradas. Na Source Fire depende do seu perfil, tem varios > > > > > precos. Eles confiam no que voce diz: Se voce diz que é pequeno > > porte, > > > > > não importa se é uma multinacional, pagara como pequeno. No site da > > > > > SourceFire tem todos os detalhes sobre preços. > > > > > > > > > > São só as regras a principio, mas pode comprar o sistema deles. Não > > > > > conheço quem use no país o sistema deles. Mas não parece ser mais > > do > > > > que > > > > > o Snort com um front-end muito amigável. > > > > > > > > > > No caso da Juniper tem direito automaticamente a versão convertida > > pra > > > > > Snort todos que tem Juniper série 5000 e já pague a licença anual > > do > > > > IPS > > > > > (que é um add-on no firewall Juniper). > > > > > > > > > > No Brasil quem representa a venda das assinaturas Source Fire é a > > > > > BRConnection. > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > > Em 21/02/08, Patrick Tracanelli<[EMAIL PROTECTED]> > > > > escreveu: > > > > > >> Cristina Fernandes Silva escreveu: > > > > > >> > > > > > >>> Acho que não fui clara, Vou explicar, > > > > > >> > > > > > > >> > Quero evitar que alguem da minha rede use o meu ip (endereço > > ) > > > > para > > > > > >> > fazer ataques > > > > > >> > de php injection para outro endereço externo. Até mesmo os > > meus > > > > > >> > usuarios interno fazer algum ataque para servidores > > externos.. > > > > > >> > > > > > >> > > > > > >> Cristina, um IDS ou IPS (Snort) sem dúvidas, é suficiente. O > > nível > > > > de > > > > > >> satisfação vai depender da qualidade das regras de análise de > > > > instrusão > > > > > >> que você utilizar. Isso quer dizer que dependendo do nível de > > > > seriedade > > > > > >> da empresa será proveitoso assinar um serviço (comercial) que > > > > oferece > > > > > >> regras testadas e atualizadas. Apesar da escolha natural ser > > Source > > > > > >> Fire, minha escolha pessoal (e sugestão) é pelas regras > > fornecidas > > > > pela > > > > > >> Juniper. São as mesmas utilizadas no Juniper série 5000, > > > > convertidas pro > > > > > >> Snort. > > > > > >> > > > > > >> ------------------------- > > > > > >> Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > > > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > >> > > > > > > ------------------------- > > > > > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > > > > > > ------------------------- > > > > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > > > > > > > > > > > > > > > > > > > > > -- > > > > > > > > William Grzybowski > > > > ------------------------------------------ > > > > Jabber: william88 at gmail dot com > > > > Curitiba/PR - Brazil > > > > ------------------------- > > > > > > > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > > > > > > -- > > > Att, Marcelo M. Fleury > > > Linux User: #369521 > > > Blog - http://marcelomf.blogspot.com/ > > > > > > "Não basta saber, é preciso também aplicar; não basta querer é > > > preciso também agir" By Goethe > > > ------------------------- > > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > ------- End of Original Message ------- > > > > > > ------------------------- > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > -- > Att, Marcelo M. Fleury > Linux User: #369521 > Blog - http://marcelomf.blogspot.com/ > > "Não basta saber, é preciso também aplicar; não basta querer é > preciso também agir" By Goethe > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd ------- End of Original Message ------- ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
