[FUG-BR] OT-Ataque PHP injection
mantunes
mantunes.listas em gmail.com
Sexta Fevereiro 22 12:08:55 BRT 2008
Welkson,
Eu ia dizer a mesma coisa.. tentar usar o squidguard ou dansguardian,
não se se resolveria.. ai é que os amigos para analise.. e possíveis
regras..
Em 22/02/08, Welkson Renny de Medeiros<welkson at focusautomacao.com.br> escreveu:
> Bom dia Cristina!
>
>
> Só respondendo a William: ela quer evitar que os usuários da rede dela façam
> ataque de sql injection usando o servidor dela...
>
> O IDS como Patrick falou seria uma boa solução...
>
> Uma outra que pensei... um filtro web também não ajudaria? tipo: um bloqueio
> via squid ou dansguardian nas strings "select, where, delete from"... isso
> teria que ser bastante analisado para não gerar falsos alertas... mas é uma
> possibilidade.
>
> O que acham?
>
> Abraço,
>
>
> --
> Welkson Renny de Medeiros
> Focus Automação Comercial
> Desenvolvimento / Gerência de Redes
> welkson at focusautomacao.com.br
>
>
>
> Powered by ....
>
> (__)
> \\\'',)
> \/ \ ^
> .\._/_)
>
> www.FreeBSD.org
>
>
> ----- Original Message -----
> From: "Cristina Fernandes Silva" <cristinafs.listas at gmail.com>
> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> <freebsd at fug.com.br>
>
> Sent: Friday, February 22, 2008 11:23 AM
> Subject: Re: [FUG-BR] OT-Ataque PHP injection
>
>
> Olha pessoal é como evitar prover ataques originados do meu servidor.
>
> Em 22/02/08, Gustavo Polillo Correa<gustavo at ib.usp.br> escreveu:
> >
> > opa Marcelo.. bem colocado sua sugestao de footprint .. é preciso mudar o
> > banner do apache e do SO tbm... :)
> >
> >
> >
> > ---------- Original Message -----------
> > From: "Marcelo M. Fleury" <marcelomf at gmail.com>
> > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> > <freebsd at fug.com.br>
> >
> > Sent: Fri, 22 Feb 2008 11:10:56 -0300
> > Subject: Re: [FUG-BR] OT-Ataque PHP injection
> >
> > > Bom,
> > >
> > > a pergunta é sobre sofrer ataques ou prover ataques ? Seria bom
> > esclarecer
> > > isso, a maioria das respostas é como evitar os ataques, mas eu
> > > entendi que ela quer garantir que em seu servidor não tenha códigos
> > > maliciosos, capazes de prover ataques em OUTROS servidores e não no
> > dela...
> > >
> > > Gustavo, acrescentaria na sua lista o magic_quotes_gpc.... de
> > > qualquer formar, acredito que todas devem ser analisadas, buscando
> > > mensurar o impacto nos sistemas existentes...
> > >
> > > com relação a alterar a extensão do php, não sei até que ponto isso é
> > > valido... teria que se alterar o banner do apache também, dentre outras
> > > coisas( eu acho )... ataques de footprint são cada vez mais
> > sofisticados...
> > >
> > > []s
> > >
> > > Em 22/02/08, Gustavo Polillo Correa <gustavo at ib.usp.br> escreveu:
> > > >
> > > >
> > > > no php.ini vc pode fazer :
> > > >
> > > > disable_functions = system,exec
> > > >
> > > > isso fara com que o php nao execute as funcoes system() e nem
> > exec()..
> > > > dando
> > > > maior seguranca a ataques desse tipo.. outras variaveis interessantes
> > para
> > > > prover maior seguranca no php sao:
> > > >
> > > > safe_mode= On
> > > > safe_mode_gid=Off
> > > > expose_php=Off
> > > > register_globals=Off (sem comentarios.. rsrs)
> > > > dispaly_error=Off
> > > > log_eroor=On
> > > > error_log=php_erro.log
> > > >
> > > > Considerando que seu php nao emitira erros, vale ainda configurar o
> > > > apache:
> > > >
> > > > trocar :
> > > > AddType application/x-httpd-php .php
> > > >
> > > > Por:
> > > > AddType application/x-httpd-php .jsp
> > > >
> > > > Ou
> > > > AddType application/x-httpd-php .dhmtl
> > > >
> > > > Ai vc renomeia todos os seus arquivos .php para jsp ou dhtml e isso
> > > > dificultara ao atacante qual a tecnologia que vc esta usando.. ele
> > pensara
> > > > que
> > > > é java pages ou dhtml ou asp.. enquanto que vc usa php!! Mas se vc
> > deixar
> > > > a
> > > > variavel display_error=On, qdo der um erro.. o cara ja vai saber o
> > que vc
> > > > sta
> > > > usando..
> > > >
> > > > isso ajuda mas nao evita ataques contra programacao mal feita!!
> > > >
> > > > modsecurity do apache é muito bom... acho que todos deveriam ter...
> > com
> > > > bons
> > > > filtros.. ajuda muuuito!!
> > > >
> > > > ate.
> > > >
> > > > Gustavo Polillo Correa.
> > > >
> > > >
> > > >
> > > >
> > > >
> > > > ---------- Original Message -----------
> > > > From: "Marcelo M. Fleury" <marcelomf at gmail.com>
> > > > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" <
> > > > freebsd at fug.com.br>
> > > > Sent: Fri, 22 Feb 2008 09:59:32 -0300
> > > > Subject: Re: [FUG-BR] OT-Ataque PHP injection
> > > >
> > > > > Olá,
> > > > >
> > > > > até onde eu entendi, o interesse da Cristina é em não ser uma
> > > > > provedora de códigos maliciosos, no caso PHP.
> > > > >
> > > > > Acredito que um IDS/IPS não adiantaria, uma vez que não se trata de
> > > > ataques
> > > > > a rede/host, e sim de que a rede ou host seja uma provedora de
> > > > > ataques... na realidade não conheço solução voltada para isso...
> > > > > existe o mod_security do apache que pode te ajudar a monitorar e
> > > > > filtrar suas aplicações.
> > > > >
> > > > > Penso em algum programa que cheque a integridade de arquivos no
> > > > > servidor, algo parecido com o file:
> > > > >
> > > > > marcelo at mmf:~$ cat sh.gif
> > > > > <?php
> > > > > system($_GET['sh']);
> > > > > ?>
> > > > > marcelo at mmf:~$ file sh.gif
> > > > > sh.gif: PHP script text
> > > > >
> > > > > e depois, habilitar alguns filtros no mod_security buscando checar
> > > > qualquer
> > > > > uso indevido do php... confesso que não conheço muito o
> > mod_security,
> > > > > uma vez que não trampo mais como sysadmin e sim como
> > > > > desenvolvedor(quero arrumar um tempo para brincar com ele).
> > > > >
> > > > > Acredito que no mais é realizar auditorias... procurar nos logs do
> > > > apache
> > > > > por qualquer comando... estilo uname, id, ls ... nada que o
> > cat,grep,
> > > > > awk não resolva!
> > > > >
> > > > > Espero ter ajudado, boa sorte!
> > > > >
> > > > > Em 22/02/08, William Grzybowski <william88 at gmail.com> escreveu:
> > > > > >
> > > > > > Oi Patrick,
> > > > > >
> > > > > > Não sei se entendi muito bem, poderia me dar uma luz?
> > > > > > Php injection, como próprio nome ja diz é a inserção de codigo
> > php
> > > > > > causado por código mal escrito que permito o injeção de código
> > php
> > > > > > externo no servidor, correto?
> > > > > >
> > > > > > Como que funcionam essas regras que você falou? Essas empresas
> > liberam
> > > > > > regras que atuam (obviamente) na ""camada"" do HTTP e analizam o
> > > > > > trafego para os softwares vulneraveis que eles tem conhecimento e
> > > > > > inclusao direta de scripts em servidores externos?
> > > > > >
> > > > > > Vlw
> > > > > >
> > > > > > 2008/2/21 Patrick Tracanelli <eksffa at freebsdbrasil.com.br>:
> > > > > >
> > > > > > > Cristina Fernandes Silva escreveu:
> > > > > > >
> > > > > > > > É cobrada essas regras ? Vc tem alguma faixa de preço ? é
> > > > apllicance
> > > > > > > > ? ou somente as regras que posso usar no snort.
> > > > > > >
> > > > > > > Sim, são cobradas. Na Source Fire depende do seu perfil, tem
> > varios
> > > > > > > precos. Eles confiam no que voce diz: Se voce diz que é
> > pequeno
> > > > porte,
> > > > > > > não importa se é uma multinacional, pagara como pequeno. No
> > site da
> > > > > > > SourceFire tem todos os detalhes sobre preços.
> > > > > > >
> > > > > > > São só as regras a principio, mas pode comprar o sistema
> > deles. Não
> > > > > > > conheço quem use no país o sistema deles. Mas não parece ser
> > mais
> > > > do
> > > > > > que
> > > > > > > o Snort com um front-end muito amigável.
> > > > > > >
> > > > > > > No caso da Juniper tem direito automaticamente a versão
> > convertida
> > > > pra
> > > > > > > Snort todos que tem Juniper série 5000 e já pague a licença
> > anual
> > > > do
> > > > > > IPS
> > > > > > > (que é um add-on no firewall Juniper).
> > > > > > >
> > > > > > > No Brasil quem representa a venda das assinaturas Source Fire
> > é a
> > > > > > > BRConnection.
> > > > > > >
> > > > > > >
> > > > > > >
> > > > > > > >
> > > > > > > >
> > > > > > > >
> > > > > > > > Em 21/02/08, Patrick Tracanelli<eksffa at freebsdbrasil.com.br>
> > > > > > escreveu:
> > > > > > > >> Cristina Fernandes Silva escreveu:
> > > > > > > >>
> > > > > > > >>> Acho que não fui clara, Vou explicar,
> > > > > > > >> >
> > > > > > > >> > Quero evitar que alguem da minha rede use o meu ip
> > (endereço
> > > > )
> > > > > > para
> > > > > > > >> > fazer ataques
> > > > > > > >> > de php injection para outro endereço externo. Até mesmo
> > os
> > > > meus
> > > > > > > >> > usuarios interno fazer algum ataque para servidores
> > > > externos..
> > > > > > > >>
> > > > > > > >>
> > > > > > > >> Cristina, um IDS ou IPS (Snort) sem dúvidas, é suficiente.
> > O
> > > > nível
> > > > > > de
> > > > > > > >> satisfação vai depender da qualidade das regras de análise
> > de
> > > > > > instrusão
> > > > > > > >> que você utilizar. Isso quer dizer que dependendo do nível
> > de
> > > > > > seriedade
> > > > > > > >> da empresa será proveitoso assinar um serviço (comercial)
> > que
> > > > > > oferece
> > > > > > > >> regras testadas e atualizadas. Apesar da escolha natural
> > ser
> > > > Source
> > > > > > > >> Fire, minha escolha pessoal (e sugestão) é pelas regras
> > > > fornecidas
> > > > > > pela
> > > > > > > >> Juniper. São as mesmas utilizadas no Juniper série 5000,
> > > > > > convertidas pro
> > > > > > > >> Snort.
> > > > > > > >>
> > > > > > > >> -------------------------
> > > > > > > >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > > > > >> Sair da lista:
> > https://www.fug.com.br/mailman/listinfo/freebsd
> > > > > > > >>
> > > > > > > > -------------------------
> > > > > > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > > > > > Sair da lista:
> > https://www.fug.com.br/mailman/listinfo/freebsd
> > > > > > >
> > > > > > > -------------------------
> > > > > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > > > > >
> > > > > >
> > > > > >
> > > > > >
> > > > > >
> > > > > > --
> > > > > >
> > > > > > William Grzybowski
> > > > > > ------------------------------------------
> > > > > > Jabber: william88 at gmail dot com
> > > > > > Curitiba/PR - Brazil
> > > > > > -------------------------
> > > > > >
> > > > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > > > >
> > > > >
> > > > > --
> > > > > Att, Marcelo M. Fleury
> > > > > Linux User: #369521
> > > > > Blog - http://marcelomf.blogspot.com/
> > > > >
> > > > > "Não basta saber, é preciso também aplicar; não basta querer é
> > > > > preciso também agir" By Goethe
> > > > > -------------------------
> > > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > >
> > > > ------- End of Original Message -------
> > > >
> > > >
> > > > -------------------------
> > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > >
> > >
> > > --
> > > Att, Marcelo M. Fleury
> > > Linux User: #369521
> > > Blog - http://marcelomf.blogspot.com/
> > >
> > > "Não basta saber, é preciso também aplicar; não basta querer é
> > > preciso também agir" By Goethe
> > > -------------------------
> > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > ------- End of Original Message -------
> >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
--
Marcio Antunes
Powered by FreeBSD
==================================
* Windows: "Where do you want to go tomorrow?"
* Linux: "Where do you want to go today?"
* FreeBSD: "Are you, guys, comming or what?"
Mais detalhes sobre a lista de discussão freebsd