[FUG-BR] RES: Invasão de servidor Linux

Renato Frederick frederick em dahype.org
Quarta Dezembro 13 09:24:40 BRST 2006


Pelo que pude ver o que o clamav está reclamando é que o portal do seu
cliente em php tem trojan que permite acesso shell via php.
Ou seja, via php o cliente pode passar uma string maluca que faz algo como
"rm -rf ." ou "/tmp/programa_que_abre_um_backdor.sh", enfim, executa qq
comando shell.
Se o apache também estiver comprometido o cliente pode fazer upload de um
trojan pro /tmp por exemplo e via php executá-lo. Experimente dar um ps aux
e verificar se não tem nada de estranho rodando (como daemons com o mesmo
nome de programas licitos mas em diretorios diferentes, tipo ./inetd ou
./http (ao inves de /usr/sbin/inetd, /usr/local/bin/httpd, etc etc).

Normalmente isso ocorre porque o seu php.ini está inseguro, bem como a
permissão do seu diretório www está muito aberta, etc etc.

Com isso o cliente, inocentemente ou maliciosamente(ou ainda, é invadido) e
fica com um script vulnerável no seu diretório.

A questão é bem mais embaixo que problemas do linux. Se você ativar o
freebsd e nao proteger seus scripts e clientes de maneira correta, pode sim
dar o mesmo problema.

Cheque com cuidado as flags do php.ini, como safe_mode, register_globals,
etc etc. Caso a página do cliente seja tão mal feita que precise disto
ativo, coloque estas flags só no virtualhost dele, por exemplo.

Caso estes scripts sejam de sua empresa, dá uma prensa no programador,
porque está mal feito :)

Sobre o kernel, não sei de linux, mas no freebsd há securelevels e outras
medidas paranoicas que evitam até que você altere a data sem dar um boot e
iniciar em single mode ;)
Essas e outras medidas evitam por exemplo instalação de root-kits e outros
problemas, tão comuns nesses linux que existem por aí.
Creio que o handbook do freebsd dá uma pincelada nestes pontos, você pode
baixá-lo e procurar essa seção, prá proteger melhor sua rede.


Abraços
 

> -----Mensagem original-----
> De: freebsd-bounces em fug.com.br 
> [mailto:freebsd-bounces em fug.com.br] Em nome de Márcio Luciano Donada
> Enviada em: quarta-feira, 13 de dezembro de 2006 08:31
> Para: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> Assunto: Re: [FUG-BR] Invasão de servidor Linux
> 
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
> 
> Cristina Fernandes Silva wrote:
> > Pessoal,
> >
> > Estou com um servidor Cent OS que foi invadido recentemente.
> Aproveitando estamos migrando para o
> > FreeBSD.
> >
> > Fizemos backup dos arquivos httml,gif,jpg,doc para o 
> servidor FreeBSD
> >
> > Porem passei o clamav e ele dectetou varios virus, coisa 
> que no CENT 
> > OS
> nao e
> >
> > /html/index.html: Trojan.Downloader.JS.ADODBStream FOUND
> > /html/supeer/portal/new.php: PHP.Shell FOUND
> > /html/maquina/adm.php: Trojan.PHP.C99Shell FOUND
> > /html/diretorio1/bs: Linux.Osf.3974 FOUND
> >
> > A minha duvida é, sera que o meu servidor FreeBSD ja esta 
> injectado ?
> eu movi para estes arquivos
> > para uma pasta exclusiva para arquivos infectados.
> >
> > Foi correto isso ?
> >
> > Outro detalhe, segundo o administrador desta maquina 
> (Linux) talvez o
> kernel foi comprometido,
> > isso é posivel no FreeBSD, como eu posso saber se o meu kernel esta
> comprometido.
> >
> 
> Talvez o problema seja quando você for executar isso. Mas 
> seria interessante, acho que deve ser parte de um site esses 
> arquivos, colocar o apache em chroot, para evitar qualquer 
> tipo de problema. E tome muito cuidado com o php. No mais o 
> FreeBSD tem muitas opções para não alterar kernel e tudo 
> mais, muito mas muito mais seguro.
> 
> Abraço,
> 
> - --
> Márcio Luciano Donada <mdonada at auroraalimentos dot com dot 
> br> Aurora Alimentos - Cooperativa Central Oeste Catarinense 
> - Departamento de T.I.
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.4.5 (FreeBSD)
> 
> iD8DBQFFf9ZKyJq2hZEymxcRApK6AKCn5FhhOHdLfhwMNPe5cTsPDXLYMwCgzb8w
> FteXcvNrJ44v1RrKP+v28B8=
> =+egc
> -----END PGP SIGNATURE-----
> 
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> 



Mais detalhes sobre a lista de discussão freebsd