Bom pessoal, analisei várias coisas, mudei permissões dos arquivos na pasta do site, mas mesmo assim, ontem o atacante conseguiu novamente infiltrar codigo no index.php, além de setar permissões na pasta raiz do site.Não tem rastro de invasão do servidor em si, mas procurei literatura sobre php injection e entendi o funcionamento dele, até fiz alguns testes aqui e realmente funciona esses códigos, o que vai depender do jeito que as páginas php foram desenvolvidas. Bom que já aprendi como funciona essa forma de ataque. Uma providência que tomei foi seguir essas dicas http://www.gdhpress.com.br/blog/seguranca-php-lamp/ A opção disable_functions não tinha nada setado, safe mode e safe mode gid estava off, e expose php também off. Depois que setei o disable_funcions no php.ini, conforme está no artigo, tentei rodar um scritp php com um system("ls -la") e então o sistema me retornou um erro dizendo que não era possivel executar a função system, porque está bloqueada. Antes de reconfigurar como no artigo eu conseguia dar qualquer comando com essa função. Além dessas providências no php.ini, também desabilitei módulo de cgi do apache, pois não utilizo cgi e habilitei o mod_secure2. Vou verificar esses dias se haverá outra ataque, espero ter resolvido.
2009/8/13 Rafael de Paula Herrera <[email protected]> > > 2009/8/13 Jorge Filho <[email protected]>: > > Boa tarde Rafael, pelo que eu consegui analisar, tudo leva a crer que foi > > php injection. > > aconselho que verifique em que ponto seu sistema eh vulneravel... > procurando pela net vc acha inumeros artigos, tutoriais, posts, etc, > falando como prevenir ataques xss e afins... > > > > > > > 2009/8/13 Celso Nery <[email protected]> > >> > >> Rafael de Paula Herrera escreveu: > >> > 2009/8/11 Rafael de Paula Herrera <[email protected]>: > >> > > >> >> 2009/8/11 Jorge Filho <[email protected]>: > >> >> > >> >>> Caramba, apaguei o arquivo :S > >> >>> Invasão não foi, porque os ultimos logins com usuario e root foram > >> >>> meus, > >> >>> qual outra forma alguém poderia utilizar pra gravar um arquivo > dentro > >> >>> do > >> >>> diretorio do site? > >> >>> > >> >> vc pde ter algum servico que foi exploitado e o cara se utilizou > dessa > >> >> "manha"... isso em geral nem deixa na cara o q foi feito... > >> >> > >> >> vc tb pde ter caido na infelicidade de ter algum login/senha faceis > de > >> >> se adivinhar no seu ftp (se estiver rodando) ou ssh (o q eh pior > >> >> ainda)... > >> >> > >> >> tem tb, como acabei de ver q o amigo ananias citou, ataques baseados > >> >> em xss (cross site script), relativos as aplicacoes web q vc tem > >> >> rodando no seu apache (ou seja lah o que for)... > >> >> > >> > > >> > soh pra complementar, tenta instalar o rkhunter (root kit hunter), ele > >> > verifica se tem alguma coisa errada no seu sistema (tem falsos > >> > positivos, sim, mas sao poucos e da pra saber na boa quando eh vdd ou > >> > nao...) > >> > http://rkhunter.sourceforge.net/ > >> > > >> > sugiro que teste outras ferramentas que se enquadram nessa categoria > >> > tb... o pessoal aqui deve conhecer varias outras... > >> > > >> > > >> > > >> >>> > >> >>> 2009/8/11 Felipe Tanus <[email protected]> > >> >>> > >> >>>> Oi, > >> >>>> > >> >>>> De uma olhada em quem criou, em que data e com qual login. > >> >>>> Porvavelmente seu servidor foi invadido. > >> >>>> > >> >>>> []'s > >> >>>> > >> >>>> 2009/8/11 Jorge Filho <[email protected]> > >> >>>> > >> >>>>> Boa noite pessoal. > >> >>>>> > >> >>>>> Hoje aconteceu algo muito estranho no meu server web, de manhã, > >> >>>>> quando > >> >>>>> alguém entrava no site aparecia uma tela pedindo pra executar um > >> >>>>> javascript. > >> >>>>> Qual não foi minha surpresa quando vi um arquivo diferente na raiz > >> >>>>> do meu > >> >>>>> site, com nome de asd.html? > >> >>>>> > >> >>>>> Com é possível isso ter acontecido? Que tipo de configuração eu > devo > >> >>>>> verificar se tem problema? Fiquei sem saber o que fazer. > >> >>>>> > >> >>>>> Jorge > >> >>>>> > >> >>>>> > >> >>>>> > >> >>>> > >> >>>> -- > >> >>>> > >> >>>> Felipe de Oliveira Tanus > >> >>>> E-mail: [email protected] > >> >>>> Blog: http://fotanus.blogspot.com/ > >> >>>> Site: http://www.inf.ufrgs.br/~fotanus/ > >> >>>> ----- > >> >>>> Aperture Science: > >> >>>> We do what we must because we can > >> >>>> For the good of all of us > >> >>>> except for the ones who are dead > >> >>>> > >> >>>> > >> >>>> > >> >>> > >> >> []'s! > >> >> t++! > >> >> > >> >> -- > >> >> Rafael de Paula Herrera > >> >> http://sirboderafael.wordpress.com > >> >> #444395 > >> >> > >> >> > >> > > >> > []'s! > >> > t++! > >> > > >> > > >> Isso eh php injection sua pagina deve ta vulneravel. da uma procurada > >> nisso no google. > >> > >> > > > > > > > > > > > > > -- > Rafael de Paula Herrera > http://sirboderafael.wordpress.com > #444395 > > > > --~--~---------~--~----~------------~-------~--~----~ GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br Antes de perguntar: http://www.istf.com.br/perguntas/ Para sair da lista envie um e-mail para: [email protected] -~----------~----~----~----~------~----~------~--~---
