Caros,
Após o aviso do Euler (Obrigado!!!) sobre a invasão no servidor do
PostgreSQL
Brasil foi desativado temporariamente o servidor web (Apache) e iniciado
investigação de como aconteceu e o que comprometeu.
1 - A invasão
Pelas evidências coletadas, a invasão ocorreu no dia 21/01/2014 por
volta das 8:35 GMT 0. E foi realizada fazendo POST no xml93a.php. Mais
precisamente em:
- http://pgbr.postgresql.org.br/2011-old/xml93a.php
Esse php é um plugin do Askimet (sistema anti-spam de comentários).
A partir dele foi instalado um PHP Web Shell bem versátil e com
acesso a praticamente todo o servidor no diretório de módulos do drupal
e o invasor fez inúmeros testes de intrusão usando a ferramenta.
2 - O que foi comprometido
Todos os sites da Conferências PostgreSQL Brasil, o Drupal do
www.p.o.b tiveram código HTML injetado em arquivos nos diretórios em que
estão instalados. Esse arquivos são basicamente páginas em russo.
Algumas coisas do SO relacionadas a log foram apagadas mas o servidor
(pelo menos analisado até agora) não fora instalado algum tipo de bot
para disparar email ou algo similar.
Até o momento não fora encontrado nenhum evidência de comprometimento
no serviço de lista/email. Também não foi encontrado evidência de
violação nas contas de usuários do servidor.
Em andamento se houve algum comprometimento no Drupal (CMS do
PostgreSQL Brasil).
3 - Próximos passos
O servidor será reinstalado com todos os serviços atualmente em
execução. Entretanto até o término os serviços serão migrados
transitoriamente para outro servidor até a conclusão da reinstalação.
Enquanto isso, o servidor web (consequentemente o site do PostgreSQL
Brasil, Conferência PGBR e demais) ficarão indisponível, mantendo
essencialmente as listas de discussão em funcionamento.
Já de antemão, peço desculpa pelo inconveniente.
[]'s
--
Fernando Ike
http://fernandoike.com
_______________________________________________
pgbr-geral mailing list
pgbr-geral@listas.postgresql.org.br
https://listas.postgresql.org.br/cgi-bin/mailman/listinfo/pgbr-geral
