[FUG-BR] OT-Ataque PHP injection

Welkson Renny de Medeiros welkson em focusautomacao.com.br
Sexta Fevereiro 22 12:03:00 BRT 2008 

Bom dia Cristina!


Só respondendo a William: ela quer evitar que os usuários da rede dela façam 
ataque de sql injection usando o servidor dela...

O IDS como Patrick falou seria uma boa solução...

Uma outra que pensei... um filtro web também não ajudaria? tipo: um bloqueio 
via squid ou dansguardian nas strings "select, where, delete from"... isso 
teria que ser bastante analisado para não gerar falsos alertas... mas é uma 
possibilidade.

O que acham?

Abraço,


-- 
Welkson Renny de Medeiros
Focus Automação Comercial
Desenvolvimento / Gerência de Redes
welkson em focusautomacao.com.br



                      Powered by ....

                                           (__)
                                        \\\'',)
                                          \/  \ ^
                                          .\._/_)

                                      www.FreeBSD.org

----- Original Message ----- 
From: "Cristina Fernandes Silva" <cristinafs.listas em gmail.com>
To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 
<freebsd em fug.com.br>
Sent: Friday, February 22, 2008 11:23 AM
Subject: Re: [FUG-BR] OT-Ataque PHP injection


Olha pessoal é como evitar prover ataques originados do meu servidor.

Em 22/02/08, Gustavo Polillo Correa<gustavo em ib.usp.br> escreveu:
>
>  opa Marcelo.. bem colocado sua sugestao de footprint .. é preciso mudar o
>  banner do apache e do SO tbm... :)
>
>
>
>  ---------- Original Message -----------
>  From: "Marcelo M. Fleury" <marcelomf em gmail.com>
>  To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" 
> <freebsd em fug.com.br>
>
> Sent: Fri, 22 Feb 2008 11:10:56 -0300
>  Subject: Re: [FUG-BR] OT-Ataque PHP injection
>
>  > Bom,
>  >
>  > a pergunta é sobre sofrer ataques ou prover ataques ? Seria bom 
> esclarecer
>  > isso, a maioria das respostas é como evitar os ataques, mas eu
>  > entendi que ela quer garantir que em seu servidor não tenha códigos
>  > maliciosos, capazes de prover ataques em OUTROS servidores e não no 
> dela...
>  >
>  > Gustavo, acrescentaria na sua lista o magic_quotes_gpc.... de
>  > qualquer formar, acredito que todas devem ser analisadas, buscando
>  > mensurar o impacto nos sistemas existentes...
>  >
>  > com relação a alterar a extensão do php, não sei até que ponto isso é
>  > valido... teria que se alterar o banner do apache também, dentre outras
>  > coisas( eu acho )... ataques de footprint são cada vez mais 
> sofisticados...
>  >
>  > []s
>  >
>  > Em 22/02/08, Gustavo Polillo Correa <gustavo em ib.usp.br> escreveu:
>  > >
>  > >
>  > > no php.ini vc pode fazer :
>  > >
>  > > disable_functions = system,exec
>  > >
>  > > isso fara com que o php nao execute as funcoes system() e nem 
> exec()..
>  > > dando
>  > > maior seguranca a ataques desse tipo.. outras variaveis interessantes 
> para
>  > > prover maior seguranca no php sao:
>  > >
>  > > safe_mode= On
>  > > safe_mode_gid=Off
>  > > expose_php=Off
>  > > register_globals=Off (sem comentarios.. rsrs)
>  > > dispaly_error=Off
>  > > log_eroor=On
>  > > error_log=php_erro.log
>  > >
>  > > Considerando que seu php nao emitira erros, vale ainda configurar o
>  > > apache:
>  > >
>  > > trocar :
>  > > AddType application/x-httpd-php .php
>  > >
>  > > Por:
>  > > AddType application/x-httpd-php .jsp
>  > >
>  > > Ou
>  > > AddType application/x-httpd-php .dhmtl
>  > >
>  > > Ai vc renomeia todos os seus arquivos .php para jsp ou dhtml e isso
>  > > dificultara ao atacante qual a tecnologia que vc esta usando.. ele 
> pensara
>  > > que
>  > > é java pages ou dhtml ou asp.. enquanto que vc usa php!! Mas se vc 
> deixar
>  > > a
>  > > variavel display_error=On, qdo der um erro.. o cara ja vai saber o 
> que vc
>  > > sta
>  > > usando..
>  > >
>  > > isso ajuda mas nao evita ataques contra programacao mal feita!!
>  > >
>  > > modsecurity do apache é muito bom... acho que todos deveriam ter... 
> com
>  > > bons
>  > > filtros.. ajuda muuuito!!
>  > >
>  > > ate.
>  > >
>  > > Gustavo Polillo Correa.
>  > >
>  > >
>  > >
>  > >
>  > >
>  > > ---------- Original Message -----------
>  > > From: "Marcelo M. Fleury" <marcelomf em gmail.com>
>  > > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" <
>  > > freebsd em fug.com.br>
>  > > Sent: Fri, 22 Feb 2008 09:59:32 -0300
>  > > Subject: Re: [FUG-BR] OT-Ataque PHP injection
>  > >
>  > > > Olá,
>  > > >
>  > > > até onde eu entendi, o interesse da Cristina é em não ser uma
>  > > > provedora de códigos maliciosos, no caso PHP.
>  > > >
>  > > > Acredito que um IDS/IPS não adiantaria, uma vez que não se trata de
>  > > ataques
>  > > > a rede/host, e sim de que a rede ou host seja uma provedora de
>  > > > ataques... na realidade não conheço solução voltada para isso...
>  > > > existe o mod_security do apache que pode te ajudar a monitorar e
>  > > > filtrar suas aplicações.
>  > > >
>  > > > Penso em algum programa que cheque a integridade de arquivos no
>  > > > servidor, algo parecido com o file:
>  > > >
>  > > > marcelo em mmf:~$ cat sh.gif
>  > > > <?php
>  > > >         system($_GET['sh']);
>  > > > ?>
>  > > > marcelo em mmf:~$ file sh.gif
>  > > > sh.gif: PHP script text
>  > > >
>  > > > e depois, habilitar alguns filtros no mod_security buscando checar
>  > > qualquer
>  > > > uso indevido do php... confesso que não conheço muito o 
> mod_security,
>  > > >  uma vez que não trampo mais como sysadmin e sim como
>  > > > desenvolvedor(quero arrumar um tempo para brincar com ele).
>  > > >
>  > > > Acredito que no mais é realizar auditorias... procurar nos logs do
>  > > apache
>  > > > por qualquer comando... estilo uname, id, ls ... nada que o 
> cat,grep,
>  > > > awk não resolva!
>  > > >
>  > > > Espero ter ajudado, boa sorte!
>  > > >
>  > > > Em 22/02/08, William Grzybowski <william88 em gmail.com> escreveu:
>  > > > >
>  > > > > Oi Patrick,
>  > > > >
>  > > > > Não sei se entendi muito bem, poderia me dar uma luz?
>  > > > > Php injection, como próprio nome ja diz é a inserção de codigo 
> php
>  > > > > causado por código mal escrito que permito o injeção de código 
> php
>  > > > > externo no servidor, correto?
>  > > > >
>  > > > > Como que funcionam essas regras que você falou? Essas empresas 
> liberam
>  > > > > regras que atuam (obviamente) na ""camada"" do HTTP e analizam o
>  > > > > trafego para os softwares vulneraveis que eles tem conhecimento e
>  > > > > inclusao direta de scripts em servidores externos?
>  > > > >
>  > > > > Vlw
>  > > > >
>  > > > > 2008/2/21 Patrick Tracanelli <eksffa em freebsdbrasil.com.br>:
>  > > > >
>  > > > > > Cristina Fernandes Silva escreveu:
>  > > > > >
>  > > > > > > É cobrada essas regras ? Vc tem alguma faixa de preço  ? é
>  > > apllicance
>  > > > > >  > ? ou somente as regras que posso usar no snort.
>  > > > > >
>  > > > > >  Sim, são cobradas. Na Source Fire depende do seu perfil, tem 
> varios
>  > > > > >  precos. Eles confiam no que voce diz: Se voce diz que é 
> pequeno
>  > > porte,
>  > > > > >  não importa se é uma multinacional, pagara como pequeno. No 
> site da
>  > > > > >  SourceFire tem todos os detalhes sobre preços.
>  > > > > >
>  > > > > >  São só as regras a principio, mas pode comprar o sistema 
> deles. Não
>  > > > > >  conheço quem use no país o sistema deles. Mas não parece ser 
> mais
>  > > do
>  > > > > que
>  > > > > >  o Snort com um front-end muito amigável.
>  > > > > >
>  > > > > >  No caso da Juniper tem direito automaticamente a versão 
> convertida
>  > > pra
>  > > > > >  Snort todos que tem Juniper série 5000 e já pague a licença 
> anual
>  > > do
>  > > > > IPS
>  > > > > >  (que é um add-on no firewall Juniper).
>  > > > > >
>  > > > > >  No Brasil quem representa a venda das assinaturas Source Fire 
> é a
>  > > > > >  BRConnection.
>  > > > > >
>  > > > > >
>  > > > > >
>  > > > > >  >
>  > > > > >  >
>  > > > > >  >
>  > > > > >  > Em 21/02/08, Patrick Tracanelli<eksffa em freebsdbrasil.com.br>
>  > > > > escreveu:
>  > > > > >  >> Cristina Fernandes Silva escreveu:
>  > > > > >  >>
>  > > > > >  >>> Acho que não fui clara, Vou explicar,
>  > > > > >  >>  >
>  > > > > >  >>  > Quero evitar que alguem da minha rede use o meu ip 
> (endereço
>  > > )
>  > > > > para
>  > > > > >  >>  > fazer ataques
>  > > > > >  >>  > de php injection para outro endereço externo. Até mesmo 
> os
>  > > meus
>  > > > > >  >>  > usuarios interno fazer algum ataque para servidores
>  > > externos..
>  > > > > >  >>
>  > > > > >  >>
>  > > > > >  >> Cristina, um IDS ou IPS (Snort) sem dúvidas, é suficiente. 
> O
>  > > nível
>  > > > > de
>  > > > > >  >>  satisfação vai depender da qualidade das regras de análise 
> de
>  > > > > instrusão
>  > > > > >  >>  que você utilizar. Isso quer dizer que dependendo do nível 
> de
>  > > > > seriedade
>  > > > > >  >>  da empresa será proveitoso assinar um serviço (comercial) 
> que
>  > > > > oferece
>  > > > > >  >>  regras testadas e atualizadas. Apesar da escolha natural 
> ser
>  > > Source
>  > > > > >  >>  Fire, minha escolha pessoal (e sugestão) é pelas regras
>  > > fornecidas
>  > > > > pela
>  > > > > >  >>  Juniper. São as mesmas utilizadas no Juniper série 5000,
>  > > > > convertidas pro
>  > > > > >  >>  Snort.
>  > > > > >  >>
>  > > > > >  >> -------------------------
>  > > > > >  >>  Histórico: http://www.fug.com.br/historico/html/freebsd/
>  > > > > >  >>  Sair da lista: 
> https://www.fug.com.br/mailman/listinfo/freebsd
>  > > > > >  >>
>  > > > > >  > -------------------------
>  > > > > >  > Histórico: http://www.fug.com.br/historico/html/freebsd/
>  > > > > >  > Sair da lista: 
> https://www.fug.com.br/mailman/listinfo/freebsd
>  > > > > >
>  > > > > >  -------------------------
>  > > > > >  Histórico: http://www.fug.com.br/historico/html/freebsd/
>  > > > > >  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>  > > > > >
>  > > > >
>  > > > >
>  > > > >
>  > > > >
>  > > > > --
>  > > > >
>  > > > > William Grzybowski
>  > > > > ------------------------------------------
>  > > > > Jabber: william88 at gmail dot com
>  > > > > Curitiba/PR - Brazil
>  > > > > -------------------------
>  > > > >
>  > > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
>  > > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>  > > > >
>  > > >
>  > > > --
>  > > > Att, Marcelo M. Fleury
>  > > > Linux User: #369521
>  > > > Blog - http://marcelomf.blogspot.com/
>  > > >
>  > > > "Não basta saber, é preciso também aplicar; não basta querer é
>  > > > preciso também agir" By Goethe
>  > > > -------------------------
>  > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
>  > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>  > >
>  > > ------- End of Original Message -------
>  > >
>  > >
>  > > -------------------------
>  > > Histórico: http://www.fug.com.br/historico/html/freebsd/
>  > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>  > >
>  >
>  > --
>  > Att, Marcelo M. Fleury
>  > Linux User: #369521
>  > Blog - http://marcelomf.blogspot.com/
>  >
>  > "Não basta saber, é preciso também aplicar; não basta querer é
>  > preciso também agir" By Goethe
>  > -------------------------
>  > Histórico: http://www.fug.com.br/historico/html/freebsd/
>  > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>  ------- End of Original Message -------
>
>  -------------------------
>  Histórico: http://www.fug.com.br/historico/html/freebsd/
>  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
-------------------------
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

Mais detalhes sobre a lista de discussão freebsd