[FUG-BR] OT-Ataque PHP injection

Patrick Tracanelli eksffa em freebsdbrasil.com.br
Sexta Fevereiro 22 12:26:57 BRT 2008 

Patrick Tracanelli escreveu:
> Marcelo M. Fleury escreveu:
>> Olá,
>>
>> até onde eu entendi, o interesse da Cristina é em não ser uma provedora de
>> códigos maliciosos, no caso PHP.
> 
> Então entendemos coisas distintas. Ao meu ver ela nao quer q usuarios 
> internos façam ataque de injection em qualquer q seja o destino/alvo.

Ou melhor, *não* façam.

> 
>> Acredito que um IDS/IPS não adiantaria, uma vez que não se trata de ataques
>> a rede/host, e sim de que a rede ou host seja uma provedora de ataques...
> 
> E qual é a diferença? Sendo um IDS de rede, sua função é filtrar os 2 
> fluxos, o que sai e o que entra na/da rede. Ainda não entendi a 
> relutancia hehe.
> 
>   na
>> realidade não conheço solução voltada para isso... existe o mod_security
> 
> A solução é o IPS/IDs hehe ;)
> 
> O mod_security é fantastico, mas não se aplica, nem de longe, ao que ela 
> quer. O mod_security é o mais indicado pra proteger exclusivamente o 
> Apache local. É um DSO e como tal roda no mesmo nível do httpd. Portanto 
> sequer, é capaz de identificar padrões iniciados da maquina com 
> mod_security para outros destinos. Apenas quando o destino final é o 
> Apache (serviço httpd).
> 
> do
>> apache que pode te ajudar a monitorar e filtrar suas aplicações.
>>
>> Penso em algum programa que cheque a integridade de arquivos no servidor,
>> algo parecido com o file:
>>
>> marcelo em mmf:~$ cat sh.gif
>> <?php
>>         system($_GET['sh']);
>> ?>
>> marcelo em mmf:~$ file sh.gif
>> sh.gif: PHP script text
>>
>> e depois, habilitar alguns filtros no mod_security buscando checar qualquer
>> uso indevido do php... confesso que não conheço muito o mod_security, uma
>> vez que não trampo mais como sysadmin e sim como desenvolvedor(quero arrumar
>> um tempo para brincar com ele).
>>
>> Acredito que no mais é realizar auditorias... procurar nos logs do apache
>> por qualquer comando... estilo uname, id, ls ... nada que o cat,grep,awk não
>> resolva!
> 
> Eu discordo plenamente. Olhar logs é forense. Segurança tem que ser 
> pro-ativa.
> 
> E pelo que entendi na situação da Cristina ela não terá logs do Apache 
> ou PHP pra olhar, ja que ela quer evitar que ataques sejam provenientes 
> de seu ambiente, nao destinados a ele (ou pelo menos ambos os casos).
> 
>> Espero ter ajudado, boa sorte!
>>
>>
>> Em 22/02/08, William Grzybowski <william88 em gmail.com> escreveu:
>>> Oi Patrick,
>>>
>>> Não sei se entendi muito bem, poderia me dar uma luz?
>>> Php injection, como próprio nome ja diz é a inserção de codigo php
>>> causado por código mal escrito que permito o injeção de código php
>>> externo no servidor, correto?
>>>
>>> Como que funcionam essas regras que você falou? Essas empresas liberam
>>> regras que atuam (obviamente) na ""camada"" do HTTP e analizam o
>>> trafego para os softwares vulneraveis que eles tem conhecimento e
>>> inclusao direta de scripts em servidores externos?
>>>
>>> Vlw
>>>
>>> 2008/2/21 Patrick Tracanelli <eksffa em freebsdbrasil.com.br>:
>>>
>>>> Cristina Fernandes Silva escreveu:
>>>>
>>>>> É cobrada essas regras ? Vc tem alguma faixa de preço  ? é apllicance
>>>>  > ? ou somente as regras que posso usar no snort.
>>>>
>>>>  Sim, são cobradas. Na Source Fire depende do seu perfil, tem varios
>>>>  precos. Eles confiam no que voce diz: Se voce diz que é pequeno porte,
>>>>  não importa se é uma multinacional, pagara como pequeno. No site da
>>>>  SourceFire tem todos os detalhes sobre preços.
>>>>
>>>>  São só as regras a principio, mas pode comprar o sistema deles. Não
>>>>  conheço quem use no país o sistema deles. Mas não parece ser mais do
>>> que
>>>>  o Snort com um front-end muito amigável.
>>>>
>>>>  No caso da Juniper tem direito automaticamente a versão convertida pra
>>>>  Snort todos que tem Juniper série 5000 e já pague a licença anual do
>>> IPS
>>>>  (que é um add-on no firewall Juniper).
>>>>
>>>>  No Brasil quem representa a venda das assinaturas Source Fire é a
>>>>  BRConnection.
>>>>
>>>>
>>>>
>>>>  >
>>>>  >
>>>>  >
>>>>  > Em 21/02/08, Patrick Tracanelli<eksffa em freebsdbrasil.com.br>
>>> escreveu:
>>>>  >> Cristina Fernandes Silva escreveu:
>>>>  >>
>>>>  >>> Acho que não fui clara, Vou explicar,
>>>>  >>  >
>>>>  >>  > Quero evitar que alguem da minha rede use o meu ip  (endereço )
>>> para
>>>>  >>  > fazer ataques
>>>>  >>  > de php injection para outro endereço externo. Até mesmo os meus
>>>>  >>  > usuarios interno fazer algum ataque para servidores externos..
>>>>  >>
>>>>  >>
>>>>  >> Cristina, um IDS ou IPS (Snort) sem dúvidas, é suficiente. O nível
>>> de
>>>>  >>  satisfação vai depender da qualidade das regras de análise de
>>> instrusão
>>>>  >>  que você utilizar. Isso quer dizer que dependendo do nível de
>>> seriedade
>>>>  >>  da empresa será proveitoso assinar um serviço (comercial) que
>>> oferece
>>>>  >>  regras testadas e atualizadas. Apesar da escolha natural ser Source
>>>>  >>  Fire, minha escolha pessoal (e sugestão) é pelas regras fornecidas
>>> pela
>>>>  >>  Juniper. São as mesmas utilizadas no Juniper série 5000,
>>> convertidas pro
>>>>  >>  Snort.
>>>>  >>
>>>>  >> -------------------------
>>>>  >>  Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>>  >>  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>  >>
>>>>  > -------------------------
>>>>  > Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>>  > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>
>>>>  -------------------------
>>>>  Histórico: http://www.fug.com.br/historico/html/freebsd/
>>>>  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>>
>>>
>>>
>>> --
>>>
>>> William Grzybowski
>>> ------------------------------------------
>>> Jabber: william88 at gmail dot com
>>> Curitiba/PR - Brazil
>>> -------------------------
>>>
>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>>
>>
>>
> 
> 


-- 
Patrick Tracanelli

FreeBSD Brasil LTDA.
Tel.: (31) 3516-0800
316601 em sip.freebsdbrasil.com.br
http://www.freebsdbrasil.com.br
"Long live Hanin Elias, Kim Deal!"

Mais detalhes sobre a lista de discussão freebsd