Muito bom Jorge mesmo assim se eu fosse você faria um clone deste hd para analisar e faria uma máquina novinha.
Jorge Filho escreveu: > Bom pessoal, analisei várias coisas, mudei permissões dos arquivos na > pasta do site, mas mesmo assim, ontem o atacante conseguiu novamente > infiltrar codigo no index.php, além de setar permissões na pasta raiz > do site. > Não tem rastro de invasão do servidor em si, mas procurei literatura > sobre php injection e entendi o funcionamento dele, até fiz alguns > testes aqui e realmente funciona esses códigos, o que vai depender do > jeito que as páginas php foram desenvolvidas. Bom que já aprendi como > funciona essa forma de ataque. > Uma providência que tomei foi seguir essas > dicas http://www.gdhpress.com.br/blog/seguranca-php-lamp/ > A opção disable_functions não tinha nada setado, safe mode e safe mode > gid estava off, e expose php também off. > Depois que setei o disable_funcions no php.ini, conforme está no > artigo, tentei rodar um scritp php com um system("ls -la") e então o > sistema me retornou um erro dizendo que não era possivel executar a > função system, porque está bloqueada. Antes de reconfigurar como no > artigo eu conseguia dar qualquer comando com essa função. > Além dessas providências no php.ini, também desabilitei módulo de cgi > do apache, pois não utilizo cgi e habilitei o mod_secure2. > Vou verificar esses dias se haverá outra ataque, espero ter resolvido. > > 2009/8/13 Rafael de Paula Herrera <[email protected] > <mailto:[email protected]>> > > > 2009/8/13 Jorge Filho <[email protected] <mailto:[email protected]>>: > > Boa tarde Rafael, pelo que eu consegui analisar, tudo leva a > crer que foi > > php injection. > > aconselho que verifique em que ponto seu sistema eh vulneravel... > procurando pela net vc acha inumeros artigos, tutoriais, posts, etc, > falando como prevenir ataques xss e afins... > > > > > > > 2009/8/13 Celso Nery <[email protected] > <mailto:[email protected]>> > >> > >> Rafael de Paula Herrera escreveu: > >> > 2009/8/11 Rafael de Paula Herrera <[email protected] > <mailto:[email protected]>>: > >> > > >> >> 2009/8/11 Jorge Filho <[email protected] > <mailto:[email protected]>>: > >> >> > >> >>> Caramba, apaguei o arquivo :S > >> >>> Invasão não foi, porque os ultimos logins com usuario e > root foram > >> >>> meus, > >> >>> qual outra forma alguém poderia utilizar pra gravar um > arquivo dentro > >> >>> do > >> >>> diretorio do site? > >> >>> > >> >> vc pde ter algum servico que foi exploitado e o cara se > utilizou dessa > >> >> "manha"... isso em geral nem deixa na cara o q foi feito... > >> >> > >> >> vc tb pde ter caido na infelicidade de ter algum login/senha > faceis de > >> >> se adivinhar no seu ftp (se estiver rodando) ou ssh (o q eh pior > >> >> ainda)... > >> >> > >> >> tem tb, como acabei de ver q o amigo ananias citou, ataques > baseados > >> >> em xss (cross site script), relativos as aplicacoes web q vc tem > >> >> rodando no seu apache (ou seja lah o que for)... > >> >> > >> > > >> > soh pra complementar, tenta instalar o rkhunter (root kit > hunter), ele > >> > verifica se tem alguma coisa errada no seu sistema (tem falsos > >> > positivos, sim, mas sao poucos e da pra saber na boa quando > eh vdd ou > >> > nao...) > >> > http://rkhunter.sourceforge.net/ > >> > > >> > sugiro que teste outras ferramentas que se enquadram nessa > categoria > >> > tb... o pessoal aqui deve conhecer varias outras... > >> > > >> > > >> > > >> >>> > >> >>> 2009/8/11 Felipe Tanus <[email protected] > <mailto:[email protected]>> > >> >>> > >> >>>> Oi, > >> >>>> > >> >>>> De uma olhada em quem criou, em que data e com > qual login. > >> >>>> Porvavelmente seu servidor foi invadido. > >> >>>> > >> >>>> []'s > >> >>>> > >> >>>> 2009/8/11 Jorge Filho <[email protected] > <mailto:[email protected]>> > >> >>>> > >> >>>>> Boa noite pessoal. > >> >>>>> > >> >>>>> Hoje aconteceu algo muito estranho no meu server web, de > manhã, > >> >>>>> quando > >> >>>>> alguém entrava no site aparecia uma tela pedindo pra > executar um > >> >>>>> javascript. > >> >>>>> Qual não foi minha surpresa quando vi um arquivo > diferente na raiz > >> >>>>> do meu > >> >>>>> site, com nome de asd.html? > >> >>>>> > >> >>>>> Com é possível isso ter acontecido? Que tipo de > configuração eu devo > >> >>>>> verificar se tem problema? Fiquei sem saber o que fazer. > >> >>>>> > >> >>>>> Jorge > >> >>>>> > >> >>>>> > >> >>>>> > >> >>>> > >> >>>> -- > >> >>>> > >> >>>> Felipe de Oliveira Tanus > >> >>>> E-mail: [email protected] <mailto:[email protected]> > >> >>>> Blog: http://fotanus.blogspot.com/ > >> >>>> Site: http://www.inf.ufrgs.br/~fotanus/ > <http://www.inf.ufrgs.br/%7Efotanus/> > >> >>>> ----- > >> >>>> Aperture Science: > >> >>>> We do what we must because we can > >> >>>> For the good of all of us > >> >>>> except for the ones who are dead > >> >>>> > >> >>>> > >> >>>> > >> >>> > >> >> []'s! > >> >> t++! > >> >> > >> >> -- > >> >> Rafael de Paula Herrera > >> >> http://sirboderafael.wordpress.com > >> >> #444395 > >> >> > >> >> > >> > > >> > []'s! > >> > t++! > >> > > >> > > >> Isso eh php injection sua pagina deve ta vulneravel. da uma > procurada > >> nisso no google. > >> > >> > > > > > > > > > > > > > -- > Rafael de Paula Herrera > http://sirboderafael.wordpress.com > #444395 > > > > > > __________ Information from ESET NOD32 Antivirus, version of virus signature database 4335 (20090814) __________ The message was checked by ESET NOD32 Antivirus. http://www.eset.com --~--~---------~--~----~------------~-------~--~----~ GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br Antes de perguntar: http://www.istf.com.br/perguntas/ Para sair da lista envie um e-mail para: [email protected] -~----------~----~----~----~------~----~------~--~---
