Aproveitando a discussão, uma solução comercial bacana que detecta estes e outros tipos de ameaças à segurança:
http://www.cisco.com/en/US/products/hw/vpndevc/ps4077/index.html Há também um módulo de rede(slot) para a série 26, 36 e 37, com capacidade menor, é claro, mas com mesma versão do IDS sensor... > -----Mensagem original----- > De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em > nome de Marcelo M. Fleury > Enviada em: sexta-feira, 22 de fevereiro de 2008 12:52 > Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) > Assunto: Re: [FUG-BR] OT-Ataque PHP injection > > Bom, > Patrick, você está certo :), obrigado pelo post explicativo, tanto > tempo sem > mexer no snort ou em qualquer ids/ips, me fez confundir as bolas xD. > > []s > Em 22/02/08, Patrick Tracanelli <[EMAIL PROTECTED]> escreveu: > > > > Patrick Tracanelli escreveu: > > > > > Marcelo M. Fleury escreveu: > > >> Olá, > > >> > > >> até onde eu entendi, o interesse da Cristina é em não ser uma > provedora > > de > > >> códigos maliciosos, no caso PHP. > > > > > > Então entendemos coisas distintas. Ao meu ver ela nao quer q > usuarios > > > internos façam ataque de injection em qualquer q seja o > destino/alvo. > > > > > > Ou melhor, *não* façam. > > > > > > > > > >> Acredito que um IDS/IPS não adiantaria, uma vez que não se trata > de > > ataques > > >> a rede/host, e sim de que a rede ou host seja uma provedora de > > ataques... > > > > > > E qual é a diferença? Sendo um IDS de rede, sua função é filtrar os > 2 > > > fluxos, o que sai e o que entra na/da rede. Ainda não entendi a > > > relutancia hehe. > > > > > > na > > >> realidade não conheço solução voltada para isso... existe o > > mod_security > > > > > > A solução é o IPS/IDs hehe ;) > > > > > > O mod_security é fantastico, mas não se aplica, nem de longe, ao > que ela > > > quer. O mod_security é o mais indicado pra proteger exclusivamente > o > > > Apache local. É um DSO e como tal roda no mesmo nível do httpd. > Portanto > > > sequer, é capaz de identificar padrões iniciados da maquina com > > > mod_security para outros destinos. Apenas quando o destino final é > o > > > Apache (serviço httpd). > > > > > > do > > >> apache que pode te ajudar a monitorar e filtrar suas aplicações. > > >> > > >> Penso em algum programa que cheque a integridade de arquivos no > > servidor, > > >> algo parecido com o file: > > >> > > >> [EMAIL PROTECTED]:~$ cat sh.gif > > >> <?php > > >> system($_GET['sh']); > > >> ?> > > >> [EMAIL PROTECTED]:~$ file sh.gif > > >> sh.gif: PHP script text > > >> > > >> e depois, habilitar alguns filtros no mod_security buscando checar > > qualquer > > >> uso indevido do php... confesso que não conheço muito o > mod_security, > > uma > > >> vez que não trampo mais como sysadmin e sim como > desenvolvedor(quero > > arrumar > > >> um tempo para brincar com ele). > > >> > > >> Acredito que no mais é realizar auditorias... procurar nos logs do > > apache > > >> por qualquer comando... estilo uname, id, ls ... nada que o > > cat,grep,awk não > > >> resolva! > > > > > > Eu discordo plenamente. Olhar logs é forense. Segurança tem que ser > > > pro-ativa. > > > > > > E pelo que entendi na situação da Cristina ela não terá logs do > Apache > > > ou PHP pra olhar, ja que ela quer evitar que ataques sejam > provenientes > > > de seu ambiente, nao destinados a ele (ou pelo menos ambos os > casos). > > > > > >> Espero ter ajudado, boa sorte! > > >> > > >> > > >> Em 22/02/08, William Grzybowski <[EMAIL PROTECTED]> escreveu: > > >>> Oi Patrick, > > >>> > > >>> Não sei se entendi muito bem, poderia me dar uma luz? > > >>> Php injection, como próprio nome ja diz é a inserção de codigo > php > > >>> causado por código mal escrito que permito o injeção de código > php > > >>> externo no servidor, correto? > > >>> > > >>> Como que funcionam essas regras que você falou? Essas empresas > liberam > > >>> regras que atuam (obviamente) na ""camada"" do HTTP e analizam o > > >>> trafego para os softwares vulneraveis que eles tem conhecimento e > > >>> inclusao direta de scripts em servidores externos? > > >>> > > >>> Vlw > > >>> > > >>> 2008/2/21 Patrick Tracanelli <[EMAIL PROTECTED]>: > > >>> > > >>>> Cristina Fernandes Silva escreveu: > > >>>> > > >>>>> É cobrada essas regras ? Vc tem alguma faixa de preço ? é > > apllicance > > >>>> > ? ou somente as regras que posso usar no snort. > > >>>> > > >>>> Sim, são cobradas. Na Source Fire depende do seu perfil, tem > varios > > >>>> precos. Eles confiam no que voce diz: Se voce diz que é pequeno > > porte, > > >>>> não importa se é uma multinacional, pagara como pequeno. No > site da > > >>>> SourceFire tem todos os detalhes sobre preços. > > >>>> > > >>>> São só as regras a principio, mas pode comprar o sistema deles. > Não > > >>>> conheço quem use no país o sistema deles. Mas não parece ser > mais do > > >>> que > > >>>> o Snort com um front-end muito amigável. > > >>>> > > >>>> No caso da Juniper tem direito automaticamente a versão > convertida > > pra > > >>>> Snort todos que tem Juniper série 5000 e já pague a licença > anual do > > >>> IPS > > >>>> (que é um add-on no firewall Juniper). > > >>>> > > >>>> No Brasil quem representa a venda das assinaturas Source Fire é > a > > >>>> BRConnection. > > >>>> > > >>>> > > >>>> > > >>>> > > > >>>> > > > >>>> > > > >>>> > Em 21/02/08, Patrick Tracanelli<[EMAIL PROTECTED]> > > >>> escreveu: > > >>>> >> Cristina Fernandes Silva escreveu: > > >>>> >> > > >>>> >>> Acho que não fui clara, Vou explicar, > > >>>> >> > > > >>>> >> > Quero evitar que alguem da minha rede use o meu ip > (endereço > > ) > > >>> para > > >>>> >> > fazer ataques > > >>>> >> > de php injection para outro endereço externo. Até mesmo > os > > meus > > >>>> >> > usuarios interno fazer algum ataque para servidores > externos.. > > >>>> >> > > >>>> >> > > >>>> >> Cristina, um IDS ou IPS (Snort) sem dúvidas, é suficiente. O > > nível > > >>> de > > >>>> >> satisfação vai depender da qualidade das regras de análise > de > > >>> instrusão > > >>>> >> que você utilizar. Isso quer dizer que dependendo do nível > de > > >>> seriedade > > >>>> >> da empresa será proveitoso assinar um serviço (comercial) > que > > >>> oferece > > >>>> >> regras testadas e atualizadas. Apesar da escolha natural > ser > > Source > > >>>> >> Fire, minha escolha pessoal (e sugestão) é pelas regras > > fornecidas > > >>> pela > > >>>> >> Juniper. São as mesmas utilizadas no Juniper série 5000, > > >>> convertidas pro > > >>>> >> Snort. > > >>>> >> > > >>>> >> ------------------------- > > >>>> >> Histórico: http://www.fug.com.br/historico/html/freebsd/ > > >>>> >> Sair da lista: > https://www.fug.com.br/mailman/listinfo/freebsd > > >>>> >> > > >>>> > ------------------------- > > >>>> > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > >>>> > Sair da lista: > https://www.fug.com.br/mailman/listinfo/freebsd > > >>>> > > >>>> ------------------------- > > >>>> Histórico: http://www.fug.com.br/historico/html/freebsd/ > > >>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > >>>> > > >>> > > >>> > > >>> -- > > >>> > > >>> William Grzybowski > > >>> ------------------------------------------ > > >>> Jabber: william88 at gmail dot com > > >>> Curitiba/PR - Brazil > > >>> ------------------------- > > >>> > > >>> Histórico: http://www.fug.com.br/historico/html/freebsd/ > > >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > >>> > > >> > > >> > > > > > > > > > > > > -- > > Patrick Tracanelli > > > > FreeBSD Brasil LTDA. > > Tel.: (31) 3516-0800 > > [EMAIL PROTECTED] > > http://www.freebsdbrasil.com.br > > "Long live Hanin Elias, Kim Deal!" > > > > ------------------------- > > Histórico: http://www.fug.com.br/historico/html/freebsd/ > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd > > > > > > -- > Att, Marcelo M. Fleury > Linux User: #369521 > Blog - http://marcelomf.blogspot.com/ > > "Não basta saber, é preciso também aplicar; não basta querer é preciso > também agir" By Goethe > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
smime.p7s
Description: S/MIME cryptographic signature
------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
