Jorge,
Não há jeito MESMO depois de uma invasão de ter certeza que o
atacante não usou táticas para garantir sua volta. Ele entrou agora por php
injection, mecheu no seu sistema e possivelmente tem acesso a ele agora. O
único meio seguro de impedir que isso aconteça novamente é formatando a
máquina. Sério. Eu sei que é chato, mas se eu fosse você se acostumava com a
idéia....
Se você for instalar novamente o servidor, aconselho procurar e seguir
dicas de segurança, e manter seu sistema sempre atualizado.
[]'s
2009/8/14 Junior <[email protected]>
> Muito bom Jorge mesmo assim se eu fosse você faria um clone deste hd para
> analisar e faria uma máquina novinha.
>
> Jorge Filho escreveu:
>
> Bom pessoal, analisei várias coisas, mudei permissões dos arquivos na pasta
> do site, mas mesmo assim, ontem o atacante conseguiu novamente infiltrar
> codigo no index.php, além de setar permissões na pasta raiz do site. Não
> tem rastro de invasão do servidor em si, mas procurei literatura sobre php
> injection e entendi o funcionamento dele, até fiz alguns testes aqui e
> realmente funciona esses códigos, o que vai depender do jeito que as páginas
> php foram desenvolvidas. Bom que já aprendi como funciona essa forma de
> ataque.
> Uma providência que tomei foi seguir essas dicas
> http://www.gdhpress.com.br/blog/seguranca-php-lamp/
> A opção disable_functions não tinha nada setado, safe mode e safe mode gid
> estava off, e expose php também off.
> Depois que setei o disable_funcions no php.ini, conforme está no artigo,
> tentei rodar um scritp php com um system("ls -la") e então o sistema me
> retornou um erro dizendo que não era possivel executar a função system,
> porque está bloqueada. Antes de reconfigurar como no artigo eu conseguia dar
> qualquer comando com essa função.
> Além dessas providências no php.ini, também desabilitei módulo de cgi do
> apache, pois não utilizo cgi e habilitei o mod_secure2.
> Vou verificar esses dias se haverá outra ataque, espero ter resolvido.
>
> 2009/8/13 Rafael de Paula Herrera <[email protected]>
>
>>
>> 2009/8/13 Jorge Filho <[email protected]>:
>> > Boa tarde Rafael, pelo que eu consegui analisar, tudo leva a crer que
>> foi
>> > php injection.
>>
>> aconselho que verifique em que ponto seu sistema eh vulneravel...
>> procurando pela net vc acha inumeros artigos, tutoriais, posts, etc,
>> falando como prevenir ataques xss e afins...
>>
>> >
>> >
>> > 2009/8/13 Celso Nery <[email protected]>
>> >>
>> >> Rafael de Paula Herrera escreveu:
>> >> > 2009/8/11 Rafael de Paula Herrera <[email protected]>:
>> >> >
>> >> >> 2009/8/11 Jorge Filho <[email protected]>:
>> >> >>
>> >> >>> Caramba, apaguei o arquivo :S
>> >> >>> Invasão não foi, porque os ultimos logins com usuario e root foram
>> >> >>> meus,
>> >> >>> qual outra forma alguém poderia utilizar pra gravar um arquivo
>> dentro
>> >> >>> do
>> >> >>> diretorio do site?
>> >> >>>
>> >> >> vc pde ter algum servico que foi exploitado e o cara se utilizou
>> dessa
>> >> >> "manha"... isso em geral nem deixa na cara o q foi feito...
>> >> >>
>> >> >> vc tb pde ter caido na infelicidade de ter algum login/senha faceis
>> de
>> >> >> se adivinhar no seu ftp (se estiver rodando) ou ssh (o q eh pior
>> >> >> ainda)...
>> >> >>
>> >> >> tem tb, como acabei de ver q o amigo ananias citou, ataques baseados
>> >> >> em xss (cross site script), relativos as aplicacoes web q vc tem
>> >> >> rodando no seu apache (ou seja lah o que for)...
>> >> >>
>> >> >
>> >> > soh pra complementar, tenta instalar o rkhunter (root kit hunter),
>> ele
>> >> > verifica se tem alguma coisa errada no seu sistema (tem falsos
>> >> > positivos, sim, mas sao poucos e da pra saber na boa quando eh vdd ou
>> >> > nao...)
>> >> > http://rkhunter.sourceforge.net/
>> >> >
>> >> > sugiro que teste outras ferramentas que se enquadram nessa categoria
>> >> > tb... o pessoal aqui deve conhecer varias outras...
>> >> >
>> >> >
>> >> >
>> >> >>>
>> >> >>> 2009/8/11 Felipe Tanus <[email protected]>
>> >> >>>
>> >> >>>> Oi,
>> >> >>>>
>> >> >>>> De uma olhada em quem criou, em que data e com qual login.
>> >> >>>> Porvavelmente seu servidor foi invadido.
>> >> >>>>
>> >> >>>> []'s
>> >> >>>>
>> >> >>>> 2009/8/11 Jorge Filho <[email protected]>
>> >> >>>>
>> >> >>>>> Boa noite pessoal.
>> >> >>>>>
>> >> >>>>> Hoje aconteceu algo muito estranho no meu server web, de manhã,
>> >> >>>>> quando
>> >> >>>>> alguém entrava no site aparecia uma tela pedindo pra executar um
>> >> >>>>> javascript.
>> >> >>>>> Qual não foi minha surpresa quando vi um arquivo diferente na
>> raiz
>> >> >>>>> do meu
>> >> >>>>> site, com nome de asd.html?
>> >> >>>>>
>> >> >>>>> Com é possível isso ter acontecido? Que tipo de configuração eu
>> devo
>> >> >>>>> verificar se tem problema? Fiquei sem saber o que fazer.
>> >> >>>>>
>> >> >>>>> Jorge
>> >> >>>>>
>> >> >>>>>
>> >> >>>>>
>> >> >>>>
>> >> >>>> --
>> >> >>>>
>> >> >>>> Felipe de Oliveira Tanus
>> >> >>>> E-mail: [email protected]
>> >> >>>> Blog: http://fotanus.blogspot.com/
>> >> >>>> Site:
>> >> >>>> http://www.inf.ufrgs.br/~fotanus/<http://www.inf.ufrgs.br/%7Efotanus/>
>> >> >>>> -----
>> >> >>>> Aperture Science:
>> >> >>>> We do what we must because we can
>> >> >>>> For the good of all of us
>> >> >>>> except for the ones who are dead
>> >> >>>>
>> >> >>>>
>> >> >>>>
>> >> >>>
>> >> >> []'s!
>> >> >> t++!
>> >> >>
>> >> >> --
>> >> >> Rafael de Paula Herrera
>> >> >> http://sirboderafael.wordpress.com
>> >> >> #444395
>> >> >>
>> >> >>
>> >> >
>> >> > []'s!
>> >> > t++!
>> >> >
>> >> >
>> >> Isso eh php injection sua pagina deve ta vulneravel. da uma procurada
>> >> nisso no google.
>> >>
>> >>
>> >
>> >
>> > >
>> >
>>
>>
>>
>> --
>> Rafael de Paula Herrera
>> http://sirboderafael.wordpress.com
>> #444395
>>
>>
>>
>
>
>
>
>
> __________ Information from ESET NOD32 Antivirus, version of virus
> signature database 4335 (20090814) __________
>
> The message was checked by ESET NOD32 Antivirus.
>
> http://www.eset.com
>
> >
>
--
Felipe de Oliveira Tanus
E-mail: [email protected]
Blog: http://fotanus.blogspot.com/
Site: http://www.inf.ufrgs.br/~fotanus/
-----
Aperture Science:
We do what we must because we can
For the good of all of us
except for the ones who are dead
--~--~---------~--~----~------------~-------~--~----~
GUS-BR - Grupo de Usuários de Slackware Brasil
http://www.slackwarebrasil.org/
http://groups.google.com/group/slack-users-br
Antes de perguntar:
http://www.istf.com.br/perguntas/
Para sair da lista envie um e-mail para:
[email protected]
-~----------~----~----~----~------~----~------~--~---
