[FUG-BR] RES: Invasão de servidor Linux

Cristina Fernandes Silva cristina.fsilva em yahoo.com.br
Quarta Dezembro 13 11:44:52 BRST 2006 

Realmente, 

Um php.ini mau configurado e permissao 777 é uma bomba no sistema,  pode explorar muita coisa.

Alguem sabe como eu faço para rodar o apache em chroot ou jails, alguem ja tem algum caso que
possa explicar ou ate mesmo fazer um artigo. Seria interessante.

Obrigada



--- Renato Frederick <frederick em dahype.org> escreveu:

> Pelo que pude ver o que o clamav está reclamando é que o portal do seu
> cliente em php tem trojan que permite acesso shell via php.
> Ou seja, via php o cliente pode passar uma string maluca que faz algo como
> "rm -rf ." ou "/tmp/programa_que_abre_um_backdor.sh", enfim, executa qq
> comando shell.
> Se o apache também estiver comprometido o cliente pode fazer upload de um
> trojan pro /tmp por exemplo e via php executá-lo. Experimente dar um ps aux
> e verificar se não tem nada de estranho rodando (como daemons com o mesmo
> nome de programas licitos mas em diretorios diferentes, tipo ./inetd ou
> ./http (ao inves de /usr/sbin/inetd, /usr/local/bin/httpd, etc etc).
> 
> Normalmente isso ocorre porque o seu php.ini está inseguro, bem como a
> permissão do seu diretório www está muito aberta, etc etc.
> 
> Com isso o cliente, inocentemente ou maliciosamente(ou ainda, é invadido) e
> fica com um script vulnerável no seu diretório.
> 
> A questão é bem mais embaixo que problemas do linux. Se você ativar o
> freebsd e nao proteger seus scripts e clientes de maneira correta, pode sim
> dar o mesmo problema.
> 
> Cheque com cuidado as flags do php.ini, como safe_mode, register_globals,
> etc etc. Caso a página do cliente seja tão mal feita que precise disto
> ativo, coloque estas flags só no virtualhost dele, por exemplo.
> 
> Caso estes scripts sejam de sua empresa, dá uma prensa no programador,
> porque está mal feito :)
> 
> Sobre o kernel, não sei de linux, mas no freebsd há securelevels e outras
> medidas paranoicas que evitam até que você altere a data sem dar um boot e
> iniciar em single mode ;)
> Essas e outras medidas evitam por exemplo instalação de root-kits e outros
> problemas, tão comuns nesses linux que existem por aí.
> Creio que o handbook do freebsd dá uma pincelada nestes pontos, você pode
> baixá-lo e procurar essa seção, prá proteger melhor sua rede.
> 
> 
> Abraços
>  
> 
> > -----Mensagem original-----
> > De: freebsd-bounces em fug.com.br 
> > [mailto:freebsd-bounces em fug.com.br] Em nome de Márcio Luciano Donada
> > Enviada em: quarta-feira, 13 de dezembro de 2006 08:31
> > Para: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> > Assunto: Re: [FUG-BR] Invasão de servidor Linux
> > 
> > -----BEGIN PGP SIGNED MESSAGE-----
> > Hash: SHA1
> > 
> > Cristina Fernandes Silva wrote:
> > > Pessoal,
> > >
> > > Estou com um servidor Cent OS que foi invadido recentemente.
> > Aproveitando estamos migrando para o
> > > FreeBSD.
> > >
> > > Fizemos backup dos arquivos httml,gif,jpg,doc para o 
> > servidor FreeBSD
> > >
> > > Porem passei o clamav e ele dectetou varios virus, coisa 
> > que no CENT 
> > > OS
> > nao e
> > >
> > > /html/index.html: Trojan.Downloader.JS.ADODBStream FOUND
> > > /html/supeer/portal/new.php: PHP.Shell FOUND
> > > /html/maquina/adm.php: Trojan.PHP.C99Shell FOUND
> > > /html/diretorio1/bs: Linux.Osf.3974 FOUND
> > >
> > > A minha duvida é, sera que o meu servidor FreeBSD ja esta 
> > injectado ?
> > eu movi para estes arquivos
> > > para uma pasta exclusiva para arquivos infectados.
> > >
> > > Foi correto isso ?
> > >
> > > Outro detalhe, segundo o administrador desta maquina 
> > (Linux) talvez o
> > kernel foi comprometido,
> > > isso é posivel no FreeBSD, como eu posso saber se o meu kernel esta
> > comprometido.
> > >
> > 
> > Talvez o problema seja quando você for executar isso. Mas 
> > seria interessante, acho que deve ser parte de um site esses 
> > arquivos, colocar o apache em chroot, para evitar qualquer 
> > tipo de problema. E tome muito cuidado com o php. No mais o 
> > FreeBSD tem muitas opções para não alterar kernel e tudo 
> > mais, muito mas muito mais seguro.
> > 
> > Abraço,
> > 
> > - --
> > Márcio Luciano Donada <mdonada at auroraalimentos dot com dot 
> > br> Aurora Alimentos - Cooperativa Central Oeste Catarinense 
> > - Departamento de T.I.
> > -----BEGIN PGP SIGNATURE-----
> > Version: GnuPG v1.4.5 (FreeBSD)
> > 
> > iD8DBQFFf9ZKyJq2hZEymxcRApK6AKCn5FhhOHdLfhwMNPe5cTsPDXLYMwCgzb8w
> > FteXcvNrJ44v1RrKP+v28B8=
> > =+egc
> > -----END PGP SIGNATURE-----
> > 
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > 
> 
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> 


__________________________________________________
Fale com seus amigos  de graça com o novo Yahoo! Messenger 
http://br.messenger.yahoo.com/

Mais detalhes sobre a lista de discussão freebsd