[FUG-BR] OT-Ataque PHP injection
Marcelo M. Fleury
marcelomf em gmail.com
Sexta Fevereiro 22 11:10:56 BRT 2008
Bom,
a pergunta é sobre sofrer ataques ou prover ataques ? Seria bom esclarecer
isso, a maioria das respostas é como evitar os ataques, mas eu entendi que
ela quer garantir que em seu servidor não tenha códigos maliciosos, capazes
de prover ataques em OUTROS servidores e não no dela...
Gustavo, acrescentaria na sua lista o magic_quotes_gpc.... de qualquer
formar, acredito que todas devem ser analisadas, buscando mensurar o impacto
nos sistemas existentes...
com relação a alterar a extensão do php, não sei até que ponto isso é
valido... teria que se alterar o banner do apache também, dentre outras
coisas( eu acho )... ataques de footprint são cada vez mais sofisticados...
[]s
Em 22/02/08, Gustavo Polillo Correa <gustavo em ib.usp.br> escreveu:
>
>
> no php.ini vc pode fazer :
>
> disable_functions = system,exec
>
> isso fara com que o php nao execute as funcoes system() e nem exec()..
> dando
> maior seguranca a ataques desse tipo.. outras variaveis interessantes para
> prover maior seguranca no php sao:
>
> safe_mode= On
> safe_mode_gid=Off
> expose_php=Off
> register_globals=Off (sem comentarios.. rsrs)
> dispaly_error=Off
> log_eroor=On
> error_log=php_erro.log
>
> Considerando que seu php nao emitira erros, vale ainda configurar o
> apache:
>
> trocar :
> AddType application/x-httpd-php .php
>
> Por:
> AddType application/x-httpd-php .jsp
>
> Ou
> AddType application/x-httpd-php .dhmtl
>
> Ai vc renomeia todos os seus arquivos .php para jsp ou dhtml e isso
> dificultara ao atacante qual a tecnologia que vc esta usando.. ele pensara
> que
> é java pages ou dhtml ou asp.. enquanto que vc usa php!! Mas se vc deixar
> a
> variavel display_error=On, qdo der um erro.. o cara ja vai saber o que vc
> sta
> usando..
>
> isso ajuda mas nao evita ataques contra programacao mal feita!!
>
> modsecurity do apache é muito bom... acho que todos deveriam ter... com
> bons
> filtros.. ajuda muuuito!!
>
> ate.
>
> Gustavo Polillo Correa.
>
>
>
>
>
> ---------- Original Message -----------
> From: "Marcelo M. Fleury" <marcelomf em gmail.com>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" <
> freebsd em fug.com.br>
> Sent: Fri, 22 Feb 2008 09:59:32 -0300
> Subject: Re: [FUG-BR] OT-Ataque PHP injection
>
> > Olá,
> >
> > até onde eu entendi, o interesse da Cristina é em não ser uma
> > provedora de códigos maliciosos, no caso PHP.
> >
> > Acredito que um IDS/IPS não adiantaria, uma vez que não se trata de
> ataques
> > a rede/host, e sim de que a rede ou host seja uma provedora de
> > ataques... na realidade não conheço solução voltada para isso...
> > existe o mod_security do apache que pode te ajudar a monitorar e
> > filtrar suas aplicações.
> >
> > Penso em algum programa que cheque a integridade de arquivos no
> > servidor, algo parecido com o file:
> >
> > marcelo em mmf:~$ cat sh.gif
> > <?php
> > system($_GET['sh']);
> > ?>
> > marcelo em mmf:~$ file sh.gif
> > sh.gif: PHP script text
> >
> > e depois, habilitar alguns filtros no mod_security buscando checar
> qualquer
> > uso indevido do php... confesso que não conheço muito o mod_security,
> > uma vez que não trampo mais como sysadmin e sim como
> > desenvolvedor(quero arrumar um tempo para brincar com ele).
> >
> > Acredito que no mais é realizar auditorias... procurar nos logs do
> apache
> > por qualquer comando... estilo uname, id, ls ... nada que o cat,grep,
> > awk não resolva!
> >
> > Espero ter ajudado, boa sorte!
> >
> > Em 22/02/08, William Grzybowski <william88 em gmail.com> escreveu:
> > >
> > > Oi Patrick,
> > >
> > > Não sei se entendi muito bem, poderia me dar uma luz?
> > > Php injection, como próprio nome ja diz é a inserção de codigo php
> > > causado por código mal escrito que permito o injeção de código php
> > > externo no servidor, correto?
> > >
> > > Como que funcionam essas regras que você falou? Essas empresas liberam
> > > regras que atuam (obviamente) na ""camada"" do HTTP e analizam o
> > > trafego para os softwares vulneraveis que eles tem conhecimento e
> > > inclusao direta de scripts em servidores externos?
> > >
> > > Vlw
> > >
> > > 2008/2/21 Patrick Tracanelli <eksffa em freebsdbrasil.com.br>:
> > >
> > > > Cristina Fernandes Silva escreveu:
> > > >
> > > > > É cobrada essas regras ? Vc tem alguma faixa de preço ? é
> apllicance
> > > > > ? ou somente as regras que posso usar no snort.
> > > >
> > > > Sim, são cobradas. Na Source Fire depende do seu perfil, tem varios
> > > > precos. Eles confiam no que voce diz: Se voce diz que é pequeno
> porte,
> > > > não importa se é uma multinacional, pagara como pequeno. No site da
> > > > SourceFire tem todos os detalhes sobre preços.
> > > >
> > > > São só as regras a principio, mas pode comprar o sistema deles. Não
> > > > conheço quem use no país o sistema deles. Mas não parece ser mais
> do
> > > que
> > > > o Snort com um front-end muito amigável.
> > > >
> > > > No caso da Juniper tem direito automaticamente a versão convertida
> pra
> > > > Snort todos que tem Juniper série 5000 e já pague a licença anual
> do
> > > IPS
> > > > (que é um add-on no firewall Juniper).
> > > >
> > > > No Brasil quem representa a venda das assinaturas Source Fire é a
> > > > BRConnection.
> > > >
> > > >
> > > >
> > > > >
> > > > >
> > > > >
> > > > > Em 21/02/08, Patrick Tracanelli<eksffa em freebsdbrasil.com.br>
> > > escreveu:
> > > > >> Cristina Fernandes Silva escreveu:
> > > > >>
> > > > >>> Acho que não fui clara, Vou explicar,
> > > > >> >
> > > > >> > Quero evitar que alguem da minha rede use o meu ip (endereço
> )
> > > para
> > > > >> > fazer ataques
> > > > >> > de php injection para outro endereço externo. Até mesmo os
> meus
> > > > >> > usuarios interno fazer algum ataque para servidores
> externos..
> > > > >>
> > > > >>
> > > > >> Cristina, um IDS ou IPS (Snort) sem dúvidas, é suficiente. O
> nível
> > > de
> > > > >> satisfação vai depender da qualidade das regras de análise de
> > > instrusão
> > > > >> que você utilizar. Isso quer dizer que dependendo do nível de
> > > seriedade
> > > > >> da empresa será proveitoso assinar um serviço (comercial) que
> > > oferece
> > > > >> regras testadas e atualizadas. Apesar da escolha natural ser
> Source
> > > > >> Fire, minha escolha pessoal (e sugestão) é pelas regras
> fornecidas
> > > pela
> > > > >> Juniper. São as mesmas utilizadas no Juniper série 5000,
> > > convertidas pro
> > > > >> Snort.
> > > > >>
> > > > >> -------------------------
> > > > >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > > >>
> > > > > -------------------------
> > > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > >
> > > > -------------------------
> > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > >
> > >
> > >
> > >
> > >
> > > --
> > >
> > > William Grzybowski
> > > ------------------------------------------
> > > Jabber: william88 at gmail dot com
> > > Curitiba/PR - Brazil
> > > -------------------------
> > >
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >
> >
> > --
> > Att, Marcelo M. Fleury
> > Linux User: #369521
> > Blog - http://marcelomf.blogspot.com/
> >
> > "Não basta saber, é preciso também aplicar; não basta querer é
> > preciso também agir" By Goethe
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> ------- End of Original Message -------
>
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
--
Att, Marcelo M. Fleury
Linux User: #369521
Blog - http://marcelomf.blogspot.com/
"Não basta saber, é preciso também aplicar; não basta querer é preciso
também agir" By Goethe
Mais detalhes sobre a lista de discussão freebsd