[FUG-BR] RES: Invasão de servidor Linux
Marcello Costa
unixmafia em yahoo.com.br
Quarta Dezembro 13 14:29:58 BRST 2006
Em Qua, 2006-12-13 às 09:24 -0200, Renato Frederick escreveu:
> Pelo que pude ver o que o clamav está reclamando é que o portal do seu
> cliente em php tem trojan que permite acesso shell via php.
> Ou seja, via php o cliente pode passar uma string maluca que faz algo como
> "rm -rf ." ou "/tmp/programa_que_abre_um_backdor.sh", enfim, executa qq
> comando shell.
> Se o apache também estiver comprometido o cliente pode fazer upload de um
> trojan pro /tmp por exemplo e via php executá-lo. Experimente dar um ps aux
> e verificar se não tem nada de estranho rodando (como daemons com o mesmo
> nome de programas licitos mas em diretorios diferentes, tipo ./inetd ou
> ./http (ao inves de /usr/sbin/inetd, /usr/local/bin/httpd, etc etc).
>
> Normalmente isso ocorre porque o seu php.ini está inseguro, bem como a
> permissão do seu diretório www está muito aberta, etc etc.
>
> Com isso o cliente, inocentemente ou maliciosamente(ou ainda, é invadido) e
> fica com um script vulnerável no seu diretório.
>
> A questão é bem mais embaixo que problemas do linux. Se você ativar o
> freebsd e nao proteger seus scripts e clientes de maneira correta, pode sim
> dar o mesmo problema.
>
> Cheque com cuidado as flags do php.ini, como safe_mode, register_globals,
> etc etc. Caso a página do cliente seja tão mal feita que precise disto
> ativo, coloque estas flags só no virtualhost dele, por exemplo.
>
> Caso estes scripts sejam de sua empresa, dá uma prensa no programador,
> porque está mal feito :)
>
> Sobre o kernel, não sei de linux, mas no freebsd há securelevels e outras
> medidas paranoicas que evitam até que você altere a data sem dar um boot e
> iniciar em single mode ;)
> Essas e outras medidas evitam por exemplo instalação de root-kits e outros
> problemas, tão comuns nesses linux que existem por aí.
> Creio que o handbook do freebsd dá uma pincelada nestes pontos, você pode
> baixá-lo e procurar essa seção, prá proteger melhor sua rede.
>
>
> Abraços
>
>
> > -----Mensagem original-----
> > De: freebsd-bounces at fug.com.br
> > [mailto:freebsd-bounces at fug.com.br] Em nome de Márcio Luciano Donada
> > Enviada em: quarta-feira, 13 de dezembro de 2006 08:31
> > Para: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> > Assunto: Re: [FUG-BR] Invasão de servidor Linux
> >
> > -----BEGIN PGP SIGNED MESSAGE-----
> > Hash: SHA1
> >
> > Cristina Fernandes Silva wrote:
> > > Pessoal,
> > >
> > > Estou com um servidor Cent OS que foi invadido recentemente.
> > Aproveitando estamos migrando para o
> > > FreeBSD.
> > >
> > > Fizemos backup dos arquivos httml,gif,jpg,doc para o
> > servidor FreeBSD
> > >
> > > Porem passei o clamav e ele dectetou varios virus, coisa
> > que no CENT
> > > OS
> > nao e
> > >
> > > /html/index.html: Trojan.Downloader.JS.ADODBStream FOUND
> > > /html/supeer/portal/new.php: PHP.Shell FOUND
> > > /html/maquina/adm.php: Trojan.PHP.C99Shell FOUND
> > > /html/diretorio1/bs: Linux.Osf.3974 FOUND
> > >
> > > A minha duvida é, sera que o meu servidor FreeBSD ja esta
> > injectado ?
> > eu movi para estes arquivos
> > > para uma pasta exclusiva para arquivos infectados.
> > >
> > > Foi correto isso ?
> > >
> > > Outro detalhe, segundo o administrador desta maquina
> > (Linux) talvez o
> > kernel foi comprometido,
> > > isso é posivel no FreeBSD, como eu posso saber se o meu kernel esta
> > comprometido.
> > >
> >
> > Talvez o problema seja quando você for executar isso. Mas
> > seria interessante, acho que deve ser parte de um site esses
> > arquivos, colocar o apache em chroot, para evitar qualquer
> > tipo de problema. E tome muito cuidado com o php. No mais o
> > FreeBSD tem muitas opções para não alterar kernel e tudo
> > mais, muito mas muito mais seguro.
> >
> > Abraço,
> >
Uma boa solução é colocar o diretorio root do apache em uma partição
montada com noexec e nosuid , fora ainda chflags que podem ser usadas
nos recursivamente na arvore do site
--
Marcello Costa
BSD System Engineer
unixmafia at yahoo dot com dot br
FUG-BR #156
http://www.fug.com.br
_______________________________________________________
Novidade no Yahoo! Mail: receba alertas de novas mensagens no seu celular. Registre seu aparelho agora!
http://br.mobile.yahoo.com/mailalertas/
Mais detalhes sobre a lista de discussão freebsd