[FUG-BR] OT-Ataque PHP injection

Gustavo Polillo Correa gustavo em ib.usp.br
Sexta Fevereiro 22 10:42:30 BRT 2008 

no php.ini vc pode fazer :

disable_functions = system,exec

isso fara com que o php nao execute as funcoes system() e nem exec().. dando
maior seguranca a ataques desse tipo.. outras variaveis interessantes para
prover maior seguranca no php sao:

safe_mode= On
safe_mode_gid=Off
expose_php=Off
register_globals=Off (sem comentarios.. rsrs)
dispaly_error=Off
log_eroor=On
error_log=php_erro.log

Considerando que seu php nao emitira erros, vale ainda configurar o apache:

trocar :
AddType application/x-httpd-php .php

Por:
AddType application/x-httpd-php .jsp

Ou
AddType application/x-httpd-php .dhmtl

Ai vc renomeia todos os seus arquivos .php para jsp ou dhtml e isso
dificultara ao atacante qual a tecnologia que vc esta usando.. ele pensara que
é java pages ou dhtml ou asp.. enquanto que vc usa php!! Mas se vc deixar a
variavel display_error=On, qdo der um erro.. o cara ja vai saber o que vc sta
usando..

isso ajuda mas nao evita ataques contra programacao mal feita!! 

modsecurity do apache é muito bom... acho que todos deveriam ter... com bons
filtros.. ajuda muuuito!!

ate.

Gustavo Polillo Correa.




---------- Original Message -----------
From: "Marcelo M. Fleury" <marcelomf em gmail.com>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" <freebsd em fug.com.br>
Sent: Fri, 22 Feb 2008 09:59:32 -0300
Subject: Re: [FUG-BR] OT-Ataque PHP injection

> Olá,
> 
> até onde eu entendi, o interesse da Cristina é em não ser uma 
> provedora de códigos maliciosos, no caso PHP.
> 
> Acredito que um IDS/IPS não adiantaria, uma vez que não se trata de ataques
> a rede/host, e sim de que a rede ou host seja uma provedora de 
> ataques... na realidade não conheço solução voltada para isso... 
> existe o mod_security do apache que pode te ajudar a monitorar e 
> filtrar suas aplicações.
> 
> Penso em algum programa que cheque a integridade de arquivos no 
> servidor, algo parecido com o file:
> 
> marcelo em mmf:~$ cat sh.gif
> <?php
>         system($_GET['sh']);
> ?>
> marcelo em mmf:~$ file sh.gif
> sh.gif: PHP script text
> 
> e depois, habilitar alguns filtros no mod_security buscando checar qualquer
> uso indevido do php... confesso que não conheço muito o mod_security,
>  uma vez que não trampo mais como sysadmin e sim como 
> desenvolvedor(quero arrumar um tempo para brincar com ele).
> 
> Acredito que no mais é realizar auditorias... procurar nos logs do apache
> por qualquer comando... estilo uname, id, ls ... nada que o cat,grep,
> awk não resolva!
> 
> Espero ter ajudado, boa sorte!
> 
> Em 22/02/08, William Grzybowski <william88 em gmail.com> escreveu:
> >
> > Oi Patrick,
> >
> > Não sei se entendi muito bem, poderia me dar uma luz?
> > Php injection, como próprio nome ja diz é a inserção de codigo php
> > causado por código mal escrito que permito o injeção de código php
> > externo no servidor, correto?
> >
> > Como que funcionam essas regras que você falou? Essas empresas liberam
> > regras que atuam (obviamente) na ""camada"" do HTTP e analizam o
> > trafego para os softwares vulneraveis que eles tem conhecimento e
> > inclusao direta de scripts em servidores externos?
> >
> > Vlw
> >
> > 2008/2/21 Patrick Tracanelli <eksffa em freebsdbrasil.com.br>:
> >
> > > Cristina Fernandes Silva escreveu:
> > >
> > > > É cobrada essas regras ? Vc tem alguma faixa de preço  ? é apllicance
> > >  > ? ou somente as regras que posso usar no snort.
> > >
> > >  Sim, são cobradas. Na Source Fire depende do seu perfil, tem varios
> > >  precos. Eles confiam no que voce diz: Se voce diz que é pequeno porte,
> > >  não importa se é uma multinacional, pagara como pequeno. No site da
> > >  SourceFire tem todos os detalhes sobre preços.
> > >
> > >  São só as regras a principio, mas pode comprar o sistema deles. Não
> > >  conheço quem use no país o sistema deles. Mas não parece ser mais do
> > que
> > >  o Snort com um front-end muito amigável.
> > >
> > >  No caso da Juniper tem direito automaticamente a versão convertida pra
> > >  Snort todos que tem Juniper série 5000 e já pague a licença anual do
> > IPS
> > >  (que é um add-on no firewall Juniper).
> > >
> > >  No Brasil quem representa a venda das assinaturas Source Fire é a
> > >  BRConnection.
> > >
> > >
> > >
> > >  >
> > >  >
> > >  >
> > >  > Em 21/02/08, Patrick Tracanelli<eksffa em freebsdbrasil.com.br>
> > escreveu:
> > >  >> Cristina Fernandes Silva escreveu:
> > >  >>
> > >  >>> Acho que não fui clara, Vou explicar,
> > >  >>  >
> > >  >>  > Quero evitar que alguem da minha rede use o meu ip  (endereço )
> > para
> > >  >>  > fazer ataques
> > >  >>  > de php injection para outro endereço externo. Até mesmo os meus
> > >  >>  > usuarios interno fazer algum ataque para servidores externos..
> > >  >>
> > >  >>
> > >  >> Cristina, um IDS ou IPS (Snort) sem dúvidas, é suficiente. O nível
> > de
> > >  >>  satisfação vai depender da qualidade das regras de análise de
> > instrusão
> > >  >>  que você utilizar. Isso quer dizer que dependendo do nível de
> > seriedade
> > >  >>  da empresa será proveitoso assinar um serviço (comercial) que
> > oferece
> > >  >>  regras testadas e atualizadas. Apesar da escolha natural ser Source
> > >  >>  Fire, minha escolha pessoal (e sugestão) é pelas regras fornecidas
> > pela
> > >  >>  Juniper. São as mesmas utilizadas no Juniper série 5000,
> > convertidas pro
> > >  >>  Snort.
> > >  >>
> > >  >> -------------------------
> > >  >>  Histórico: http://www.fug.com.br/historico/html/freebsd/
> > >  >>  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >  >>
> > >  > -------------------------
> > >  > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > >  > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> > >  -------------------------
> > >  Histórico: http://www.fug.com.br/historico/html/freebsd/
> > >  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> >
> >
> >
> >
> > --
> >
> > William Grzybowski
> > ------------------------------------------
> > Jabber: william88 at gmail dot com
> > Curitiba/PR - Brazil
> > -------------------------
> >
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> 
> -- 
> Att, Marcelo M. Fleury
> Linux User: #369521
> Blog - http://marcelomf.blogspot.com/
> 
> "Não basta saber, é preciso também aplicar; não basta querer é 
> preciso também agir" By Goethe
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
------- End of Original Message -------

Mais detalhes sobre a lista de discussão freebsd