[FUG-BR] OT-Ataque PHP injection
Marcelo M. Fleury
marcelomf em gmail.com
Sexta Fevereiro 22 09:59:32 BRT 2008
Olá,
até onde eu entendi, o interesse da Cristina é em não ser uma provedora de
códigos maliciosos, no caso PHP.
Acredito que um IDS/IPS não adiantaria, uma vez que não se trata de ataques
a rede/host, e sim de que a rede ou host seja uma provedora de ataques... na
realidade não conheço solução voltada para isso... existe o mod_security do
apache que pode te ajudar a monitorar e filtrar suas aplicações.
Penso em algum programa que cheque a integridade de arquivos no servidor,
algo parecido com o file:
marcelo em mmf:~$ cat sh.gif
<?php
system($_GET['sh']);
?>
marcelo em mmf:~$ file sh.gif
sh.gif: PHP script text
e depois, habilitar alguns filtros no mod_security buscando checar qualquer
uso indevido do php... confesso que não conheço muito o mod_security, uma
vez que não trampo mais como sysadmin e sim como desenvolvedor(quero arrumar
um tempo para brincar com ele).
Acredito que no mais é realizar auditorias... procurar nos logs do apache
por qualquer comando... estilo uname, id, ls ... nada que o cat,grep,awk não
resolva!
Espero ter ajudado, boa sorte!
Em 22/02/08, William Grzybowski <william88 em gmail.com> escreveu:
>
> Oi Patrick,
>
> Não sei se entendi muito bem, poderia me dar uma luz?
> Php injection, como próprio nome ja diz é a inserção de codigo php
> causado por código mal escrito que permito o injeção de código php
> externo no servidor, correto?
>
> Como que funcionam essas regras que você falou? Essas empresas liberam
> regras que atuam (obviamente) na ""camada"" do HTTP e analizam o
> trafego para os softwares vulneraveis que eles tem conhecimento e
> inclusao direta de scripts em servidores externos?
>
> Vlw
>
> 2008/2/21 Patrick Tracanelli <eksffa em freebsdbrasil.com.br>:
>
> > Cristina Fernandes Silva escreveu:
> >
> > > É cobrada essas regras ? Vc tem alguma faixa de preço ? é apllicance
> > > ? ou somente as regras que posso usar no snort.
> >
> > Sim, são cobradas. Na Source Fire depende do seu perfil, tem varios
> > precos. Eles confiam no que voce diz: Se voce diz que é pequeno porte,
> > não importa se é uma multinacional, pagara como pequeno. No site da
> > SourceFire tem todos os detalhes sobre preços.
> >
> > São só as regras a principio, mas pode comprar o sistema deles. Não
> > conheço quem use no país o sistema deles. Mas não parece ser mais do
> que
> > o Snort com um front-end muito amigável.
> >
> > No caso da Juniper tem direito automaticamente a versão convertida pra
> > Snort todos que tem Juniper série 5000 e já pague a licença anual do
> IPS
> > (que é um add-on no firewall Juniper).
> >
> > No Brasil quem representa a venda das assinaturas Source Fire é a
> > BRConnection.
> >
> >
> >
> > >
> > >
> > >
> > > Em 21/02/08, Patrick Tracanelli<eksffa em freebsdbrasil.com.br>
> escreveu:
> > >> Cristina Fernandes Silva escreveu:
> > >>
> > >>> Acho que não fui clara, Vou explicar,
> > >> >
> > >> > Quero evitar que alguem da minha rede use o meu ip (endereço )
> para
> > >> > fazer ataques
> > >> > de php injection para outro endereço externo. Até mesmo os meus
> > >> > usuarios interno fazer algum ataque para servidores externos..
> > >>
> > >>
> > >> Cristina, um IDS ou IPS (Snort) sem dúvidas, é suficiente. O nível
> de
> > >> satisfação vai depender da qualidade das regras de análise de
> instrusão
> > >> que você utilizar. Isso quer dizer que dependendo do nível de
> seriedade
> > >> da empresa será proveitoso assinar um serviço (comercial) que
> oferece
> > >> regras testadas e atualizadas. Apesar da escolha natural ser Source
> > >> Fire, minha escolha pessoal (e sugestão) é pelas regras fornecidas
> pela
> > >> Juniper. São as mesmas utilizadas no Juniper série 5000,
> convertidas pro
> > >> Snort.
> > >>
> > >> -------------------------
> > >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >>
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
>
>
>
>
> --
>
> William Grzybowski
> ------------------------------------------
> Jabber: william88 at gmail dot com
> Curitiba/PR - Brazil
> -------------------------
>
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
--
Att, Marcelo M. Fleury
Linux User: #369521
Blog - http://marcelomf.blogspot.com/
"Não basta saber, é preciso também aplicar; não basta querer é preciso
também agir" By Goethe
Mais detalhes sobre a lista de discussão freebsd