[FUG-BR] RES: OT-Ataque PHP injection

Renato Frederick frederick em dahype.org
Sexta Fevereiro 22 14:20:37 BRT 2008 

Aproveitando a discussão, uma solução comercial bacana que detecta estes e
outros tipos de ameaças à segurança:

http://www.cisco.com/en/US/products/hw/vpndevc/ps4077/index.html

Há também um módulo de rede(slot) para a série 26, 36 e 37, com capacidade
menor, é claro, mas com mesma versão do IDS sensor...



> -----Mensagem original-----
> De: freebsd-bounces em fug.com.br [mailto:freebsd-bounces em fug.com.br] Em
> nome de Marcelo M. Fleury
> Enviada em: sexta-feira, 22 de fevereiro de 2008 12:52
> Para: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)
> Assunto: Re: [FUG-BR] OT-Ataque PHP injection
> 
> Bom,
> Patrick, você está certo :), obrigado pelo post explicativo, tanto
> tempo sem
> mexer no snort ou em qualquer ids/ips, me fez confundir as bolas xD.
> 
> []s
> Em 22/02/08, Patrick Tracanelli <eksffa em freebsdbrasil.com.br> escreveu:
> >
> > Patrick Tracanelli escreveu:
> >
> > > Marcelo M. Fleury escreveu:
> > >> Olá,
> > >>
> > >> até onde eu entendi, o interesse da Cristina é em não ser uma
> provedora
> > de
> > >> códigos maliciosos, no caso PHP.
> > >
> > > Então entendemos coisas distintas. Ao meu ver ela nao quer q
> usuarios
> > > internos façam ataque de injection em qualquer q seja o
> destino/alvo.
> >
> >
> > Ou melhor, *não* façam.
> >
> >
> > >
> > >> Acredito que um IDS/IPS não adiantaria, uma vez que não se trata
> de
> > ataques
> > >> a rede/host, e sim de que a rede ou host seja uma provedora de
> > ataques...
> > >
> > > E qual é a diferença? Sendo um IDS de rede, sua função é filtrar os
> 2
> > > fluxos, o que sai e o que entra na/da rede. Ainda não entendi a
> > > relutancia hehe.
> > >
> > >   na
> > >> realidade não conheço solução voltada para isso... existe o
> > mod_security
> > >
> > > A solução é o IPS/IDs hehe ;)
> > >
> > > O mod_security é fantastico, mas não se aplica, nem de longe, ao
> que ela
> > > quer. O mod_security é o mais indicado pra proteger exclusivamente
> o
> > > Apache local. É um DSO e como tal roda no mesmo nível do httpd.
> Portanto
> > > sequer, é capaz de identificar padrões iniciados da maquina com
> > > mod_security para outros destinos. Apenas quando o destino final é
> o
> > > Apache (serviço httpd).
> > >
> > > do
> > >> apache que pode te ajudar a monitorar e filtrar suas aplicações.
> > >>
> > >> Penso em algum programa que cheque a integridade de arquivos no
> > servidor,
> > >> algo parecido com o file:
> > >>
> > >> marcelo em mmf:~$ cat sh.gif
> > >> <?php
> > >>         system($_GET['sh']);
> > >> ?>
> > >> marcelo em mmf:~$ file sh.gif
> > >> sh.gif: PHP script text
> > >>
> > >> e depois, habilitar alguns filtros no mod_security buscando checar
> > qualquer
> > >> uso indevido do php... confesso que não conheço muito o
> mod_security,
> > uma
> > >> vez que não trampo mais como sysadmin e sim como
> desenvolvedor(quero
> > arrumar
> > >> um tempo para brincar com ele).
> > >>
> > >> Acredito que no mais é realizar auditorias... procurar nos logs do
> > apache
> > >> por qualquer comando... estilo uname, id, ls ... nada que o
> > cat,grep,awk não
> > >> resolva!
> > >
> > > Eu discordo plenamente. Olhar logs é forense. Segurança tem que ser
> > > pro-ativa.
> > >
> > > E pelo que entendi na situação da Cristina ela não terá logs do
> Apache
> > > ou PHP pra olhar, ja que ela quer evitar que ataques sejam
> provenientes
> > > de seu ambiente, nao destinados a ele (ou pelo menos ambos os
> casos).
> > >
> > >> Espero ter ajudado, boa sorte!
> > >>
> > >>
> > >> Em 22/02/08, William Grzybowski <william88 em gmail.com> escreveu:
> > >>> Oi Patrick,
> > >>>
> > >>> Não sei se entendi muito bem, poderia me dar uma luz?
> > >>> Php injection, como próprio nome ja diz é a inserção de codigo
> php
> > >>> causado por código mal escrito que permito o injeção de código
> php
> > >>> externo no servidor, correto?
> > >>>
> > >>> Como que funcionam essas regras que você falou? Essas empresas
> liberam
> > >>> regras que atuam (obviamente) na ""camada"" do HTTP e analizam o
> > >>> trafego para os softwares vulneraveis que eles tem conhecimento e
> > >>> inclusao direta de scripts em servidores externos?
> > >>>
> > >>> Vlw
> > >>>
> > >>> 2008/2/21 Patrick Tracanelli <eksffa em freebsdbrasil.com.br>:
> > >>>
> > >>>> Cristina Fernandes Silva escreveu:
> > >>>>
> > >>>>> É cobrada essas regras ? Vc tem alguma faixa de preço  ? é
> > apllicance
> > >>>>  > ? ou somente as regras que posso usar no snort.
> > >>>>
> > >>>>  Sim, são cobradas. Na Source Fire depende do seu perfil, tem
> varios
> > >>>>  precos. Eles confiam no que voce diz: Se voce diz que é pequeno
> > porte,
> > >>>>  não importa se é uma multinacional, pagara como pequeno. No
> site da
> > >>>>  SourceFire tem todos os detalhes sobre preços.
> > >>>>
> > >>>>  São só as regras a principio, mas pode comprar o sistema deles.
> Não
> > >>>>  conheço quem use no país o sistema deles. Mas não parece ser
> mais do
> > >>> que
> > >>>>  o Snort com um front-end muito amigável.
> > >>>>
> > >>>>  No caso da Juniper tem direito automaticamente a versão
> convertida
> > pra
> > >>>>  Snort todos que tem Juniper série 5000 e já pague a licença
> anual do
> > >>> IPS
> > >>>>  (que é um add-on no firewall Juniper).
> > >>>>
> > >>>>  No Brasil quem representa a venda das assinaturas Source Fire é
> a
> > >>>>  BRConnection.
> > >>>>
> > >>>>
> > >>>>
> > >>>>  >
> > >>>>  >
> > >>>>  >
> > >>>>  > Em 21/02/08, Patrick Tracanelli<eksffa em freebsdbrasil.com.br>
> > >>> escreveu:
> > >>>>  >> Cristina Fernandes Silva escreveu:
> > >>>>  >>
> > >>>>  >>> Acho que não fui clara, Vou explicar,
> > >>>>  >>  >
> > >>>>  >>  > Quero evitar que alguem da minha rede use o meu ip
> (endereço
> > )
> > >>> para
> > >>>>  >>  > fazer ataques
> > >>>>  >>  > de php injection para outro endereço externo. Até mesmo
> os
> > meus
> > >>>>  >>  > usuarios interno fazer algum ataque para servidores
> externos..
> > >>>>  >>
> > >>>>  >>
> > >>>>  >> Cristina, um IDS ou IPS (Snort) sem dúvidas, é suficiente. O
> > nível
> > >>> de
> > >>>>  >>  satisfação vai depender da qualidade das regras de análise
> de
> > >>> instrusão
> > >>>>  >>  que você utilizar. Isso quer dizer que dependendo do nível
> de
> > >>> seriedade
> > >>>>  >>  da empresa será proveitoso assinar um serviço (comercial)
> que
> > >>> oferece
> > >>>>  >>  regras testadas e atualizadas. Apesar da escolha natural
> ser
> > Source
> > >>>>  >>  Fire, minha escolha pessoal (e sugestão) é pelas regras
> > fornecidas
> > >>> pela
> > >>>>  >>  Juniper. São as mesmas utilizadas no Juniper série 5000,
> > >>> convertidas pro
> > >>>>  >>  Snort.
> > >>>>  >>
> > >>>>  >> -------------------------
> > >>>>  >>  Histórico: http://www.fug.com.br/historico/html/freebsd/
> > >>>>  >>  Sair da lista:
> https://www.fug.com.br/mailman/listinfo/freebsd
> > >>>>  >>
> > >>>>  > -------------------------
> > >>>>  > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > >>>>  > Sair da lista:
> https://www.fug.com.br/mailman/listinfo/freebsd
> > >>>>
> > >>>>  -------------------------
> > >>>>  Histórico: http://www.fug.com.br/historico/html/freebsd/
> > >>>>  Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >>>>
> > >>>
> > >>>
> > >>> --
> > >>>
> > >>> William Grzybowski
> > >>> ------------------------------------------
> > >>> Jabber: william88 at gmail dot com
> > >>> Curitiba/PR - Brazil
> > >>> -------------------------
> > >>>
> > >>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> > >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > >>>
> > >>
> > >>
> > >
> > >
> >
> >
> > --
> > Patrick Tracanelli
> >
> > FreeBSD Brasil LTDA.
> > Tel.: (31) 3516-0800
> > 316601 em sip.freebsdbrasil.com.br
> > http://www.freebsdbrasil.com.br
> > "Long live Hanin Elias, Kim Deal!"
> >
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> 
> 
> 
> --
> Att, Marcelo M. Fleury
> Linux User: #369521
> Blog - http://marcelomf.blogspot.com/
> 
> "Não basta saber, é preciso também aplicar; não basta querer é preciso
> também agir" By Goethe
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
-------------- Próxima Parte ----------
Um anexo não texto foi limpo...
Nome  : smime.p7s
Tipo  : application/x-pkcs7-signature
Tam   : 3737 bytes
Descr.: não disponível
Url   : http://www.fug.com.br/historico/html/freebsd/attachments/20080222/6bc273c7/attachment.bin

Mais detalhes sobre a lista de discussão freebsd