Olá lista.
Em primeiro lugar, muitíssimo obrigado pela ajuda e sugestões de todos. Sem esta lista, estaria perdido em meu trabalho.. :-) Neste e-mail farei um resumo de toda a obra para que fique de referencia para futuras consultas de pessoas que enfrentarão problemas similares. 1 - O problema: Tinha um servidor de web com apache2 + php4 + mysql rodando. Um dia vi que o log de saída dele estava extremamente grande. Fui verificar e vi que haviam pastas com o nome CStrike e halflife espalhadas pelo sistema, especialmente na pasta /usr/games e /var/local. Vi que tinham logs desses jogos, com pessoas conversando e talz. O firewall da máquina estava apenas com a porta 80 e a 22 abertas (e eu achando que estava seguro...). Bom, inocentemente, apenas apaguei os arquivos dos jogos e logs e liguei a escuta na porta 80 e 22 pra ver se identificava o invasor. No dia seguinte, minha máquina estava inteiramente corrompida. 2 Causa Provavelmente, segundo a galera da lista, a invasão ocorreu pela porta 80, devido ao php.ini estar com a opção register_global como on. Isso permitiu a inserção de códigos na máquina que possibilitaram a entrada efetiva. O Simon (que muito me ajudou, VALEU SIMON... :-) ) deu um exemplo, que segundo ele, é beeeem simples..rsrs... de como fazer para inserir códigos dessa maneira. Pode dar uma olhada no link http://groups.google.com.br/group/linux.debian.user.portuguese/browse_thread /thread/679100e0fc97cf56/481513601105cc50?lnk=gst <http://groups.google.com.br/group/linux.debian.user.portuguese/browse_threa d/thread/679100e0fc97cf56/481513601105cc50?lnk=gst&q=Cstrike&rnum=1#48151360 1105cc50> &q=Cstrike&rnum=1#481513601105cc50 na mensagem do dia 13 nov 2006 15:00 3 Solução (pelo menos parcial) Foram muitas dicas que o pessoal me passou. Farei um resumo do que fiz, mas compensa dar uma olhada na discussão toda pra quem já passou ou está passando por isso. Para recuperar a partição e os arquivos, utilizei um programinha muito bom que talvez todos conheçam, mas pra mim foi novidade, chamado TESTEDISK. É Opensource (claro!!), tem muita coisa sobre ele no google. Bom, depois foi trabalho braçal pra refazer os server e por os serviços de volta no ar. Após isso, o esquema foi implementar mais segurança. O Thiago Anderson (outro que também foi de grandissíssima ajuda, VALEU THIAGO), passou 4 passos importantes para pelo menos dificultar a invasão. 1) Mudar no php.ini o register_globals para off (meu comentário: Isso, infelizmente, não pude fazer. Como não fui eu quem fez as páginas e as bases, se desativo o register_globals a página não rola. Por isso que é sempre bom pegar um cara que entende de segurança pra fazer as páginas. Tentarei corrigir o problema futuramente.( 2) Instalar o mod_security no apache (meu comentário: quanto a isso, pra nossa sorte, tem no repositório apt o mod_security. Pra configuração, esse link ajuda, mas convém procurar mais coisas. http://vivaolinux.com.br/artigos/verArtigo.php?codigo=1472 <http://vivaolinux.com.br/artigos/verArtigo.php?codigo=1472&pagina=2> &pagina=2) 3) Coloquei as seguintes linhas(Para combater o que eles chamam de hotlink): - (despensa comentários) <IfModule mod_rewrite.c> RewriteEngine on RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK) RewriteRule .* - [F] </IfModule> 4) Foi feito a correcao do bug da programacao nao deixando ele dar um include em tudo que fosse Pedido. Ex. se o cara desse la index.php?file=http://www.uol.com.br ( ele colocava o topo do meu site e embaixo o site da UOL.), foi pedido para o Analista Web a correcao do problema. Esses quatro passos do thiago ajudaram um bocado. Tem também pra ajudar, o tripwire. Esse ainda não configurei, achei poucos documentos na net, mas se conseguir, repasso a todos. Bom, o resumo da história é esse. Teve mais alguns probleminhas de permissões de arquivos quando esses foram recuperados, mas isso já foge um pouco do assunto. Só queria mandar esse e-mail pra servir de referencia pra todo o pessoal que precisar consultar coisas do tipo futuramente. Agradeço mais uma vez a ajuda de todos, não só dos que citei, mas todos que participaram da discussão. Um grande abraço Daniel
