[FUG-BR] OT-Ataque PHP injection

Marcelo M. Fleury marcelomf em gmail.com
Sexta Fevereiro 22 12:51:30 BRT 2008 

Bom,
Patrick, você está certo :), obrigado pelo post explicativo, tanto tempo sem
mexer no snort ou em qualquer ids/ips, me fez confundir as bolas xD.

[]s
Em 22/02/08, Patrick Tracanelli <eksffa em freebsdbrasil.com.br> escreveu:
>
> Patrick Tracanelli escreveu:
>
> > Marcelo M. Fleury escreveu:
> >> Olá,
> >>
> >> até onde eu entendi, o interesse da Cristina é em não ser uma provedora
> de
> >> códigos maliciosos, no caso PHP.
> >
> > Então entendemos coisas distintas. Ao meu ver ela nao quer q usuarios
> > internos façam ataque de injection em qualquer q seja o destino/alvo.
>
>
> Ou melhor, *não* façam.
>
>
> >
> >> Acredito que um IDS/IPS não adiantaria, uma vez que não se trata de
> ataques
> >> a rede/host, e sim de que a rede ou host seja uma provedora de
> ataques...
> >
> > E qual é a diferença? Sendo um IDS de rede, sua função é filtrar os 2
> > fluxos, o que sai e o que entra na/da rede. Ainda não entendi a
> > relutancia hehe.
> >
> >   na
> >> realidade não conheço solução voltada para isso... existe o
> mod_security
> >
> > A solução é o IPS/IDs hehe ;)
> >
> > O mod_security é fantastico, mas não se aplica, nem de longe, ao que ela
> > quer. O mod_security é o mais indicado pra proteger exclusivamente o
> > Apache local. É um DSO e como tal roda no mesmo nível do httpd. Portanto
> > sequer, é capaz de identificar padrões iniciados da maquina com
> > mod_security para outros destinos. Apenas quando o destino final é o
> > Apache (serviço httpd).
> >
> > do
> >> apache que pode te ajudar a monitorar e filtrar suas aplicações.
> >>
> >> Penso em algum programa que cheque a integridade de arquivos no
> servidor,
> >> algo parecido com o file:
> >>
> >> marcelo em mmf:~$ cat sh.gif
> >> <?php
> >>         system($_GET['sh']);
> >> ?>
> >> marcelo em mmf:~$ file sh.gif
> >> sh.gif: PHP script text
> >>
> >> e depois, habilitar alguns filtros no mod_security buscando checar
> qualquer
> >> uso indevido do php... confesso que não conheço muito o mod_security,
> uma
> >> vez que não trampo mais como sysadmin e sim como desenvolvedor(quero
> arrumar
> >> um tempo para brincar com ele).
> >>
> >> Acredito que no mais é realizar auditorias... procurar nos logs do
> apache
> >> por qualquer comando... estilo uname, id, ls ... nada que o
> cat,grep,awk não
> >> resolva!
> >
> > Eu discordo plenamente. Olhar logs é forense. Segurança tem que ser
> > pro-ativa.
> >
> > E pelo que entendi na situação da Cristina ela não terá logs do Apache
> > ou PHP pra olhar, ja que ela quer evitar que ataques sejam provenientes
> > de seu ambiente, nao destinados a ele (ou pelo menos ambos os casos).
> >
> >> Espero ter ajudado, boa sorte!
> >>
> >>
> >> Em 22/02/08, William Grzybowski <william88 em gmail.com> escreveu:
> >>> Oi Patrick,
> >>>
> >>> Não sei se entendi muito bem, poderia me dar uma luz?
> >>> Php injection, como próprio nome ja diz é a inserção de codigo php
> >>> causado por código mal escrito que permito o injeção de código php
> >>> externo no servidor, correto?
> >>>
> >>> Como que funcionam essas regras que você falou? Essas empresas liberam
> >>> regras que atuam (obviamente) na ""camada"" do HTTP e analizam o
> >>> trafego para os softwares vulneraveis que eles tem conhecimento e
> >>> inclusao direta de scripts em servidores externos?
> >>>
> >>> Vlw
> >>>
> >>> 2008/2/21 Patrick Tracanelli <eksffa em freebsdbrasil.com.br>:
> >>>
> >>>> Cristina Fernandes Silva escreveu:
> >>>>
> >>>>> É cobrada essas regras ? Vc tem alguma faixa de preço  ? é
> apllicance
> >>>>  > ? ou somente as regras que posso usar no snort.
> >>>>
> >>>>  Sim, são cobradas. Na Source Fire depende do seu perfil, tem varios
> >>>>  precos. Eles confiam no que voce diz: Se voce diz que é pequeno
> porte,
> >>>>  não importa se é uma multinacional, pagara como pequeno. No site da
> >>>>  SourceFire tem todos os detalhes sobre preços.
> >>>>
> >>>>  São só as regras a principio, mas pode comprar o sistema deles. Não
> >>>>  conheço quem use no país o sistema deles. Mas não parece ser mais do
> >>> que
> >>>>  o Snort com um front-end muito amigável.
> >>>>
> >>>>  No caso da Juniper tem direito automaticamente a versão convertida
> pra
> >>>>  Snort todos que tem Juniper série 5000 e já pague a licença anual do
> >>> IPS
> >>>>  (que é um add-on no firewall Juniper).
> >>>>
> >>>>  No Brasil quem representa a venda das assinaturas Source Fire é a
> >>>>  BRConnection.
> >>>>
> >>>>
> >>>>
> >>>>  >
> >>>>  >
> >>>>  >
> >>>>  > Em 21/02/08, Patrick Tracanelli<eksffa em freebsdbrasil.com.br>
> >>> escreveu:
> >>>>  >> Cristina Fernandes Silva escreveu:
> >>>>  >>
> >>>>  >>> Acho que não fui clara, Vou explicar,
> >>>>  >>  >
> >>>>  >>  > Quero evitar que alguem da minha rede use o meu ip  (endereço
> )
> >>> para
> >>>>  >>  > fazer ataques
> >>>>  >>  > de php injection para outro endereço externo. Até mesmo os
> meus
> >>>>  >>  > usuarios interno fazer algum ataque para servidores externos..
> >>>>  >>
> >>>>  >>
> >>>>  >> Cristina, um IDS ou IPS (Snort) sem dúvidas, é suficiente. O
> nível
> >>> de
> >>>>  >>  satisfação vai depender da qualidade das regras de análise de
> >>> instrusão
> >>>>  >>  que você utilizar. Isso quer dizer que dependendo do nível de
> >>> seriedade
> >>>>  >>  da empresa será proveitoso assinar um serviço (comercial) que
> >>> oferece
> >>>>  >>  regras testadas e atualizadas. Apesar da escolha natural ser
> Source
> >>>>  >>  Fire, minha escolha pessoal (e sugestão) é pelas regras
> fornecidas
> >>> pela
> >>>>  >>  Juniper. São as mesmas utilizadas no Juniper série 5000,
> >>> convertidas pro
> >>>>  >>  Snort.
> >>>>  >>
> >>>>  >> -------------------------
> >>>>  >>  Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>>>  >>  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>>>  >>
> >>>>  > -------------------------
> >>>>  > Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>>>  > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>>>
> >>>>  -------------------------
> >>>>  Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>>>  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>>>
> >>>
> >>>
> >>> --
> >>>
> >>> William Grzybowski
> >>> ------------------------------------------
> >>> Jabber: william88 at gmail dot com
> >>> Curitiba/PR - Brazil
> >>> -------------------------
> >>>
> >>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>>
> >>
> >>
> >
> >
>
>
> --
> Patrick Tracanelli
>
> FreeBSD Brasil LTDA.
> Tel.: (31) 3516-0800
> 316601 em sip.freebsdbrasil.com.br
> http://www.freebsdbrasil.com.br
> "Long live Hanin Elias, Kim Deal!"
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
Att, Marcelo M. Fleury
Linux User: #369521
Blog - http://marcelomf.blogspot.com/

"Não basta saber, é preciso também aplicar; não basta querer é preciso
também agir" By Goethe

Mais detalhes sobre a lista de discussão freebsd