Olá lista. Em primeiro lugar, muitíssimo obrigado pela ajuda e
sugestões de todos. Sem esta lista, estaria perdido em meu trabalho.. :-) Neste e-mail farei um resumo de toda a obra para que fique
de referencia para futuras consultas de pessoas que enfrentarão problemas
similares. 1 - O problema: Tinha um servidor de web com apache2 + php4 + mysql rodando.
Um dia vi que o log de saída dele estava extremamente grande. Fui verificar e
vi que haviam pastas com o nome CStrike e halflife espalhadas pelo sistema,
especialmente na pasta /usr/games e /var/local. Vi que tinham logs desses
jogos, com pessoas conversando e talz. O firewall da máquina estava apenas com a porta 80 e a 22
abertas (e eu achando que estava seguro...). Bom, inocentemente, apenas apaguei
os arquivos dos jogos e logs e liguei a “escuta” na porta 80 e 22
pra ver se identificava o invasor. No dia seguinte, minha máquina estava inteiramente
corrompida. 2 – Causa Provavelmente, segundo a galera da lista, a invasão ocorreu
pela porta 80, devido ao php.ini estar com a opção register_global como
“on”. Isso permitiu a inserção de códigos na máquina que
possibilitaram a entrada efetiva. O Simon (que muito me ajudou, VALEU SIMON... :-) ) deu um
exemplo, que segundo ele, é beeeem simples..rsrs... de como fazer para inserir
códigos dessa maneira. Pode dar uma olhada no link na mensagem do dia 13 nov
2006 15:00 3 – Solução (pelo menos parcial) Foram muitas dicas que o pessoal me passou. Farei um resumo
do que fiz, mas compensa dar uma olhada na discussão toda pra quem já passou ou
está passando por isso. Para recuperar a partição e os arquivos, utilizei um
programinha muito bom que talvez todos conheçam, mas pra mim foi novidade,
chamado TESTEDISK. É Opensource (claro!!), tem muita coisa sobre ele no google.
Bom, depois foi trabalho braçal pra refazer os server e por
os serviços de volta no ar. Após isso, o esquema foi implementar mais
segurança. O Thiago Anderson (outro que também foi de grandissíssima
ajuda, VALEU THIAGO), passou 4 passos importantes para pelo menos dificultar a
invasão. 1) Mudar no php.ini o register_globals para
off – (meu comentário: Isso, infelizmente, não pude fazer. Como não fui
eu quem fez as páginas e as bases, se desativo o register_globals a página não
rola. Por isso que é sempre bom pegar um cara que entende de segurança pra
fazer as páginas. Tentarei corrigir o problema futuramente.( 2) Instalar o mod_security no apache – (meu
comentário: quanto a isso, pra nossa sorte, tem no repositório apt o
mod_security. Pra configuração, esse link ajuda, mas convém procurar mais
coisas. http://vivaolinux.com.br/artigos/verArtigo.php?codigo=1472&pagina=2) 3) Coloquei as seguintes linhas(Para combater o que eles
chamam de hotlink): - (despensa comentários) <IfModule mod_rewrite.c> 4) Foi feito a correcao do bug da programacao nao deixando ele dar um
include em tudo que fosse Pedido. Ex. se o cara desse la index.php?file=http://www.uol.com.br ( ele colocava o topo do meu site
e embaixo o site da UOL.), foi pedido para o Analista Web a correcao do
problema. Esses quatro passos do thiago ajudaram um bocado. Tem também pra ajudar, o tripwire. Esse ainda não configurei, achei
poucos documentos na net, mas se conseguir, repasso a todos. Bom, o resumo da história é esse. Teve mais alguns probleminhas de
permissões de arquivos quando esses foram recuperados, mas isso já foge um
pouco do assunto. Só queria mandar esse e-mail pra servir de referencia pra
todo o pessoal que precisar consultar coisas do tipo futuramente. Agradeço mais uma vez a ajuda de todos, não só dos que citei, mas todos
que participaram da discussão. Um grande abraço Daniel |