Re: [FUG-BR] RES: Invasão de servidor Linux
On 12/13/06, Renato Frederick [EMAIL PROTECTED] wrote: Pelo que pude ver o que o clamav está reclamando é que o portal do seu cliente em php tem trojan que permite acesso shell via php. Ou seja, via php o cliente pode passar uma string maluca que faz algo como rm -rf . ou /tmp/programa_que_abre_um_backdor.sh, enfim, executa qq comando shell. Eu penso que - pelo menos do ponto de vista teórico - é sempre melhor usar Java. Aliás, desconheço banco que use php. Existe? [ ]s Henry - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Invasão de servidor Linux
Em Seg, 2007-01-29 às 16:30 -0200, Henry Lenzi escreveu: On 12/13/06, Renato Frederick [EMAIL PROTECTED] wrote: Pelo que pude ver o que o clamav está reclamando é que o portal do seu cliente em php tem trojan que permite acesso shell via php. Ou seja, via php o cliente pode passar uma string maluca que faz algo como rm -rf . ou /tmp/programa_que_abre_um_backdor.sh, enfim, executa qq comando shell. Eu penso que - pelo menos do ponto de vista teórico - é sempre melhor usar Java. Aliás, desconheço banco que use php. Existe? [ ]s Henry - programas com erros de programação existem em qualquer linguagem , java nunca foi mais seguro que php , perl ou asp etc .., se for assim a maior parte dos bancos são M$ que sabidamente é uma maravilha em segurança. agora um cara pega um phpnuke da vida , muda o template e se acha programador e tem gente que acredita , problema do php é que ele permite que qualuqer idiota faça programas sarnentos. Eu ja tive oportunidade de ver uns autenticos bagulhos em java que nem imagino como a coisa consegue funcionar , feitos por ditos especialistas. ___ Yahoo! Mail - Sempre a melhor op��o para voc�! Experimente j� e veja as novidades. http://br.yahoo.com/mailbeta/tudonovo/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
[FUG-BR] RES: Invasão de servidor Linux
Pelo que pude ver o que o clamav está reclamando é que o portal do seu cliente em php tem trojan que permite acesso shell via php. Ou seja, via php o cliente pode passar uma string maluca que faz algo como rm -rf . ou /tmp/programa_que_abre_um_backdor.sh, enfim, executa qq comando shell. Se o apache também estiver comprometido o cliente pode fazer upload de um trojan pro /tmp por exemplo e via php executá-lo. Experimente dar um ps aux e verificar se não tem nada de estranho rodando (como daemons com o mesmo nome de programas licitos mas em diretorios diferentes, tipo ./inetd ou ./http (ao inves de /usr/sbin/inetd, /usr/local/bin/httpd, etc etc). Normalmente isso ocorre porque o seu php.ini está inseguro, bem como a permissão do seu diretório www está muito aberta, etc etc. Com isso o cliente, inocentemente ou maliciosamente(ou ainda, é invadido) e fica com um script vulnerável no seu diretório. A questão é bem mais embaixo que problemas do linux. Se você ativar o freebsd e nao proteger seus scripts e clientes de maneira correta, pode sim dar o mesmo problema. Cheque com cuidado as flags do php.ini, como safe_mode, register_globals, etc etc. Caso a página do cliente seja tão mal feita que precise disto ativo, coloque estas flags só no virtualhost dele, por exemplo. Caso estes scripts sejam de sua empresa, dá uma prensa no programador, porque está mal feito :) Sobre o kernel, não sei de linux, mas no freebsd há securelevels e outras medidas paranoicas que evitam até que você altere a data sem dar um boot e iniciar em single mode ;) Essas e outras medidas evitam por exemplo instalação de root-kits e outros problemas, tão comuns nesses linux que existem por aí. Creio que o handbook do freebsd dá uma pincelada nestes pontos, você pode baixá-lo e procurar essa seção, prá proteger melhor sua rede. Abraços -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Márcio Luciano Donada Enviada em: quarta-feira, 13 de dezembro de 2006 08:31 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] Invasão de servidor Linux -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Cristina Fernandes Silva wrote: Pessoal, Estou com um servidor Cent OS que foi invadido recentemente. Aproveitando estamos migrando para o FreeBSD. Fizemos backup dos arquivos httml,gif,jpg,doc para o servidor FreeBSD Porem passei o clamav e ele dectetou varios virus, coisa que no CENT OS nao e /html/index.html: Trojan.Downloader.JS.ADODBStream FOUND /html/supeer/portal/new.php: PHP.Shell FOUND /html/maquina/adm.php: Trojan.PHP.C99Shell FOUND /html/diretorio1/bs: Linux.Osf.3974 FOUND A minha duvida é, sera que o meu servidor FreeBSD ja esta injectado ? eu movi para estes arquivos para uma pasta exclusiva para arquivos infectados. Foi correto isso ? Outro detalhe, segundo o administrador desta maquina (Linux) talvez o kernel foi comprometido, isso é posivel no FreeBSD, como eu posso saber se o meu kernel esta comprometido. Talvez o problema seja quando você for executar isso. Mas seria interessante, acho que deve ser parte de um site esses arquivos, colocar o apache em chroot, para evitar qualquer tipo de problema. E tome muito cuidado com o php. No mais o FreeBSD tem muitas opções para não alterar kernel e tudo mais, muito mas muito mais seguro. Abraço, - -- Márcio Luciano Donada mdonada at auroraalimentos dot com dot br Aurora Alimentos - Cooperativa Central Oeste Catarinense - Departamento de T.I. -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.5 (FreeBSD) iD8DBQFFf9ZKyJq2hZEymxcRApK6AKCn5FhhOHdLfhwMNPe5cTsPDXLYMwCgzb8w FteXcvNrJ44v1RrKP+v28B8= =+egc -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Invasão de servidor Linux
Realmente, Um php.ini mau configurado e permissao 777 é uma bomba no sistema, pode explorar muita coisa. Alguem sabe como eu faço para rodar o apache em chroot ou jails, alguem ja tem algum caso que possa explicar ou ate mesmo fazer um artigo. Seria interessante. Obrigada --- Renato Frederick [EMAIL PROTECTED] escreveu: Pelo que pude ver o que o clamav está reclamando é que o portal do seu cliente em php tem trojan que permite acesso shell via php. Ou seja, via php o cliente pode passar uma string maluca que faz algo como rm -rf . ou /tmp/programa_que_abre_um_backdor.sh, enfim, executa qq comando shell. Se o apache também estiver comprometido o cliente pode fazer upload de um trojan pro /tmp por exemplo e via php executá-lo. Experimente dar um ps aux e verificar se não tem nada de estranho rodando (como daemons com o mesmo nome de programas licitos mas em diretorios diferentes, tipo ./inetd ou ./http (ao inves de /usr/sbin/inetd, /usr/local/bin/httpd, etc etc). Normalmente isso ocorre porque o seu php.ini está inseguro, bem como a permissão do seu diretório www está muito aberta, etc etc. Com isso o cliente, inocentemente ou maliciosamente(ou ainda, é invadido) e fica com um script vulnerável no seu diretório. A questão é bem mais embaixo que problemas do linux. Se você ativar o freebsd e nao proteger seus scripts e clientes de maneira correta, pode sim dar o mesmo problema. Cheque com cuidado as flags do php.ini, como safe_mode, register_globals, etc etc. Caso a página do cliente seja tão mal feita que precise disto ativo, coloque estas flags só no virtualhost dele, por exemplo. Caso estes scripts sejam de sua empresa, dá uma prensa no programador, porque está mal feito :) Sobre o kernel, não sei de linux, mas no freebsd há securelevels e outras medidas paranoicas que evitam até que você altere a data sem dar um boot e iniciar em single mode ;) Essas e outras medidas evitam por exemplo instalação de root-kits e outros problemas, tão comuns nesses linux que existem por aí. Creio que o handbook do freebsd dá uma pincelada nestes pontos, você pode baixá-lo e procurar essa seção, prá proteger melhor sua rede. Abraços -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Márcio Luciano Donada Enviada em: quarta-feira, 13 de dezembro de 2006 08:31 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] Invasão de servidor Linux -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Cristina Fernandes Silva wrote: Pessoal, Estou com um servidor Cent OS que foi invadido recentemente. Aproveitando estamos migrando para o FreeBSD. Fizemos backup dos arquivos httml,gif,jpg,doc para o servidor FreeBSD Porem passei o clamav e ele dectetou varios virus, coisa que no CENT OS nao e /html/index.html: Trojan.Downloader.JS.ADODBStream FOUND /html/supeer/portal/new.php: PHP.Shell FOUND /html/maquina/adm.php: Trojan.PHP.C99Shell FOUND /html/diretorio1/bs: Linux.Osf.3974 FOUND A minha duvida é, sera que o meu servidor FreeBSD ja esta injectado ? eu movi para estes arquivos para uma pasta exclusiva para arquivos infectados. Foi correto isso ? Outro detalhe, segundo o administrador desta maquina (Linux) talvez o kernel foi comprometido, isso é posivel no FreeBSD, como eu posso saber se o meu kernel esta comprometido. Talvez o problema seja quando você for executar isso. Mas seria interessante, acho que deve ser parte de um site esses arquivos, colocar o apache em chroot, para evitar qualquer tipo de problema. E tome muito cuidado com o php. No mais o FreeBSD tem muitas opções para não alterar kernel e tudo mais, muito mas muito mais seguro. Abraço, - -- Márcio Luciano Donada mdonada at auroraalimentos dot com dot br Aurora Alimentos - Cooperativa Central Oeste Catarinense - Departamento de T.I. -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.5 (FreeBSD) iD8DBQFFf9ZKyJq2hZEymxcRApK6AKCn5FhhOHdLfhwMNPe5cTsPDXLYMwCgzb8w FteXcvNrJ44v1RrKP+v28B8= =+egc -END PGP SIGNATURE- - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd __ Fale com seus amigos de graça com o novo Yahoo! Messenger http://br.messenger.yahoo.com/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Invasão de servidor Linux
On 12/13/06, Cristina Fernandes Silva [EMAIL PROTECTED] wrote: Realmente, Um php.ini mau configurado e permissao 777 é uma bomba no sistema, pode explorar muita coisa. Alguem sabe como eu faço para rodar o apache em chroot ou jails, alguem ja tem algum caso que possa explicar ou ate mesmo fazer um artigo. Seria interessante. Para criar e dar manutenção em jails, pode usar a ferramenta ezjail ou outra de sua preferência. Uma vez com a jail em funcionamento, a instalação do apache pode ser feita via ports, como se o FreeBSD não fosse encarcerado (jailed). Alex - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Invasão de servidor Linux
Em Qua, 2006-12-13 às 09:24 -0200, Renato Frederick escreveu: Pelo que pude ver o que o clamav está reclamando é que o portal do seu cliente em php tem trojan que permite acesso shell via php. Ou seja, via php o cliente pode passar uma string maluca que faz algo como rm -rf . ou /tmp/programa_que_abre_um_backdor.sh, enfim, executa qq comando shell. Se o apache também estiver comprometido o cliente pode fazer upload de um trojan pro /tmp por exemplo e via php executá-lo. Experimente dar um ps aux e verificar se não tem nada de estranho rodando (como daemons com o mesmo nome de programas licitos mas em diretorios diferentes, tipo ./inetd ou ./http (ao inves de /usr/sbin/inetd, /usr/local/bin/httpd, etc etc). Normalmente isso ocorre porque o seu php.ini está inseguro, bem como a permissão do seu diretório www está muito aberta, etc etc. Com isso o cliente, inocentemente ou maliciosamente(ou ainda, é invadido) e fica com um script vulnerável no seu diretório. A questão é bem mais embaixo que problemas do linux. Se você ativar o freebsd e nao proteger seus scripts e clientes de maneira correta, pode sim dar o mesmo problema. Cheque com cuidado as flags do php.ini, como safe_mode, register_globals, etc etc. Caso a página do cliente seja tão mal feita que precise disto ativo, coloque estas flags só no virtualhost dele, por exemplo. Caso estes scripts sejam de sua empresa, dá uma prensa no programador, porque está mal feito :) Sobre o kernel, não sei de linux, mas no freebsd há securelevels e outras medidas paranoicas que evitam até que você altere a data sem dar um boot e iniciar em single mode ;) Essas e outras medidas evitam por exemplo instalação de root-kits e outros problemas, tão comuns nesses linux que existem por aí. Creio que o handbook do freebsd dá uma pincelada nestes pontos, você pode baixá-lo e procurar essa seção, prá proteger melhor sua rede. Abraços -Mensagem original- De: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Em nome de Márcio Luciano Donada Enviada em: quarta-feira, 13 de dezembro de 2006 08:31 Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) Assunto: Re: [FUG-BR] Invasão de servidor Linux -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Cristina Fernandes Silva wrote: Pessoal, Estou com um servidor Cent OS que foi invadido recentemente. Aproveitando estamos migrando para o FreeBSD. Fizemos backup dos arquivos httml,gif,jpg,doc para o servidor FreeBSD Porem passei o clamav e ele dectetou varios virus, coisa que no CENT OS nao e /html/index.html: Trojan.Downloader.JS.ADODBStream FOUND /html/supeer/portal/new.php: PHP.Shell FOUND /html/maquina/adm.php: Trojan.PHP.C99Shell FOUND /html/diretorio1/bs: Linux.Osf.3974 FOUND A minha duvida é, sera que o meu servidor FreeBSD ja esta injectado ? eu movi para estes arquivos para uma pasta exclusiva para arquivos infectados. Foi correto isso ? Outro detalhe, segundo o administrador desta maquina (Linux) talvez o kernel foi comprometido, isso é posivel no FreeBSD, como eu posso saber se o meu kernel esta comprometido. Talvez o problema seja quando você for executar isso. Mas seria interessante, acho que deve ser parte de um site esses arquivos, colocar o apache em chroot, para evitar qualquer tipo de problema. E tome muito cuidado com o php. No mais o FreeBSD tem muitas opções para não alterar kernel e tudo mais, muito mas muito mais seguro. Abraço, Uma boa solução é colocar o diretorio root do apache em uma partição montada com noexec e nosuid , fora ainda chflags que podem ser usadas nos recursivamente na arvore do site -- Marcello Costa BSD System Engineer unixmafia at yahoo dot com dot br FUG-BR #156 http://www.fug.com.br ___ Novidade no Yahoo! Mail: receba alertas de novas mensagens no seu celular. Registre seu aparelho agora! http://br.mobile.yahoo.com/mailalertas/ - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] RES: Invasão de servidor Linux
Marcelo Costa wrote: Uma boa solução é colocar o diretorio root do apache em uma partição montada com noexec e nosuid , fora ainda chflags que podem ser usadas nos recursivamente na arvore do site Outra ferramenta que ajuda bastante é o mod_security (/usr/ports/www/mod_security) -- [ ]´s Mauro Felipe - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
